新闻动态

新闻动态

news

技术文章

首页>新闻动态>技术文章

阿里云服务器ECS DDoS基础防护

发表时间:2019-11-26 00:51:53

DDoS基础防护服务可以有效防止云服务器ECS实例受到恶意攻击,从而保证ECS系统的稳定,即当流入ECS实例的流量超出实例规格对应的限制时,云盾就会帮助ECS实例限流,避免ECS系统出现问题。

阿里云云盾默认为ECS实例免费提供最大5 Gbit/s恶意流量攻击,不同实例规格的免费防护流量不同,您可以登录云盾DDoS防护管理控制台查看实际防护阈值,详情请参见DDoS基础防护黑洞阈值。

DDoS基础防护工作原理

启用DDoS基础防护后,云盾会实时监控进入ECS实例的流量。当监测到超大流量或者包括DDoS攻击在内的异常流量时,在不影响正常业务的前提下,云盾会将可疑流量从原始网络路径中重定向到净化产品上,识别并剥离恶意流量,并将还原的合法流量回注到原始网络中转发给目标ECS实例。这一过程,就是流量清洗。更详细的信息,请参见DDoS基础防护服务-产品架构。

说明 启用了DDoS基础防护的ECS实例,当来自互联网的流量大于5 Gbit/s时,为保护整个集群的安全,阿里云会让相应ECS实例进入黑洞,丢弃进入该实例的所有流量,屏蔽公网对它的所有访问。详细信息,请参见DDoS防护指南-阿里云黑洞策略 。

流量清洗的触发条件包括:

  • 流量模型的特征。当流量符合攻击流量特征时,就会触发清洗。

  • 流量大小。DDoS攻击一般流量都非常大,通常都以Gbit/s为单位,因此,当进入ECS实例的流量达到设置的阈值时,无论是否为正常业务流量,云盾都会启动流量清洗。

流量清洗的方法包括:过滤攻击报文、限制流量速度、限制数据包速度等。

所以,在使用DDoS基础防护时,您需要设置以下阈值:

