阿里云公网云服务(ECS、SLB、EIP,包括经典网络和专有网络)默认支持DDoS攻击基础防御功能(对应原生防护基础版)。当网络流量超过清洗阈值时,阿里云会开始对攻击流量进行清洗,并尽可能保障您的业务可用;当网络流量超过最大防御能力时,则会触发黑洞机制,服务器的外网访问将被暂时屏蔽。

流量清洗

清洗是指将流量从原始网络路径中重定向到清洗设备上,通过清洗设备对该IP的流量成分进行正常和异常判断,丢弃异常流量,并对最终到达服务器的流量实施限流,减轻攻击对服务器造成的损害,但对流量中正常的部分可能造成损伤。

黑洞

如果云服务器遭受大量攻击,且超过免费防御的流量值时,进入黑洞。免费防御的流量值因不同的地区和不同的CPU配置而异,详情请参见DDoS基础防护黑洞阈值

触发黑洞后,会在一定时长内限制进入黑洞的服务器的外网通信,黑洞时长视攻击情况而定。

黑洞结束后自动进入清洗状态,核实攻击是否还存在。如果攻击依然存在,服务器会再次进入黑洞;如果攻击已经停止,系统会自动解封。如果被黑洞的服务器遭受的攻击量过大,会影响阿里云整个机房的网络稳定,所以原生防护基础版不支持手动解除黑洞。

如果急需业务恢复,可以考虑购买阿里云DDoS高防服务

DDoS高防服务是针对阿里云服务器在遭受大流量的DDoS攻击后导致服务不可用的情况下,推出的付费增值服务。您可通过配置DDoS高防IP,将攻击流量引流到高防IP,确保源站的稳定可靠。

全力防护

全力防护是DDoS原生防护企业版提供的DDoS防御能力,指根据当前地域下DDoS本地清洗中心的机房网络和资源整体水位,尽可能对攻击进行防御,随着阿里云网络能力的不断提升,全力防护也会提升防护能力,不需要您额外付出升级成本。更多信息,请参见DDoS原生防护计费方式

弹性防护

弹性防护是DDoS高防(新BGP)专业版提供的DDoS防御能力。针对DDoS攻击超过保底防护带宽的场景,您可以设置需要DDoS高防(新BGP)帮助您防御的最大DDoS攻击流量阈值(即弹性防护带宽)。当DDoS攻击流量峰值超过保底防护带宽,且小于您设置的弹性防护带宽时,将触发弹性防护,且产生发生攻击当日的弹性防护费用。更多信息,请参见DDoS高防(新BGP)计费方式

高级防护

高级防护是DDoS高防(国际)保险版和无忧版防护套餐中提供的DDoS防御能力。高级防护(即无上限全力防护)以成功防御每一次DDoS攻击为目标,整合阿里云海外地区所有高防清洗中心能力,全力保护您的业务。更多信息,请参见保险防护&无限防护计费方式