DDoS原生防护是一款针对阿里云ECS、SLB、Web应用防火墙、EIP等产品直接提升DDoS防御能力的安全产品,直接把防御能力加载到云产品上,不需要更换IP,也没有四层端口和七层域名数等限制。

DDoS原生防护(基础版)介绍

DDoS原生防护(基础版)默认为SLB等阿里云公网IP资源免费开启,提供最高5G的DDoS原生防护(基础版)。所有来自Internet的流量都要先经过云盾再到达负载均衡。云盾会清洗过滤常见的攻击,例如SYN Flood、UDP Flood、ACK Flood、ICMP Flood和DNS Flood等DDoS攻击。

DDoS原生防护采用被动清洗方式为主、主动压制为辅的方式,针对DDoS攻击在反向探测、黑白名单、报文合规等标准技术的基础上,保证被防护用户在攻击持续状态下,仍可对外提供业务服务。网络拓扑架构如下图所示。

DDoS网络拓扑图

DDoS原生防护(基础版)根据公网SLB实例的带宽设定清洗阈值和黑洞阈值。当入方向流量达到阈值上限时,触发清洗和黑洞:

  • 清洗:当来自Internet的攻击流量较大或符合某些特定攻击流量模型特征时,云盾将会自动对攻击流量进行清洗,清洗包括攻击报文过滤、流量限速、包限速等。
  • 黑洞:当来自Internet的攻击流量非常大时,为保护整个集群的安全,流量将会被黑洞处理,即所有入流量全部被丢弃。
阈值的计算遵循如下两个原则:
  • 根据SLB实例所购买的带宽(即SLB的出方向带宽)来决定阈值的高低。当实例的带宽较高时,阈值较高;当实例的带宽较低时,阈值相应地会变低。
  • 根据您的安全信誉分来决定黑洞阈值的高低。
    说明 安全信誉分仅影响黑洞阈值,不影响清洗阈值。

计算阈值

按照以下步骤计算阈值。

  1. SLB后台根据您购买的带宽给出能够满足实例正常工作的阈值建议值。
    说明 如果您购买的是按流量计费实例,出带宽为实例所在地域所支持的带宽峰值上限。目前中国内地地域带宽上限都是峰值5G。详情参见 带宽峰值限制
    • SLB带宽与BPS清洗阈值之间的关系
      • 当SLB带宽<100Mbps时,清洗BPS默认阈值=120Mbps。
      • 当SLB带宽>100Mbps时,清洗BPS默认阈值=带宽值*1.2。
    • SLB带宽与PPS清洗阈值之间的关系

      清洗PPS阈值=(SLB带宽值/500)*150000

      带宽值单位为Mbps。

    • SLB带宽与黑洞BPS阈值之间的关系
      • 当SLB带宽<1Gbps时,黑洞BPS默认阈值=2Gbps。
      • 当SLB带宽>1Gbps时,黑洞BPS默认阈值=MAX(SLB带宽值*1.5,2G)。
  2. 云盾根据SLB给出的建议值,结合您安全信誉分和各地域的资源情况,计算出最终的阈值。
    • 云盾评估BPS和PPS阈值的规则。
      BPS最小值为1000M,PPS最小值为30万个。
      • 当SLB传入的参考阈值小于上述最小值时,取上述最小值。
      • 当SLB传入的参考阈值高于上述最小值时,取SLB传入的参考阈值。
    • 云盾根据您的安全信誉分来决定黑洞阈值的高低。

授权云盾基础防护只读权限

按照以下步骤为子账号授予云盾DDoS原生防护(基础版)Anti-DDoS Basic的只读权限。

说明 使用主账号进行授权。
  1. 使用主账号登录RAM访问控制台
  2. 在左侧导航栏,单击人员管理 > 用户
  3. 用户页面,找到用户登录名称/显示名称列表下的目标RAM用户,然后单击添加权限
  4. 单击系统策略页签,选择权限策略名称列表中的AliyunYundunDDosFullAccess,将其加入到已选择的权限策略列表中,然后单击确定DDoS原生防护添加权限

查看防护阈值

按照以下步骤查看防护阈值:

  1. 登录负载均衡管理控制台
  2. 选择目标地域,将鼠标移至目标实例的云盾图标,查看BPS清洗阈值、PPS清洗阈值和黑洞阈值。您可以单击详情请见云盾DDoS防护控制台查看更多信息。DDoS阈值
    • BPS清洗阈值:入方向流量超过了BPS清洗阈值时,触发清洗。
    • PPS清洗阈值:入方向数据包数超过了PPS清洗阈值时,触发清洗。
    • 黑洞阈值:入方向流量超过黑洞阈值时将触发黑洞。