  • BPS清洗阈值:当入方向流量超过BPS清洗阈值时,会触发流量清洗。

  • PPS清洗阈值:当入方向数据包数超过PPS清洗阈值时,会触发流量清洗。

云服务器ECS的清洗阈值

云服务器ECS的清洗阈值由实例规格决定。下表列出了目前在售和已停售的部分实例规格的清洗阈值。详情请参见在售的实例规格和已停售的实例规格。


实例规格最大BPS清洗阈值(Mbit/s)最大PPS清洗阈值(PPS)
ecs.g5.16xlarge200004000000
ecs.g5.22xlarge300004500000
ecs.g5.2xlarge2500800000
ecs.g5.4xlarge50001000000
ecs.g5.6xlarge75001500000
ecs.g5.8xlarge100002000000
ecs.g5.large1000300000
ecs.g5.xlarge1500500000
ecs.sn2ne.14xlarge100004500000
ecs.sn2ne.2xlarge20001000000
ecs.sn2ne.4xlarge30001600000
ecs.sn2ne.8xlarge60002500000
ecs.sn2ne.large1000300000
ecs.sn2ne.xlarge1500500000
ecs.c5.16xlarge200004000000
ecs.c5.2xlarge2500800000
ecs.c5.4xlarge50001000000
ecs.c5.6xlarge75001500000
ecs.c5.8xlarge100002000000
ecs.c5.large1000300000
ecs.c5.xlarge1500500000
ecs.sn1ne.2xlarge20001000000
ecs.sn1ne.4xlarge30001600000
ecs.sn1ne.8xlarge60002500000
ecs.sn1ne.large1000300000
ecs.sn1ne.xlarge1500500000
ecs.r5.16xlarge200004000000
ecs.r5.22xlarge300004500000
ecs.r5.2xlarge2500800000
ecs.r5.4xlarge50001000000
ecs.r5.6xlarge75001500000
ecs.r5.8xlarge100002000000
ecs.r5.large1000300000
ecs.r5.xlarge1500500000
ecs.re4.20xlarge150002000000
ecs.re4.40xlarge300004000000
ecs.se1ne.14xlarge100004500000
ecs.se1ne.2xlarge20001000000
ecs.se1ne.4xlarge30001600000
ecs.se1ne.8xlarge60002500000
ecs.se1ne.large1000300000
ecs.se1ne.xlarge1500500000
ecs.se1.14xlarge100001200000
ecs.se1.2xlarge1500400000
ecs.se1.4xlarge3000500000
ecs.se1.8xlarge6000800000
ecs.se1.large500100000
ecs.d1ne.2xlarge60001000000
ecs.d1ne.4xlarge120001600000
ecs.d1ne.6xlarge160002000000
ecs.d1ne.8xlarge200002500000
ecs.d1ne.14xlarge350004500000
ecs.d1.2xlarge3000300000
ecs.d1.4xlarge6000600000
ecs.d1.6xlarge8000800000
ecs.d1.8xlarge100001000000
ecs.d1-c8d3.8xlarge100001000000
ecs.d1.14xlarge170001800000
ecs.d1-c14d3.14xlarge170001400000
ecs.i2.xlarge1000500000
ecs.i2.2xlarge20001000000
ecs.i2.4xlarge30001500000
ecs.i2.8xlarge60002000000
ecs.i2.16xlarge100004000000
ecs.i1.xlarge800200000
ecs.i1.2xlarge1500400000
ecs.i1.4xlarge3000500000
ecs.i1-c10d1.8xlarge6000800000
ecs.i1-c5d1.4xlarge3000400000
ecs.i1.14xlarge100001200000
ecs.hfc5.large1000300000
ecs.hfc5.xlarge1500500000
ecs.hfc5.2xlarge20001000000
ecs.hfc5.4xlarge30001600000
ecs.hfc5.6xlarge45002000000
ecs.hfc5.8xlarge60002500000
ecs.hfg5.large1000300000
ecs.hfg5.xlarge1500500000
ecs.hfg5.2xlarge20001000000
ecs.hfg5.4xlarge30001600000
ecs.hfg5.6xlarge45002000000
ecs.hfg5.8xlarge60002500000
ecs.hfg5.14xlarge100004000000
ecs.c4.2xlarge3000400000
ecs.c4.4xlarge6000800000
ecs.c4.xlarge1500200000
ecs.ce4.xlarge1500200000
ecs.cm4.4xlarge6000800000
ecs.cm4.6xlarge100001200000
ecs.cm4.xlarge1500200000
ecs.gn5-c28g1.14xlarge100004500000
ecs.gn5-c4g1.xlarge3000300000
ecs.gn5-c4g1.2xlarge50001000000
ecs.gn5-c8g1.2xlarge3000400000
ecs.gn5-c8g1.4xlarge50001000000
ecs.gn5-c28g1.7xlarge50002250000
ecs.gn5-c8g1.8xlarge100002000000
ecs.gn5-c8g1.14xlarge250004000000
ecs.gn5i-c2g1.large1000100000
ecs.gn5i-c4g1.xlarge1500200000
ecs.gn5i-c8g1.2xlarge2000400000
ecs.gn5i-c16g1.4xlarge3000800000
ecs.gn5i-c28g1.14xlarge100002000000
ecs.gn4-c4g1.xlarge3000300000
ecs.gn4-c8g1.2xlarge3000400000
ecs.gn4-c4g1.2xlarge5000500000
ecs.gn4-c8g1.4xlarge5000500000
ecs.gn4.8xlarge6000800000
ecs.gn4.14xlarge100001200000
ecs.ga1.xlarge1000200000
ecs.ga1.2xlarge1500300000
ecs.ga1.4xlarge3000500000
ecs.ga1.8xlarge6000800000
ecs.ga1.14xlarge100001200000
ecs.f1-c28f1.7xlarge50002000000
ecs.f1-c8f1.2xlarge2000800000
ecs.f2-c28f1.14xlarge100002000000
ecs.f2-c28f1.7xlarge50001000000
ecs.f2-c8f1.2xlarge2000400000
ecs.f2-c8f1.4xlarge50001000000
ecs.t5-c1m1.2xlarge1200400000
ecs.t5-c1m1.large500100000
ecs.t5-c1m1.xlarge800200000
ecs.t5-c1m1.4xlarge1200600000
ecs.t5-c1m2.2xlarge1200400000
ecs.t5-c1m2.large500100000
ecs.t5-c1m2.xlarge800200000
ecs.t5-c1m2.4xlarge1200600000
ecs.t5-c1m4.2xlarge1200400000
ecs.t5-c1m4.large500100000
ecs.t5-c1m4.xlarge800200000
ecs.t5-lc1m1.small20060000
ecs.t5-lc1m2.large400100000
ecs.t5-lc1m2.small20060000
ecs.t5-lc1m4.large400100000
ecs.t5-lc2m1.nano10040000
ecs.ebmg4.8xlarge100004500000
ecs.ebmg5.24xlarge100004500000
ecs.sccg5.24xlarge100004500000
ecs.xn4.small50050000
ecs.mn4.small50050000
ecs.mn4.large500100000
ecs.mn4.xlarge800150000
ecs.mn4.2xlarge1200300000
ecs.mn4.4xlarge2500400000
ecs.n4.small50050000
ecs.n4.large500100000
ecs.n4.xlarge800150000
ecs.n4.2xlarge1200300000
ecs.n4.4xlarge2500400000
ecs.n4.8xlarge5000500000
ecs.e4.small50050000
ecs.sn1.medium500100000
ecs.sn1.large800200000
ecs.sn1.xlarge1500400000
ecs.sn1.3xlarge3000500000
ecs.sn1.7xlarge6000800000
ecs.sn2.medium500100000
ecs.sn2.large800200000
ecs.sn2.xlarge1500400000
ecs.sn2.3xlarge3000500000
ecs.sn2.7xlarge6000800000
ecs.sn2.13xlarge10000120000

相关操作

云服务器ECS默认开启DDoS基础防护。ECS实例创建后,您可以执行以下操作:

  • 设置清洗阈值:ECS实例创建后,默认按实例规格对应的最大阈值执行DDoS基础防护。但是,部分实例规格的最大清洗阈值(BPS)可能过大,无法起到应有的防护作用,所以,您需要根据实际情况调整清洗阈值,具体操作,请参见DDoS基础防护用户指南-DDos基础防护设置 。

  • (不推荐)取消流量清洗:当进入ECS实例的流量达到清洗阈值时,无论是否为正常业务流量,云盾都会启动流量清洗,此时,可能会导致正常业务不可用或受影响。为了保证正常业务,您可以手动取消流量清洗。具体操作,请参见DDos基础防护用户指南-如何取消流量清洗 。

    警告 取消流量清洗后,当流入ECS实例的流量超过5 Gbit/s时,您的ECS实例会被打进黑洞。请谨慎操作。


10多年开发经验,铸造多级安全、稳定、高负载咨询问答系统!