相关概念

最近更新时间:2019-08-09 15:42:23

DDoS 攻击

Distributed Denial of Service(DDoS),即分布式拒绝服务攻击,是指攻击者通过网络远程控制大量僵尸主机向一个或多个目标发送大量攻击请求,堵塞目标服务器的网络带宽或耗尽目标服务器的系统资源,导致其无法响应正常的服务请求。

网络层 DDoS 攻击

网络层 DDoS 攻击主要是指攻击者利用大流量攻击拥塞目标服务器的网络带宽,消耗服务器系统层资源,导致目标服务器无法正常响应客户访问的攻击方式。
常见攻击类型包括 SYN Flood、ACK Flood、UDP Flood、ICMP Flood 以及 DNS/NTP/SSDP/memcached 反射型攻击。

CC 攻击

CC 攻击主要是指通过恶意占用目标服务器应用层资源,消耗处理性能,导致其无法正常提供服务的攻击方式。
常见的攻击类型包括基于 HTTP/HTTPS 的 GET/POST Flood、四层 CC 以及 Connection Flood 等攻击方式。

防护峰值

防护峰值分为保底防护峰值和弹性防护峰值。

  • 保底防护峰值:指高防服务实例的保底防护带宽能力,保底部分为按月预付费。
  • 弹性防护峰值:指高防服务实例的最大弹性防护带宽能力,弹性部分为按天后付费。

若未开启弹性防护,则保底防护峰值为高防服务实例的最高防护峰值。 若已开启弹性防护,则弹性防护峰值作为高防服务实例的最高防护峰值。当攻击流量超过高防服务实例的最高防护峰值后触发封堵。

说明:

弹性防护默认关闭。如需开启弹性防护,请在知悉弹性相关收费后自助开启。用户可以根据自身业务需求,随时调整弹性防护峰值。

弹性防护峰值的作用

开启弹性防护后,当攻击流量峰值超过购买的保底防护峰值且在弹性防护峰值范围内时,腾讯云 BGP 高防 IP 可继续为用户提供防护,保障业务访问持续性。

弹性防护如何收费

开启弹性防护后,当攻击流量超过保底防护峰值时,会触发弹性防护并收取费用,取当天实际产生的最高攻击峰值所对应区间进行计费,账单次日生成。
例如,您购买的保底防护为20Gbps,且设置的弹性防护为50Gbps。若当天的实际攻击峰值为35Gbps,则需要支付30Gbps - 40Gbps区间的弹性防护费用。
详细费用请参见 计费概述

清洗

当目标 IP 的公网网络流量超过设定的防护阈值时,腾讯云大禹系统将自动对该 IP 的公网入向流量进行清洗。通过 BGP 路由协议将流量从原始网络路径中重定向到大禹系统的 DDoS 清洗设备上,通过清洗设备对该 IP 的流量进行识别,丢弃攻击流量,将正常流量转发至目标 IP。
通常情况下,清洗不会影响正常访问,仅在特殊场景或清洗策略配置有误时,可能会对正常访问造成影响。

封堵

当目标 IP 受到的攻击流量超过其封堵阈值时,腾讯云将通过运营商的服务屏蔽该 IP 的所有外网访问,保护云平台其他用户免受影响。简而言之,当您的某个 IP 受到的攻击流量超过您所购买的高防套餐最大 防护峰值 时,腾讯云将屏蔽该 IP 的所有外网访问。当您的防护 IP 被封堵时,您可以登录管理控制台 自助解封
封堵

封堵阈值

BGP 高防 IP 实例的防护 IP 的封堵阈值等于实际购买的最大 防护峰值。BGP 高防 IP 有多种不同规格,详情请参考 计费概述

封堵时长

封堵时长默认为2小时,实际封堵时长与当日封堵触发次数和攻击峰值相关,最长可达24小时。
封堵时长主要受以下因素影响:

  • 攻击是否持续。若攻击一直持续,封堵时间会延长,封堵时间从延长时刻开始重新计算。
  • 攻击是否频繁。被频繁攻击的用户被持续攻击的概率较大,封堵时间会自动延长。
  • 攻击流量大小。被超大型流量攻击的用户,封堵时间会自动延长。

注意:

针对个别封堵过于频繁的用户,腾讯云保留延长封堵时长和降低封堵阈值的权利。

为什么进行封堵

腾讯云通过共享基础设施的方式降低用云成本,所有用户共享腾讯云的外网出口。当发生大流量攻击时,除了会影响被攻击对象,整个腾讯云的网络都可能会受到影响。为了避免攻击影响到其他未被攻击的用户,保障整个云平台网络的稳定,需要进行封堵。

为什么不提供免费无限抗攻击

DDoS 攻击不仅影响受害者,也会对整个云网络造成严重影响,影响云内其它未被攻击的用户。DDoS 防御的成本非常高,一是带宽成本,二是清洗成本。其中最大的成本就是带宽费用,带宽费用以总流量计算,不会考虑是正常流量或是攻击流量而区别收费。
因此,腾讯云在成本可承受的范围内为云服务用户提供免费的 DDoS 基础防护服务,当攻击流量超出免费防护阈值时,腾讯云会屏蔽被攻击 IP 的外网流量。
有关封堵的更多信息,请参见 封堵相关问题