相关概念

最近更新时间:2020-06-03 17:51:10

DDoS 攻击

分布式拒绝服务攻击(Distributed Denial of Service,DDoS)指攻击者通过网络远程控制大量僵尸主机向一个或多个目标发送大量攻击请求,堵塞目标服务器的网络带宽或耗尽目标服务器的系统资源,导致其无法响应正常的服务请求。

网络层 DDoS 攻击

网络层 DDoS 攻击主要是指攻击者利用大流量攻击拥塞目标服务器的网络带宽,消耗服务器系统层资源,导致目标服务器无法正常响应客户访问的攻击方式。
常见攻击类型包括 SYN Flood、ACK Flood、UDP Flood、ICMP Flood 以及 DNS/NTP/SSDP/memcached 反射型攻击。

CC 攻击

CC 攻击主要是指通过恶意占用目标服务器应用层资源,消耗处理性能,导致其无法正常提供服务的攻击方式。
常见的攻击类型包括基于 HTTP/HTTPS 的 GET/POST Flood、四层 CC 以及 Connection Flood 等攻击方式。

防护带宽

防护带宽分为保底防护带宽和弹性防护带宽。

  • 保底防护带宽:指高防IP实例的保底防护能力,保底部分为包年包月预付费。
  • 弹性防护带宽:指高防IP实例的最大弹性防护能力,弹性部分为按天后付费。

若未开启弹性防护,则保底防护带宽为高防IP实例的最高防护能力。 若已开启弹性防护,则弹性防护带宽作为高防IP实例的最高防护能力。当攻击流量超过高防IP实例的最高防护能力后触发封堵。

说明:

弹性防护默认关闭。如需开启弹性防护,请在知悉弹性相关收费后自助开启。用户可以根据自身业务需求,随时调整弹性防护带宽。

弹性防护带宽的作用

开启弹性防护后,当攻击流量超过购买的保底防护能力且在弹性防护能力范围内时,腾讯云 DDoS 高防 IP 可继续为用户提供防护,保障业务访问持续性。

弹性防护如何收费

开启弹性防护后,当攻击流量超过保底防护能力时,会触发弹性防护并收取费用,取当天实际产生的最高攻击峰值所对应区间进行计费,账单次日生成。
例如,您购买的保底防护为20Gbps,且设置的弹性防护为50Gbps。若当天的实际攻击峰值为35Gbps,则需要支付30Gbps - 40Gbps区间的弹性防护费用。

清洗

当目标 IP 的公网网络流量超过设定的防护阈值时,腾讯云 DDoS 防护系统将自动对该 IP 的公网入向流量进行清洗。通过 BGP 路由协议将流量从原始网络路径中重定向到腾讯云 DDoS 清洗设备上,通过清洗设备对该 IP 的流量进行识别,丢弃攻击流量,将正常流量转发至目标 IP。
通常情况下,清洗不会影响正常访问,仅在特殊场景或清洗策略配置有误时,可能会对正常访问造成影响。当流量持续一定时间(根据攻击情况动态判断)没有异常时,清洗系统会判定攻击结束,停止清洗。

封堵

当目标 IP 受到的攻击流量超过其封堵阈值时,腾讯云将通过运营商的服务屏蔽该 IP 的所有外网访问,保护云平台其他用户免受影响。简而言之,当您的某个 IP 受到的攻击流量超过您所购买的高防IP最大防护能力时,腾讯云将屏蔽该 IP 的所有外网访问。当您的高防 IP 被封堵时,您可以登录管理控制台进行自助解封。

封堵阈值

高防 IP 的封堵阈值等于实例实际选配的最大防护能力,DDoS 高防 IP 有多种不同防护规格,详情请参考 计费概述

封堵时长

封堵时长默认为2小时,实际封堵时长与当日封堵触发次数和攻击峰值相关,最长可达24小时。
封堵时长主要受以下因素影响:

  • 攻击是否持续:若攻击一直持续,封堵时间会延长,封堵时间从延长时刻开始重新计算。
  • 攻击是否频繁:被频繁攻击的用户被持续攻击的概率较大,封堵时间会自动延长。
  • 攻击流量大小:被超大型流量攻击的用户,封堵时间会自动延长。
注意:

针对个别封堵过于频繁的用户,腾讯云保留延长封堵时长和降低封堵阈值的权利。

为什么进行封堵

腾讯云通过共享基础设施的方式降低用云成本,所有用户共享腾讯云的外网出口。当发生大流量攻击时,除了会影响被攻击对象,整个腾讯云的网络都可能会受到影响。为了避免攻击影响到其他未被攻击的用户,保障整个云平台网络的稳定,需要进行封堵。

目录