DDoS 防护概述

最近更新时间：2024-03-21 17:13:11

我的收藏

本页目录：

什么是 DDoS 攻击
分布式拒绝服务攻击（Distributed Denial of Service，DDoS）是指攻击者通过网络远程控制大量僵尸主机向一个或多个目标发送大量攻击请求，堵塞目标服务器的网络带宽或耗尽目标服务器的系统资源，导致其无法响应正常的服务请求。
DDoS 攻击的危害
如果遭受 DDoS 攻击导致业务中断或受损，将会带来巨大的商业损失。
重大经济损失：在遭受 DDoS 攻击后，源站服务器可能无法提供服务，导致用户无法访问您的业务，从而造成巨大的经济损失和品牌损失。
数据泄露：黑客在对您的服务器进行 DDoS 攻击时，可能会趁机窃取您业务的核心数据。
恶意竞争：部分行业存在恶性竞争，竞争对手可能会通过 DDoS 攻击恶意攻击您的服务，从而在行业竞争中获取优势。
DDoS 防护使用场景
游戏：游戏行业是 DDoS 攻击的重灾区，DDoS 防护能有效保证游戏的可用性和持续性，保障游戏玩家流畅体验，同时为活动、新游戏发布或节假日游戏收入旺季时段保驾护航，确保游戏业务正常。
互联网：保证互联网网页的流畅访问，业务正常不中断，对电商大促等重大活动时段，提供安全护航。
金融：满足金融行业的合规性要求，保证线上交易的实时性及安全稳定性。
政府：满足国家政务云建设标准的安全需求，为重大会议、活动、敏感时期提供安全保障，保障民生服务正常可用，维护政府公信力。
企业：保障企业站点服务持续可用，避免 DDoS 攻击带来的经济及企业品牌形象损失问题，零硬件零维护，节省安全成本。
EdgeOne 的 DDoS 防护
DDoS 防护范围
EdgeOne 对所有接入业务提供并开启 L3/L4 流量型 DDoS 攻击防护，实时监控网络流量，当识别到 DDoS 攻击时立即进行流量清洗过滤。DDoS 防护功能提供预设防护策略，基于攻击画像、行为模式分析、AI 智能识别等防护算法，可识别并过滤下列类型的 DDoS 攻击：
防护分类
描述
畸形报文过滤
过滤 frag flood，smurf，stream flood，land flood 攻击，过滤 IP 畸形包、TCP 畸形包、UDP 畸形包。
网络层 DDoS 攻击防护
过滤 UDP Flood、SYN Flood、TCP Flood、ICMP Flood、ACK Flood、FIN Flood、RST Flood、DNS/NTP/SSDP 等反射攻击、空连接。
DNS DDoS 攻击
DNS DDoS 攻击主要包括 DNS Request Flood、DNS Response Flood、虚假源+真实源 DNS Query Flood、权威服务器攻击和 Local 服务器攻击等。
连接型 DDoS 攻击
连接型 DDoS 攻击主要是指TCP慢速连接攻击、连接耗尽攻击、Loic、Hoic、Slowloris、 Pyloris、Xoic 等慢速攻击。
DDoS 防护规格
EdgeOne 的平台默认防护规格，为全部接入 EdgeOne 的业务提供基础 DDoS 防护能力和资源，可为大部分站点业务和 TCP/UDP 应用提供满足日常使用的基础防护能力。在此基础上，对于有遭受较大 DDoS 攻击风险预期、需要保持长连接、或者需要配置定制化流量管控策略的业务，EdgeOne 提供了独立 DDoS 防护，满足此类业务的流量过滤需求。具体规格如下：
功能名称
平台默认防护
独立 DDoS 防护
自动化识别 L3/L4 攻击并清洗1﻿
✓
✓
独享的接入 IP 地址
-
✓
攻击时保持 DNS 解析调度不变2﻿
-
✓
DDoS 防护专用带宽资源3﻿
-
✓
独享的清洗中心资源
-
✓
支持自定义流量过滤策略4﻿
-
支持配置下列流量过滤策略：
IP 封禁
区域封禁
协议封禁
端口过滤
流量特征过滤
连接类攻击过滤
说明：
﻿注1
：默认仅对超过 100Mbps 的攻击流量进行自动化清洗防护（攻击流量基于单一地区的流量统计，阈值仅供参考，请以实际防护为准）。
﻿注2
：攻击过程中，独立 DDoS 防护将保持您业务的 DNS 解析不变。这对于包括 WebSocket 在内的长连接业务尤为关键，当 DNS 解析因为缓解 DDoS 攻击的需要进行调整变化时，可能会导致已有连接重置或中断。客户端需要重新发起新的连接。
﻿注3
：平台默认防护不承诺用于 DDoS 防护的资源容量。实际防护容量根据基础设施的实际容量和资源分配情况动态调整。EdgeOne 可能在遭遇一定 DDoS 攻击流量时进行包括（不限于）DNS 解析调度、流量限频、封禁等缓解措施，以保障基础设施稳定。如您的业务曾遭遇过超过流量型 DDoS 攻击，请考虑选用合适规格的独立 DDoS 防护，预留专用防护资源，以保障业务可用性。
﻿注4
：自定义流量过滤策略仅支持启用独立 DDoS 防护的四层代理实例。对于域名方式接入的站点，不支持网络流量过滤。如需对访问客户端进行过滤，请使用 Web 防护 - 自定义规则。
注5：DDoS 防护清洗的攻击流量不计费，详情可参考：关于“干净流量”计费说明。独立 DDoS 防护清洗后流量的计费方式请参考：独立 DDoS 防护相关费用（后付费）。
独立 DDoS 防护介绍
适用场景
独立 DDoS 防护是 EdgeOne 推出的一项增强 DDoS 防护的付费功能，提供独享清洗中心接入能力。当平台默认防护无法满足您的业务正常运行诉求时，您可以通过使用独立 DDoS 防护，来帮助您保护您的业务正常运行。独立 DDoS 防护开启后，将为您的业务提供独立高防 IP 来进行流量清洗，可根据您选购的保底防护容量和弹性防护容量，提供承诺的防护带宽值。
说明：
独立 DDoS 防护仅 EdgeOne 企业版套餐可订阅。
能力介绍
1. 默认接入节点使用清洗中心，提供更大的 DDoS 防护能力，最高可达 T 级。
2. 可承诺防护容量，可根据业务部署情况灵活选择全球可用区（不含中国大陆）、中国大陆可用区、全球可用区的防护规格。
3. 除了自动清洗与识别机制，EdgeOne DDoS 防护可针对您的业务防护需求，提供多样化、灵活的 DDoS 自定义防护策略，您可根据特殊业务特点灵活设置，应对不断变化的攻击手法。对于四层代理实例，支持以下自定义规则能力配置：
说明：
当请求同时匹配多个规则时，按照如下规则顺序处理。
防护模块
功能说明
﻿IP 黑白名单﻿
在 DDoS 攻击中通过匹配 IP 黑白名单的方式来限制对 EdgeOne 站点的访问。
﻿端口过滤﻿
在 DDoS 攻击中通过自定义端口规则，限制指定端口范围访问 EdgeOne 站点。
﻿协议封禁﻿
可配置仅允许用户通过指定协议访问 EdgeOne 站点。
﻿连接类攻击防护﻿
支持对连接型攻击进行防护，对连接行为异常的客户端自动封禁。
﻿特征过滤﻿
在 DDoS 攻击中支持针对 IP、TCP 及 UDP 报文头或载荷中的特征自定义拦截策略。
﻿区域封禁﻿
在 DDoS 攻击中通过匹配区域的方式来限制对 EdgeOne 站点的访问。
﻿

