阿里云DDOS高防IP是阿里云云安全旗下的一款重要产品,专为应对大规模DDOS(分布式拒绝服务)和CC等类型攻击而设计。通过使用DDOS高防IP,网站或业务即使在遭受大流量攻击时,也能确保正常访问,为用户的在线服务提供坚实的安全保障。
一、阿里云DDOS高防IP简介
1. 产品概述
阿里云DDOS高防IP不仅适用于阿里云主机,也支持非阿里云主机的互联网服务器。在服务器遭受大流量DDoS攻击,导致服务不可用的情况下,用户可以通过配置高防IP,将攻击流量引流到高防IP,从而确保源站的稳定可靠。
2. 工作原理
购买DDoS高防IP服务后,用户需要将域名解析到高防IP(对于Web业务,将域名解析指向高防IP;对于非Web业务,将业务IP替换成高防IP),并配置源站IP。所有公网流量都会先经过高防IP机房,通过端口协议转发的方式,将访问流量通过高防IP转发到源站IP。同时,高防IP会对恶意攻击流量进行清洗过滤,只将正常流量返回给源站IP,从而确保源站IP的稳定访问。
3. 引流技术方案
DDoS高防IP服务支持BGP与DNS两种引流技术方案。在防护方式上,主要采用被动清洗方式,辅以主动压制,对攻击进行综合运营托管,确保用户在攻击下能够高枕无忧。
4. 防护技术
针对DDoS攻击,阿里云DDOS高防IP在传统的代理、探测、反弹、认证、黑白名单、报文合规等标准技术的基础上,结合了Web安全过滤、信誉、七层应用分析、用户行为分析、特征学习、防护对抗等多种先进技术,对威胁进行阻断过滤。即使在攻击持续状态下,也能保证被防护用户对外提供业务服务。
阿里云ddos高防IP产品详情:https://www.aliyun.com/product/security/ddos
二、DDoS攻击类型及防护能力
1. DDoS攻击类型
DDoS攻击即分布式拒绝服务攻击,它借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动攻击,从而成倍地提高拒绝服务攻击的威力。以下是常见的DDoS攻击类型:
- 畸形报文攻击:包括frag flood、smurf、stream flood、land flood攻击,以及IP畸形包、TCP畸形包、UDP畸形包等。
- 传输层DDoS攻击:包括syn flood、ack flood、udp flood、icmp flood、rstflood等。
- Web应用DDoS攻击:包括HTTP get flood、HTTP post flood、CC攻击等。
- DNS DDoS攻击:包括DNS request flood、DNS response flood、虚假源+真实源DNS query flood、权威服务器和local服务器攻击等。
- 连接型DDoS攻击:包括TCP慢速连接攻击、连接耗尽攻击、loic、hoic、slowloris、Pyloris、xoic等慢速攻击。
2. 防护能力
阿里云DDOS高防IP服务基于阿里云自主研发的云盾产品,提供强大的DDoS防护能力。其防护系统已具备T级的防护能力,并且不断在各地扩容防护能力节点。阿里云DDOS高防IP可以防护SYN Flood、UDP Flood、ACK Flood、ICMP Flood、DNS Query Flood、NTP reply Flood、CC攻击等三到七层的DDoS攻击。
三、产品架构与优势
1. 产品架构
阿里云DDOS高防IP服务的产品架构包括引流技术、防护技术和清洗服务等。从引流技术上,支持BGP与DNS两种方案;在防护技术上,采用被动清洗为主、主动压制为辅的方式;同时,通过专门的高防机房提供DDoS防护服务。
以下是DDoS高防IP服务的网络拓扑示意图:
左侧是DDoS高防IP防护服务结构,右侧是阿里云提供的免费DDoS防护服务结构。用户购买DDoS高防IP后,所有公网流量都会先经过高防机房,通过端口协议转发的方式将访问流量转发到源站IP,同时将恶意攻击流量在高防IP上进行清洗过滤。
2. 产品优势
- 防护海量DDoS攻击:阿里云DDOS高防IP成功防御了全球最大的DDoS攻击,攻击流量达到453.8G。它能够有效抵御所有各类基于网络层、传输层及应用层的DDoS攻击。
- 精准攻击防护:针对交易类、加密类、七层应用、智能终端、在线业务攻击等实现精准防护,使得威胁无处可逃。
- 隐藏用户服务资源:云盾DDoS高防IP服务可对用户站点进行更换并隐藏,使用云盾资源作为源站的前置,使攻击者无法找到受害者网络资源,增加源站安全性。
- 弹性防护:DDoS防护性能支持弹性调整。用户可在管理控制台自助升级,秒级生效,且无需新增任何物理设备。同时,业务上也无需进行任何调整,整个过程服务无中断。
- 高可靠、高可用的服务:提供全自动检测和攻击策略匹配,实时防护,清洗服务可用性高达99.99%。
