阿里云抗ddos云防护服务器基础防护介绍

DDoS基础防护服务可以有效防止云服务器ECS实例受到恶意攻击，阿里云服务器是一款自带基础防护的ddos云防护服务器，阿里云免费为用户提供最高5G的默认DDoS防护能力。从而保证ECS系统的稳定，即当流入ECS实例的流量超出实例规格对应的限制时，云盾就会帮助ECS实例限流，避免ECS系统出现问题。

阿里云云盾默认为ECS实例免费提供最大5 Gbit/s的流量攻击的防护，不同实例规格的免费防护流量不同，您可以登录云盾DDoS防护管理控制台查看实际防护阈值，DDoS基础防护黑洞阈值如下：

地域	支持IPv4	支持IPv6	1 核 CPU 规格 ECS 实例	2 核 CPU 规格 ECS 实例	4 核以上 CPU 规格 ECS 实例	SLB、EIP（含NAT网关公网IP）、WAF实例
华东1（杭州）	√	√	500 M	1 G	5 G	5 G
华东2（上海）	√	√	500 M	1 G	2 G	2 G
华北1（青岛）	√	×	500 M	1 G	5 G	5 G
华北2（北京）	√	√	500 M	1 G	2 G	2 G
华北3（张家口）	√	√	500 M	1 G	2 G	2 G
华北5（呼和浩特）	√	√	500 M	1 G	2 G	2 G
华南1（深圳）	√	√	500 M	1 G	2 G	2 G
华南2（河源）	√	√	500 M	1 G	2 G	2 G
西南1（成都）	√	×	500 M	1 G	2 G	2 G
中国香港	√	√	500 M	500 M	500 M	500 M
新加坡	√	×	500 M	500 M	500 M	500 M
澳大利亚（悉尼）	√	×	500 M	500 M	500 M	500 M
马来西亚（吉隆坡）	√	×	500 M	500 M	500 M	500 M
印度尼西亚（雅加达）	√	×	500 M	500 M	500 M	500 M
日本（东京）	√	×	500 M	500 M	500 M	500 M
德国（法兰克福）	√	×	500 M	500 M	500 M	500 M
英国（伦敦）	√	×	500 M	500 M	500 M	500 M
美国（硅谷）	√	×	500 M	1 G	2 G	2 G
美国（弗吉尼亚）	√	×	500 M	500 M	500 M	500 M
印度（孟买）	√	×	500 M	1 G	1 G	1 G
阿联酋（迪拜）	√	×	500 M	500 M	500 M	500 M

默认的黑洞时长是2.5个小时，黑洞期间不支持解封。实际黑洞时长视攻击情况而定，从30分钟到24小时不等。黑洞时长主要受以下因素影响：

攻击是否持续。如果攻击一直持续，黑洞时间会延长，黑洞时间从延长时刻开始重新计算。
攻击是否频繁。如果某用户是首次被攻击，黑洞时间会自动缩短；反之，频繁被攻击的用户被持续攻击的概率较大，黑洞时间会自动延长。

DDoS基础防护工作原理

启用DDoS基础防护后，云盾会实时监控进入ECS实例的流量。当监测到超大流量或者包括DDoS攻击在内的异常流量时，在不影响正常业务的前提下，云盾会将可疑流量从原始网络路径中重定向到净化产品上，识别并剥离恶意流量，并将还原的合法流量回注到原始网络中转发给目标ECS实例。这一过程，就是流量清洗。DDoS基础防护主要采用在阿里云机房出口处建设DDoS攻击检测及清洗系统，采用旁路部署方式。 DDoS基础防护网络拓扑架构如下图所示。

**说明：**启用了DDoS基础防护的ECS实例，当来自互联网的流量大于5 Gbit/s时，为保护整个集群的安全，阿里云会让相应ECS实例进入黑洞，丢弃进入该实例的所有流量，屏蔽公网对它的所有访问。详细信息，请参见DDoS防护指南-阿里云黑洞策略。
流量清洗的触发条件包括：

流量模型的特征。当流量符合攻击流量特征时，就会触发清洗。
流量大小。DDoS攻击一般流量都非常大，通常都以Gbit/s为单位，因此，当进入ECS实例的流量达到设置的阈值时，无论是否为正常业务流量，云盾都会启动流量清洗。
流量清洗的方法包括：过滤攻击报文、限制流量速度、限制数据包速度等。

所以，在使用DDoS基础防护时，您需要设置以下阈值：

BPS清洗阈值：当入方向流量超过BPS清洗阈值时，会触发流量清洗。
PPS清洗阈值：当入方向数据包数超过PPS清洗阈值时，会触发流量清洗。

云服务器ECS的清洗阈值

云服务器ECS的清洗阈值由实例规格决定，以ecs.g5.16xlarge为例，清洗阈值如下所示。

实例规格	最大BPS清洗阈值（Gbit/s）	最大PPS清洗阈值（万PPS）
ecs.g5.16xlarge	20	400