上一篇: 概述下一篇: 使用独立 DDoS 防护

防护分类	描述
畸形报文过滤	过滤 frag flood，smurf，stream flood，land flood 攻击，过滤 IP 畸形包、TCP 畸形包、UDP 畸形包。
网络层 DDoS 攻击防护	过滤 UDP Flood、SYN Flood、TCP Flood、ICMP Flood、ACK Flood、FIN Flood、RST Flood、DNS/NTP/SSDP 等反射攻击、空连接。
DNS DDoS 攻击	DNS DDoS 攻击主要包括 DNS Request Flood、DNS Response Flood、虚假源+真实源 DNS Query Flood、权威服务器攻击和 Local 服务器攻击等。
连接型 DDoS 攻击	连接型 DDoS 攻击主要是指TCP慢速连接攻击、连接耗尽攻击、Loic、Hoic、Slowloris、 Pyloris、Xoic 等慢速攻击。

功能名称	平台默认防护	独立 DDoS 防护
自动化识别 L3/L4 攻击并清洗¹	✓	✓
独享的接入 IP 地址	-	✓
攻击时保持 DNS 解析调度不变²	-	✓
DDoS 防护专用带宽资源³	-	✓
独享的清洗中心资源	-	✓
支持自定义流量过滤策略⁴	-	支持配置下列流量过滤策略： IP 封禁区域封禁协议封禁端口过滤流量特征过滤连接类攻击过滤

防护模块	功能说明
IP 黑白名单	在 DDoS 攻击中通过匹配 IP 黑白名单的方式来限制对 EdgeOne 站点的访问。
端口过滤	在 DDoS 攻击中通过自定义端口规则，限制指定端口范围访问 EdgeOne 站点。
协议封禁	可配置仅允许用户通过指定协议访问 EdgeOne 站点。
连接类攻击防护	支持对连接型攻击进行防护，对连接行为异常的客户端自动封禁。
特征过滤	在 DDoS 攻击中支持针对 IP、TCP 及 UDP 报文头或载荷中的特征自定义拦截策略。
区域封禁	在 DDoS 攻击中通过匹配区域的方式来限制对 EdgeOne 站点的访问。