- 百倍赔偿:如果DDoS清洗业务防护不成功,阿里云将对用户进行百倍赔偿。
四、价格与付费方案
1. 价格表
阿里云DDOS高防IP服务的价格根据防护的峰值带宽不同而有所差异。具体来说,DDoS攻击防护峰值带宽范围在20 Gbps至300 Gbps之间,最低价格为¥16,800/月(20G)。
2. 付费方案
阿里云DDOS高防IP服务提供灵活的付费方案。用户可以选择按月付费或按天弹性付费。按天弹性付费方案根据当天攻击规模灵活计费,为用户提供了更加经济、高效的选择。
以下是阿里云DDOS高防IP的优惠券链接,用户可以通过点击链接获取优惠:点击领取阿里产品通用折扣券
五、使用场景与应用案例
1. 使用场景
阿里云DDOS高防IP服务的主要使用场景包括金融、娱乐(游戏)、媒资、电商、政府等网络安全攻击防护场景。特别是对于那些对用户业务体验实时性要求较高的业务,如实时对战游戏、页游、在线金融、电商、在线教育、O2O等,建议接入高防IP进行防护。
2. 应用案例
在实际应用中,阿里云DDOS高防IP服务已经帮助众多企业成功抵御了大规模的DDoS攻击。以下是一个典型的应用案例:
某知名电商平台在促销活动期间,遭受了大规模的DDoS攻击。攻击流量瞬间飙升,导致平台服务器无法承受,服务出现中断。为了应对攻击,该电商平台迅速启用了阿里云DDOS高防IP服务。通过配置高防IP,将攻击流量引流到高防机房进行清洗过滤。经过阿里云DDOS高防IP服务的防护,恶意攻击流量被有效阻挡,正常访问流量得以顺利到达源站服务器。最终,该电商平台在攻击持续的情况下,仍然保持了服务的稳定性和可用性,确保了促销活动的顺利进行。
六、配置与使用指南
1. 配置流程
配置阿里云DDOS高防IP服务的流程相对简单明了。以下是具体的配置步骤:
- 购买服务:首先,用户需要登录阿里云官网,选择DDOS高防IP服务进行购买。根据实际需求选择合适的防护峰值带宽和付费方案。
- 域名解析:购买服务后,用户需要将域名解析到高防IP。对于Web业务,将域名解析指向高防IP;对于非Web业务,将业务IP替换成高防IP。
- 配置源站IP:在阿里云管理控制台中,配置源站IP信息,以便高防IP服务能够正确地将清洗后的流量转发到源站服务器。
- 设置转发规则:根据业务需求,设置相应的转发规则。例如,可以设置基于域名的转发规则、基于端口的转发规则等。
- 开启防护:完成上述配置后,即可开启DDOS高防IP服务的防护功能。此时,所有公网流量都会先经过高防机房进行清洗过滤。
2. 使用注意事项
在使用阿里云DDOS高防IP服务时,用户需要注意以下几点:
- 及时更新配置:
- 随着业务的发展和变化,用户需要及时更新高防IP服务的配置信息,以确保防护效果的最佳化。这包括更新源站IP、调整防护阈值、添加或删除需要保护的域名等。定期审查和更新配置可以确保高防服务始终与业务需求保持同步,有效抵御各类DDoS攻击。
- 监控攻击情况:
- 阿里云提供了丰富的监控和报警功能,用户可以通过管理控制台实时监控攻击情况,并及时采取应对措施。建议设置合理的报警阈值,以便在攻击发生时能够迅速响应。同时,利用阿里云提供的攻击日志和分析报告,可以深入了解攻击细节,为后续的防护策略调整提供依据。
- 合理设置防护策略:
- 根据实际需求,用户应合理设置高防IP的防护策略。这包括选择合适的防护模式(如正常模式、宽松模式或严格模式),以及配置相应的防护规则(如IP黑名单、端口过滤、CC防护等)。在设置防护策略时,需要权衡防护效果和业务可用性,确保在有效抵御攻击的同时,不影响正常业务的运行。
- 此外,用户还可以根据历史攻击数据和业务特点,定制化的设置防护策略。例如,对于经常遭受特定类型攻击的业务,可以加强相应类型的防护力度;对于业务高峰期,可以适当放宽防护策略,以确保业务的顺畅运行。
- 定期演练与应急准备:
- 为了确保在真实攻击发生时能够迅速、有效地应对,用户应定期进行DDoS攻击应急演练。通过模拟攻击场景,检验高防IP服务的防护效果,以及团队在攻击发生时的响应速度和协作能力。
- 同时,用户应制定详细的应急预案,包括攻击发生时的报告流程、责任分工、应对措施等。确保在攻击发生时,能够迅速启动应急预案,最大限度地减少损失。
- 保持与阿里云的联系:
- 在使用高防IP服务的过程中,用户应保持与阿里云的密切联系。如遇任何问题或疑问,可以及时联系阿里云客服或技术支持团队寻求帮助。同时,关注阿里云发布的最新产品动态和安全公告,以便及时了解高防IP服务的最新功能和安全更新。
综上所述,使用阿里云DDOS高防IP服务时,用户需要注意及时更新配置、监控攻击情况、合理设置防护策略、定期演练与应急准备以及保持与阿里云的联系。通过遵循这些注意事项,用户可以充分利用高防IP服务的优势,有效抵御DDoS攻击,保障业务的稳定运行。
