> For the complete documentation index, see [llms.txt](https://docs.console.zenlayer.com/welcome/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.console.zenlayer.com/welcome/cn/elastic-compute/ddos-protection/02-ddos-protection.md). # DDoS 防护概述 DDoS 防护是一套多层防御系统,可实时检测并缓解分布式拒绝服务攻击。它部署在具备专用缓解基础设施的特定地区。 ## 主要功能 * **流量清洗:** 通过 BGP 将可疑流量转发至清洗中心,对其进行过滤,并将干净的数据包重新投递至您的实例——不会中断合法流量。 * **协议过滤:** 在协议层面(TCP、UDP、ICMP)对流量进行验证,在畸形或可疑数据包到达您的实例之前将其丢弃。 * **指纹检测:** 将流量与已知攻击特征进行匹配——包括特定的载荷模式、端口范围和数据包大小——以拦截能够规避简单速率限制的攻击。 * **地理过滤:** 按国家拦截入站流量。适用于不在特定地区运营的服务,可在无需管理单个 IP 的情况下降低暴露风险。 * **IP 允许/拦截列表:** 显式允许或拒绝来自特定源地址的流量。适用于保护仅面向已知合作伙伴的 API。 * **封禁路由(Blackhole):** 在超出清洗能力的极端大规模攻击下,受影响 EIP 的所有流量将作为最后手段被封禁路由,以保护更广泛的基础设施。 > 有关配置这些功能的逐步说明,请参阅 [DDoS 防护配置指南](/welcome/cn/elastic-compute/ddos-protection/09-configuration-guide.md)。 ## 地区可用性 DDoS 防护目前在以下地区可用。在未部署 DDoS 防护的地区,EIP 拦截规则为所有 EIP 提供基于阈值的防护。 | 可用区 | 位置 | DDoS 防护 | | ----------------- | ------- | ------- | | asia-southeast-5a | 河内 | 可用 | | asia-southwest-1a | 新加坡 | 可用 | | asia-southeast-2a | 雅加达 | 可用 | | sa-south-1a | 圣地亚哥 | 可用 | | asia-southeast-4a | 胡志明市 | 可用 | | asia-southeast-1a | 香港 | 即将推出 | | asia-southeast-3a | 吉隆坡 | 即将推出 | | asia-southeast-6a | 马尼拉 | 即将推出 | | na-central-2a | 达拉斯 | 即将推出 | | na-east-1a | 华盛顿特区 | 即将推出 | | na-south-1a | 迈阿密 | 即将推出 | | na-west-1a | 洛杉矶 | 即将推出 | | sa-east-1a | 圣保罗 | 即将推出 | | sa-north-1a | 波哥大 | 即将推出 | | sa-south-2a | 布宜诺斯艾利斯 | 即将推出 | | sa-west-1a | 利马 | 即将推出 | | europe-central-1a | 法兰克福 | 即将推出 | | europe-east-1a | 伊斯坦布尔 | 即将推出 | | europe-south-1a | 马赛 | 即将推出 | | me-central-1a | 利雅得 | 即将推出 | *随着新地区上线,此列表将持续更新。* ## 清洗触发机制 当分析系统判定某个 EIP 正在遭受攻击时,流量将自动重新路由至清洗中心,经过清洗后重新投递至您的实例。整个过程在数秒内完成,无需您进行任何操作。 有关清洗流水线的详细介绍——包括检测、BGP 转发、清洗阶段和重新注入——请参阅[流量清洗工作原理](/welcome/cn/elastic-compute/ddos-protection/03-cleaning-deep-dive.md)。 ## 清洗事件生命周期 每个清洗事件都会经历一组定义的状态。了解此生命周期有助于您解读通知并规划响应措施: | 状态 | 描述 | 后续动作 | | ---------- | --------------------------- | ---------------------------- | | **清洗中** | 检测到攻击;流量已转发至清洗中心。 | 若攻击减弱 → 清洗结束。若超出清洗能力 → 封禁路由。 | | **清洗结束** | 攻击已缓解;流量恢复正常路径。 | 恢复正常运行。无需任何操作。 | | **封禁路由** | 攻击超出清洗能力。对该 EIP 的所有流量被封禁路由。 | 在拦截时长(默认:2 小时)后自动到期,或可手动解除。 | | **封禁路由结束** | 封禁路由已解除。流量已恢复。 | 恢复正常运行。 | *如需在封禁路由到期前手动解除,请使用*[*管理控制台*](https://console.zenlayer.com/zec/ddos/policy)*中的 DDoS 防护页面。* **通知:** 事件通知通过电子邮件和管理控制台发送。如需配置通知偏好或添加其他接收人,请参阅控制台中的[通知设置](https://console.zenlayer.com/notification/)页面。 ## 与 EIP 拦截规则的关系 如果您的地区已部署 DDoS 防护,您将获得 EIP 拦截规则提供的所有功能——基于阈值的拦截——以及流量清洗、指纹检测、协议过滤和地理拦截。即使 DDoS 防护正在运行,EIP 拦截规则始终作为第二道防线保持活动状态。 --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter: ``` GET https://docs.console.zenlayer.com/welcome/cn/elastic-compute/ddos-protection/02-ddos-protection.md?ask=&goal= ``` `ask` is the immediate question: it should be specific, self-contained, and written in natural language. `goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.