阿里云DDoS 高防IP功能作用与防御原理 高防IP实践教程
云盾DDoS高防IP产品是针对解决互联网服务器(包括非阿里云主机)在遭受大流量的DDoS攻击后导致服务不可用的情况,推出的付费增值服务。您可以通过配置DDoS高防IP,将攻击流量引流到高防IP,确保源站的稳定可靠。
您购买DDoS高防IP服务后,把域名解析到高防IP(Web业务把域名解析指向高防IP;非Web业务,把业务IP替换成高防IP),并配置源站IP。所有公网流量都经过高防IP机房,通过端口协议转发的方式将访问流量通过高防IP转发到源站IP,同时将恶意攻击流量在高防IP上进行清洗过滤后将正常流量返回给源站IP,从而确保源站IP稳定访问。
配置DDoS高防IP服务后,当您遭受DDoS攻击时,无需额外做流量牵引和回注。
DDos简介
DDoS Distributed Denial of Service 即分布式拒绝服务。攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动 DDoS 攻击,从而成倍地提高拒绝服务攻击的威力。
畸形报文
畸形报文包括 frag flood,smurf,stream flood,land flood 攻击,以及 IP 畸形包、TCP 畸形包、UDP 畸形包。
传输层 DDoS 攻击
传输层 DDoS 攻击包括 syn flood,ack flood,udp flood,icmp flood、rstflood。
Web 应用 DDoS 攻击
Web 应用 DDoS 攻击包括 HTTP get flood,HTTP post flood,CC 攻击。
DNS DDoS 攻击
DNS DDoS 攻击包括 DNS request flood、DNS response flood、虚假源+真实源 DNS query flood、权威服务器和 local 服务器攻击。
连接型 DDoS 攻击
连接型 DDoS 攻击包括 TCP 慢速连接攻击,连接耗尽攻击,loic,hoic,slowloris, Pyloris,xoic 等慢速攻击。
产品架构
从引流技术上,DDoS高防IP服务支持BGP与DNS两种方案。防护的方式采用被动清洗方式为主、主动压制为辅的方式,对攻击进行综合运营托管,保障用户可在攻击下高枕无忧。
针对攻击在传统的代理、探测、反弹、认证、黑白名单、报文合规等标准技术的基础上,结合Web安全过滤、信誉、七层应用分析、用户行为分析、特征学习、防护对抗等多种技术,对威胁进行阻断过滤,保证被防护用户在攻击持续状态下,仍可对外提供业务服务。
当前,阿里云建设的防护系统,防护能力已高达T级,并且不断在各地扩容防护能力节点。
阿里云基于自主研发的云盾产品,为您提供DDoS防护服务,可以防护SYN Flood、UDP Flood、ACK Flood、ICMP Flood、DNS Query Flood、NTP reply Flood、CC攻击等三到七层DDoS攻击,可防护的攻击类型请参考下图:
DDoS高防IP服务使用专门的高防机房为您提供DDoS防护服务。网络拓扑示意图如下:
左侧是DDoS高防IP防护服务结构,右侧是阿里云提供的免费DDoS防护服务结构。
您购买DDoS高防IP之后,把域名解析到高防IP(Web业务把域名解析指向高防IP;非Web业务把业务IP换成高防IP),同时在DDoS高防IP上设置转发规则。所有的公网流量都会先经过高防机房,通过端口协议转发的方式将访问流量通过高防IP转发到源站IP,同时将恶意攻击流量在高防IP上进行清洗过滤后将正常流量返回给源站IP,从而确保源站IP稳定访问的防护服务。
产品优势
防护海量DDoS攻击
成功防御全球最大DDoS攻击,攻击流量达到453.8G。
有效抵御所有各类基于网络层、传输层及应用层的DDoS攻击。
精准攻击防护针对交易类、加密类、七层应用、智能终端、在线业务攻击等实现精准防护,使得威胁无处可逃。隐藏用户服务资源云盾DDoS高防IP服务可对用户站点进行更换并隐藏。使用云盾资源作为源站的前置,使攻击者无法找到受害者网络资源,增加源站安全性。弹性防护DDoS防护性能支持弹性调整。您可在管理控制台自助升级,秒级生效,且无需新增任何物理设备。同时,业务上也无需进行任何调整,整个过程服务无中断。高可靠、高可用的服务全自动检测和攻击策略匹配,实时防护,清洗服务可用性99.99%。百倍赔偿如果DDoS清洗业务防护不成功,对您进行百倍赔偿。
使用场景
云盾高防IP服务的主要使用场景包括,金融、娱乐(游戏)、媒资、电商、政府等网络安全攻击防护场景。
建议实时对战游戏、页游、在线金融、电商、在线教育、O2O等对用户业务体验实时性要求较高的业务接入高防IP进行防护。
结束
针对互联网服务器(包括非阿里云主机)在遭受大流量的DDoS攻击后导致服务不可用的情况下,您可以通过配置高防IP,将攻击流量引流到高防IP,确保源站的稳定可靠。
