近源流量压制指对DDoS高防实例中的电信/联通线路的海外流量实行主动封禁。每个用户总共拥有10次触发流量封禁的额度,且在流量封禁期间支持随时解除封禁。

前提条件

已开通DDoS高防(新BGP)实例。
说明 目前仅DDoS高防(新BGP)服务支持近源流量压制功能。如果您使用DDoS高防(国际)服务,则暂时无法使用该功能。

背景信息

注意 DDoS高防控制台在顶部导航栏新增地域切换菜单,方便您切换选择DDoS高防(新BGP)、DDoS高防(国际)服务。地域切换菜单支持中国内地非中国内地选项,您可以通过切换地域分别管理和配置DDoS高防(新BGP)和DDoS高防(国际)实例。在使用DDoS高防服务时,请确认您已选择正确的地域。

当您的DDoS高防实例遭遇特大流量攻击,且发现攻击流量有超过实例最大防护能力的趋势时,建议您考虑使用近源流量压制。一般情况下,假如海外攻击流量占比30%左右,通过封禁海外流量即可大大缓解防御压力,将攻击规模控制在实例最大防护能力范围内。

开启近源流量压制会将特定流量在机房侧丢弃,降低DDoS高防电信/联通线路被攻击进入黑洞状态的可能性。由于黑洞涉及攻击流量大小、攻击流量来源区域等多种因素,开启流量封禁可在一定情况下降低被黑洞的概率。

操作步骤

  1. 登录DDoS高防控制台
  2. 在顶部导航栏,选择中国内地地域。
  3. 在左侧导航栏,单击防护设置 > 通用防护策略
  4. 基础设施DDoS防护页签下,从左侧实例列表中选择要设置的DDoS高防实例。
    说明 您可以使用实例ID、实例备注搜索目标实例。
  5. 定位到近源流量压制配置区域,根据需要执行以下封禁操作。近源流量压制
    • 封禁电信海外流量:单击电信海外后的封禁,并在流量封禁对话框中设置封禁时长,完成后单击确定
      说明 每次封禁时长最短15分钟,最长23小时59分钟。
      流量封禁
    • 封禁联通海外流量:单击联通海外后的封禁,并在流量封禁对话框中设置封禁时长,完成后单击确定
      说明 每次封禁时长最短15分钟,最长23小时59分钟。
      流量封禁
    说明
    • 建议您优先封禁电信海外流量,并观察攻击规模的变化趋势。如果攻击流量还是很大,超过当前防护能力,则可以考虑再封禁联通海外流量。
    • 一个阿里云账号总共拥有10次封禁机会,封禁次数不会每天刷新。封禁一次电信或联通海外流量都会消耗一次额度。
    如果近源流量压制失败,您会收到失败提示信息,请根据提示排查问题后再次尝试。如果未出现任何提示信息,则表示近源流量压制已成功。
  6. 可选: 回到近源流量压制配置区域,单击查看封禁信息,在近源流量封禁页面查看本次封禁的区域和时间范围。近源流量封禁
  7. 可选: 解除封禁。
    流量封禁期间,封禁操作变为解除封禁,您可以单击解除封禁,提前解除对应线路的海外流量封禁。