阿里云云安全acp認證知識點之DDoS高防

DDoS高防（新BGP&國際）

什么是DDoS高防（新BGP&國際）

DDoS高防（Anti-DDoS）是阿里云提供的DDoS攻擊代理防護服務(wù)。當您的互聯(lián)網(wǎng)服務(wù)器遭受大流量的DDos攻擊時，DDoS高防可以保護其應(yīng)用服務(wù)持續(xù)可用。DDoS高防通過DNS解析調(diào)度流量到阿里云高防網(wǎng)絡(luò)，代理接入阿里云DDoS防護系統(tǒng)，抵御流量型和資源耗盡型DDoS攻擊。

工作原理

DDoS高防支持通過DNS解析和IP直接指向兩種引流方式，實現(xiàn)網(wǎng)站域名和業(yè)務(wù)端口的接入防護。根據(jù)您在DDoS高防中為業(yè)務(wù)配置的轉(zhuǎn)發(fā)規(guī)則，DDoS高防將業(yè)務(wù)的DNS域名解析或業(yè)務(wù)IP指向DDoS高防實例IP或CNAME地址進行引流。

來自公網(wǎng)的訪問流量都將優(yōu)先經(jīng)過高防機房，惡意攻擊流量將在高防流量清洗中心進行清洗過濾，正常的訪問流量通過端口協(xié)議轉(zhuǎn)發(fā)的方式返回給源站服務(wù)器，從而保障源站服務(wù)器的穩(wěn)定訪問。

DDoS高防服務(wù)類型

根據(jù)要接入DDoS高防進行防護的業(yè)務(wù)服務(wù)器部署地域的不同，DDoS高防提供新BGP（Anti-DDoS Pro）和國際（Anti-DDoS Premium）兩種解決方案。

DDoS高防（新BGP）：適用于業(yè)務(wù)服務(wù)器部署在中國內(nèi)地地域的場景。采用中國內(nèi)地獨有的T級八線BGP帶寬資源，為接入防護的業(yè)務(wù)防御超大流量的DDoS攻擊。

DDoS高防（國際）：適用于業(yè)務(wù)服務(wù)部署在中國內(nèi)地以外地域的場景。依托世界領(lǐng)先的分布式近源清洗能力，為接入防護的業(yè)務(wù)提供不設(shè)上限的DDoS攻擊全力防護能力。

產(chǎn)品優(yōu)勢

與傳統(tǒng)DDoS攻擊安全解決方案相比，阿里云DDoS高防具有部署簡便、BGP網(wǎng)絡(luò)質(zhì)量高、防護能力大、系統(tǒng)穩(wěn)定可用、防護精準，以及先進的AI智能防護技術(shù)等優(yōu)勢。

部署簡便（5分鐘完成部署）。根據(jù)您的業(yè)務(wù)特性，提供DNS解析和IP直接指向兩種接入方式，實現(xiàn)網(wǎng)站域名和業(yè)務(wù)端口的接入防護。無需安裝任何軟硬件或調(diào)整路由配置，5分鐘內(nèi)即可完成部署和激活。

海量防御帶寬資源。DDoS高防擁有中國內(nèi)地超過8 Tbps、海外及港澳臺地區(qū)超過2 Tbps的海量防御帶寬資源，有效抵御所有各類基于網(wǎng)絡(luò)層、傳輸層及應(yīng)用層的DDoS攻擊。

精準防護。針對交易類、加密類、七層應(yīng)用、智能終端、在線業(yè)務(wù)攻擊等實現(xiàn)精準防護，使得威脅無處可逃。

AI智能防護。在流量清洗技術(shù)方面，分別針對網(wǎng)絡(luò)流量型攻擊和資源耗盡型DDoS攻擊，通過自動優(yōu)化防護算法和深度學(xué)習業(yè)務(wù)流量基線，達到精準識別攻擊IP并自動過濾清洗的目的。

彈性防護。DDoS防護支持彈性調(diào)整防護帶寬。您可在DDoS高防管理控制臺自助升級，秒級生效，且無需新增任何物理設(shè)備。同時，業(yè)務(wù)上也無需進行任何調(diào)整，整個過程服務(wù)無中斷。

保護源站安全。DDoS高防使用高防IP對您的業(yè)務(wù)站點進行隱藏，使攻擊者無法找到您的源站地址，從而增加源站的安全性。

網(wǎng)絡(luò)流量型DDoS攻擊防護。大量針對網(wǎng)絡(luò)傳輸層的攻擊會使網(wǎng)絡(luò)堵塞、機房不可用，而使您的網(wǎng)絡(luò)業(yè)務(wù)中斷或大面積癱瘓。在傳統(tǒng)的代理、探測、反彈、認證、黑白名單、報文合規(guī)等標準技術(shù)的基礎(chǔ)上，DDoS高防結(jié)合IP信譽、近源清洗，以及通過對網(wǎng)絡(luò)指紋、用戶行為、內(nèi)容特征的深度包檢測等多種技術(shù)的應(yīng)用，可實現(xiàn)對威脅進行阻斷和自定義過濾，并保證被防護的業(yè)務(wù)在遭受持續(xù)攻擊時，仍可對外正常提供服務(wù)。

