阿里云公网云服务(ECS、SLB、EIP,包括经典网络和专有网络)默认支持DDoS攻击基础防御功能(对应原生防护基础版)。当网络流量超过清洗阈值时,阿里云会开始对攻击流量进行清洗,并尽可能保障您的业务可用;当网络流量超过最大防御能力时,则会触发黑洞机制,服务器的外网访问将被暂时屏蔽。

流量清洗

清洗是指将流量从原始网络路径中重定向到清洗设备上,通过清洗设备对该IP的流量成分进行正常和异常判断,丢弃异常流量,并对最终到达服务器的流量实施限流,减轻攻击对服务器造成的损害,但对流量中正常的部分可能造成损伤。

黑洞

如果您的云服务器遭受大量攻击,且超过免费防御的流量值时,会触发黑洞。触发黑洞后,阿里云会在一定时长内限制该服务器的外网通信,黑洞时长视攻击情况而定。免费防御的流量值因不同的地区和不同的CPU配置而异,详情请参见DDoS基础防护黑洞阈值。以下是黑洞的基本信息说明:
  • 触发黑洞的条件:云服务器遭受的攻击流量超过了免费防御的流量阈值。
  • 黑洞时长:从30分钟到24小时不等。黑洞时长视攻击情况而定,且不同地域资产的默认黑洞时长不同。
    说明 黑洞时长和黑洞阈值将根据您账号的安全信誉等级自动调整,安全信誉等级越高,黑洞时长越短并且黑洞阈值越高。

黑洞结束后自动进入清洗状态,核实攻击是否还存在。如果攻击依然存在,服务器会再次进入黑洞;如果攻击已经停止,系统会自动解封。如果被黑洞的服务器遭受的攻击量过大,会影响阿里云整个机房的网络稳定,因此原生防护基础版不支持手动解除黑洞。

如果急需恢复服务器的外网通信,可以考虑购买阿里云DDoS高防服务

DDoS高防服务是针对阿里云服务器在遭受大流量的DDoS攻击后导致服务不可用的情况下,推出的付费增值服务。您可通过配置DDoS高防IP,将攻击流量引流到高防IP,确保源站的稳定可靠。

全力防护

全力防护是DDoS原生防护企业版提供的DDoS防御能力,指根据当前地域下DDoS本地清洗中心的机房网络和资源整体水位,尽可能对攻击进行防御,随着阿里云网络能力的不断提升,全力防护也会提升防护能力,不需要您额外付出升级成本。更多信息,请参见DDoS原生防护计费方式

弹性防护

弹性防护是DDoS高防(新BGP)专业版提供的DDoS防御能力。针对DDoS攻击超过保底防护带宽的场景,您可以设置需要DDoS高防(新BGP)帮助您防御的最大DDoS攻击流量阈值(即弹性防护带宽)。当DDoS攻击流量峰值超过保底防护带宽,且小于您设置的弹性防护带宽时,将触发弹性防护,且产生发生攻击当日的弹性防护费用。更多信息,请参见DDoS高防(新BGP)计费方式

高级防护

高级防护是DDoS高防(国际)保险版和无忧版防护套餐中提供的DDoS防御能力。高级防护(即无上限全力防护)以成功防御每一次DDoS攻击为目标,整合阿里云海外地区所有高防清洗中心能力,全力保护您的业务。更多信息,请参见保险版&无忧版计费方式

Anycast

DDoS高防(国际)采用Anycast通信模式,充分利用全球各地阿里云流量清洗中心的能力作为DDoS高防(国际)服务的资源。

Anycast是一种网络地址和路由通信方式。访问Anycast地址的报文可以被路由到该Anycast地址标识的一组特定的服务器主机。

DDoS高防(国际)采用Anycast方式将接收到的流量路由到距离最近且拥有防护能力的清洗中心。通过这种路由方式,即使在面对大流量并发、网络拥塞时,DDoS高防(国际)也能为您的业务提供高效的流量清洗和弹性处理能力。Anycast

Anycast地址可以将接收到的流量路由至多个数据中心。当访问流量到达绑定Anycast地址的IP时,根据所设定的分发方式将流量分发至不同的数据中心。一般情况下,选择分发至距离访问来源最近的数据中心。

例如,某个DDoS高防(国际)实例的Anycast IP为170.x.x.x,所有阿里云海外地区高防流量清洗中心都宣告了该IP地址的路由。当向该IP地址发送数据包时,数据包经过一系列路由,并通过查看阿里云海外地区高防流量清洗中心各节点的可用路径,最终将数据包发送至路径最短(即经过最少跳路由)的节点。当某一节点的服务器发生故障导致不可用时,将立即停止宣告已不可用的IP段,数据包将仍然按照距离最短的原则路由至最近的服务节点。

简单来说,一般情况下来自中国香港的用户访问流量默认都将被路由至阿里云中国香港高防流量清洗中心进行处理。