DDoS 防护概述
DDoS 防护是一套多层防御系统,可实时检测并缓解分布式拒绝服务攻击。它部署在具备专用缓解基础设施的特定地区。
主要功能
流量清洗: 通过 BGP 将可疑流量转发至清洗中心,对其进行过滤,并将干净的数据包重新投递至您的实例——不会中断合法流量。
协议过滤: 在协议层面(TCP、UDP、ICMP)对流量进行验证,在畸形或可疑数据包到达您的实例之前将其丢弃。
指纹检测: 将流量与已知攻击特征进行匹配——包括特定的载荷模式、端口范围和数据包大小——以拦截能够规避简单速率限制的攻击。
地理过滤: 按国家拦截入站流量。适用于不在特定地区运营的服务,可在无需管理单个 IP 的情况下降低暴露风险。
IP 允许/拦截列表: 显式允许或拒绝来自特定源地址的流量。适用于保护仅面向已知合作伙伴的 API。
封禁路由(Blackhole): 在超出清洗能力的极端大规模攻击下,受影响 EIP 的所有流量将作为最后手段被封禁路由,以保护更广泛的基础设施。
有关配置这些功能的逐步说明,请参阅 DDoS 防护配置指南。
地区可用性
DDoS 防护目前在以下地区可用。在未部署 DDoS 防护的地区,EIP 拦截规则为所有 EIP 提供基于阈值的防护。
asia-southeast-5a
河内
可用
asia-southwest-1a
新加坡
可用
asia-southeast-2a
雅加达
可用
sa-south-1a
圣地亚哥
可用
asia-southeast-4a
胡志明市
可用
asia-southeast-1a
香港
即将推出
asia-southeast-3a
吉隆坡
即将推出
asia-southeast-6a
马尼拉
即将推出
na-central-2a
达拉斯
即将推出
na-east-1a
华盛顿特区
即将推出
na-south-1a
迈阿密
即将推出
na-west-1a
洛杉矶
即将推出
sa-east-1a
圣保罗
即将推出
sa-north-1a
波哥大
即将推出
sa-south-2a
布宜诺斯艾利斯
即将推出
sa-west-1a
利马
即将推出
europe-central-1a
法兰克福
即将推出
europe-east-1a
伊斯坦布尔
即将推出
europe-south-1a
马赛
即将推出
me-central-1a
利雅得
即将推出
随着新地区上线,此列表将持续更新。
清洗触发机制
当分析系统判定某个 EIP 正在遭受攻击时,流量将自动重新路由至清洗中心,经过清洗后重新投递至您的实例。整个过程在数秒内完成,无需您进行任何操作。
有关清洗流水线的详细介绍——包括检测、BGP 转发、清洗阶段和重新注入——请参阅流量清洗工作原理。
清洗事件生命周期
每个清洗事件都会经历一组定义的状态。了解此生命周期有助于您解读通知并规划响应措施:
清洗中
检测到攻击;流量已转发至清洗中心。
若攻击减弱 → 清洗结束。若超出清洗能力 → 封禁路由。
清洗结束
攻击已缓解;流量恢复正常路径。
恢复正常运行。无需任何操作。
封禁路由
攻击超出清洗能力。对该 EIP 的所有流量被封禁路由。
在拦截时长(默认:2 小时)后自动到期,或可手动解除。
封禁路由结束
封禁路由已解除。流量已恢复。
恢复正常运行。
如需在封禁路由到期前手动解除,请使用管理控制台中的 DDoS 防护页面。
通知: 事件通知通过电子邮件和管理控制台发送。如需配置通知偏好或添加其他接收人,请参阅控制台中的通知设置页面。
与 EIP 拦截规则的关系
如果您的地区已部署 DDoS 防护,您将获得 EIP 拦截规则提供的所有功能——基于阈值的拦截——以及流量清洗、指纹检测、协议过滤和地理拦截。即使 DDoS 防护正在运行,EIP 拦截规则始终作为第二道防线保持活动状态。
最后更新于