資源耗盡型DDoS攻擊防護（CC攻擊）。當攻擊使網(wǎng)絡(luò)應(yīng)用層的服務(wù)器業(yè)務(wù)中斷時，DDoS高防將對應(yīng)用層的資源耗盡型DDoS攻擊全面集成AI智能防護引擎，通過自定義過濾頻率和精細至URL級別的過濾特征來提升防護效率和成功率，同時也大大降低了安全運維人員的工作難度。AI智能防護引擎基于以下特征進行防護：

自學(xué)習用戶業(yè)務(wù)流量和特征；

動態(tài)生成正常業(yè)務(wù)基線；

快速發(fā)現(xiàn)流量和特征異常；

自動介入分析攻擊特征；

自動生成多維度組合策略；

動態(tài)執(zhí)行或撤銷防護策略指令；

穩(wěn)定、高可用：

DDoS高防采用高可用網(wǎng)絡(luò)防護集群，避免單點故障和冗余，且處理性能支持彈性擴展。全自動檢測和攻擊策略匹配，提供實時防護，清洗服務(wù)可用性達99.99%。

對流量清洗機房的所有入流量、所有服務(wù)器CPU和內(nèi)存進行監(jiān)控，保障機房可用性。同時，針對服務(wù)器的引擎進行可用狀態(tài)監(jiān)控，并且具備自動下線和恢復(fù)機制。

針對回源鏈路進行可用性監(jiān)控，一旦發(fā)現(xiàn)不穩(wěn)定，自動切換至備用鏈路，保障鏈路可用性。

針對接入防護的源站服務(wù)器進行健康檢查，一旦發(fā)現(xiàn)異常，自動切換。針對源站服務(wù)器的HTTP狀態(tài)碼進行監(jiān)控，發(fā)現(xiàn)異常后自動啟用回源或者切換等操作。

具備流量調(diào)度能力。DDoS高防服務(wù)可基于云產(chǎn)品的安全事件，通過DNS解析進行流量調(diào)度，實現(xiàn)在其他云產(chǎn)品未遭受DDoS攻擊時不啟用DDoS防護，而在遭受DDoS攻擊時可以快速關(guān)聯(lián)DDoS高防資源并啟用DDoS防護功能。用戶可根據(jù)自己的業(yè)務(wù)場景自定義配置調(diào)度模版，實現(xiàn)與云產(chǎn)品聯(lián)動，自動化調(diào)度DDoS防護能力。

應(yīng)用場景

阿里云DDoS高防適用于金融、電商、門戶類網(wǎng)站，政府互聯(lián)網(wǎng)出口、門戶與開放平臺，重大線上直播、活動推廣促銷的DDoS攻擊防護場景，以及業(yè)務(wù)遭競爭對手惡意攻擊、勒索，移動業(yè)務(wù)遭惡意注冊、刷單、刷流量等安全防護場景。

在上述行業(yè)中，當業(yè)務(wù)存在以下安全風險時，推薦您使用DDoS高防：

遭受惡意攻擊者的DDoS攻擊勒索。

DDoS攻擊已經(jīng)導(dǎo)致業(yè)務(wù)不可用，需要緊急恢復(fù)。

頻繁遭受DDoS攻擊，需要持續(xù)防護DDoS攻擊，保護業(yè)務(wù)的穩(wěn)定性。

DDoS攻擊損失保障

DDoS高防支持DDoS攻擊損失保障服務(wù)，防止由于DDoS攻擊導(dǎo)致您受DDoS高防保護的云服務(wù)器ECS、負載均衡SLB實例因使用量激增而產(chǎn)生額外的費用。如果為了響應(yīng)DDoS攻擊，這些受保護的實例產(chǎn)生了額外的后付費流量，您可以提交工單申請代金券補償。

選型參考

阿里云基于多年的DDoS攻防經(jīng)驗和領(lǐng)先的安全技術(shù)，提供多款正式商用的DDoS防護解決方案供您選擇，滿足您業(yè)務(wù)中對各類DDoS攻擊安全防護場景的需求。

適合的防御場景

點擊下方圖片可購買阿里云云安全acp認證網(wǎng)絡(luò)課程，個性化服務(wù)，為你的升職加薪之路助力?。。?/span>