腾讯云高防 IP 专业版(Anti-DDoS Ultimate)拥有高可用、高质量的带宽资源,能够提供国内 T 级防护能力,可解决超大流量 DDoS 攻击。用户通过 CNAME 方式快速接入高防服务,将 DDoS 攻击威胁转移到腾讯云高防集群节点,保障业务稳健运行。应用场景覆盖游戏、互联网、视频、金融、政府等行业。
腾讯云高防 IP 专业版帮助用户应对超大流量 DDoS 攻击带来的业务安全问题。通过配置 CNAME 接入高防 IP 专业版服务,业务访问流量引流至高防集群节点,DDoS 防护集群对攻击流量进行过滤清洗,并将干净业务流量回源到业务站点,确保到达用户业务站点的流量安全可信。
高防 IP 专业版采取“保底防护+弹性防护”的计费方式,用户根据历史 DDoS 攻击风险,选购适合的保底防护峰值和弹性防护峰值,以最佳的性价比获得最优的防护效果。同时,用户可根据实际业务防护需要扩展防护带宽、转发规则数等。
功能
腾讯云高防 IP 专业版为用户输送顶级安全防护能力,结合腾讯自营业务成功抗 DDoS 防护实践,开放了优化业务安全运营的 DDoS 高级防护策略,满足用户灵活性业务防护需要。
DDoS 防护能力
国内提供 T 级大流量清洗带宽,结合 AI 智能引擎持续更新 IP 画像、行为模式分析、Cookie 挑战等防护算法,精准防护,高效应对 DDoS 攻击。
自主配置防护策略
腾讯云高防 IP 专业版默认提供基础的防护策略,能有效应对多种攻击类型。同时针对攻击和用户特殊业务应用防护的需求,也开放了针对性的策略配置,以满足防护灵活化需求:
• 支持用户自定义配置针对性的高级安全策略:针对 IP 黑白名单、协议/端口禁用、报文过滤特征等策略。
• 防护等级设定:支持根据实际业务防护需求,定义“正常”、“严格”及“宽松”。
清洗阈值自定义
开放清洗阈值,用户可根据攻击情况灵活调整清洗阈值,对各类基于网络层、传输层及应用层的 DDoS 攻击进行快速响应。
快速可靠的防护体验
提供国内高质量 BGP 网络带宽资源,对接全国各地30家运营商,有效解决访问延迟问题,保障用户的站点访问速度及质量。
• 提供 BGP 高防集群多地部署,避免单点故障问题。
• 各个用户间防护集群资源相互隔离,保障用户间业务防护相互不受影响。
精准统计报表
提供实时精准的 DDoS 流量清洗统计及攻击事件信息,让用户实时掌握防护详情。支持攻击抓包下载,便于攻击取证和溯源。
高防 IP 专业版是 DDoS 防护(大禹)基于腾讯丰富业务攻击防护实践积累,为互联网业务提供高可用、高性价比的应对 DDoS 攻击的安全防护产品,可解决超大流量的 DDoS 攻击。
相比 BGP 高防 IP,高防 IP 专业版支持跨地域 T 级大流量抗 DDoS 攻击,最高防护带宽可达1.7T。高防 IP 专业版采用 CNAME 智能调度,实现多线路防护,即使遭遇封堵也能灵活切换,充分保障业务连续性。用户根据源站地域和所需防护能力购买高防 IP 专业版实例,即可实现 DDoS 防护需求。
通过配置高防 IP 专业版服务,将用户源站服务器所有访问流量牵引至高防 IP 集群并清洗攻击流量,并将过滤后的正常流量返回至源站服务器,从而保障用户业务稳定可用。
主要功能
多类型防护
| 防护分类 | 描述 |
|---|
| 畸形报文过滤 | 过滤 frag flood,smurf,stream flood,land flood 攻击,过滤 IP 畸形包、TCP 畸形包、UDP 畸形包 |
| 网络层 DDoS 攻击防护 | 过滤 UDP Flood、SYN Flood、TCP Flood、ICMP Flood、ACK Flood、FIN Flood、RST Flood、DNS/NTP/SSDP 等反射攻击、空连接 |
| 应用层 DDoS 攻击防护 | 过滤 CC 攻击和 HTTP 慢速攻击,支持 HTTP 自定义特征过滤(如 host 过滤、user-agent 过滤、referer 过滤等) |
高级安全策略自定义
高防 IP 专业版提供最简化的云 DDoS 防护体验,同时也提供 DDoS 高级防护策略,用户可根据特殊业务应用防护需求和攻击行为灵活设置,对特定攻击行为进行针对性的防护。
清洗模式自定义
开放多套防护等级,提供自定义清洗阈值,用户可根据攻击情况灵活调整,对不同类型的 DDoS 攻击快速响应,充分匹配不同用户不同业务类型。
防护统计及分析
高防 IP 专业版实时为用户提供详细的流量报表及攻击防护详细信息,便于用户了解当前业务的防护实况,同时支持对攻击数据进行抓包下载,让用户快速定位异常问题,保证业务稳健运行。
支持的地域
高防 IP 专业版既支持同地域高防 IP 防护资源,也支持跨地域高防 IP 智能调度防护资源。
目前已开放高防 IP 专业版的地域包括:
高防 IP 专业版在不同地域提供的高防能力请参考如下表格:
| 地域 | 保底防护 | 弹性防护 | 最大防护能力 |
|---|
| 华南地区(广州) | 20Gbps - 50Gbps | 30Gbps - 1.7Tbps | 1.7Tbps |
| 华东地区(上海) | 20Gbps -100Gbps | 30Gbps - 1.7Tbps | 1.7Tbps |
| 华北地区(北京) | 20Gbps - 50Gbps | 30Gbps - 1.7Tbps | 1.7Tbps |
| 境外区域 | 20Gbps - 50Gbps | 30Gbps - 400Gbps | 400Gbps |
说明:
建议选择最靠近源站的地域,可降低访问时延、提高访问速度。
CNAME 智能调度
采用 CNAME 智能调度,降低攻击对业务的影响。用户无需考虑地域资源,按所需防护能力购买即可。当遭遇超大攻击流量,系统智能切换防护线路,保证业务连续性。
超大防护资源
共享腾讯海量自营业务基础架构资源,具备丰富、强大的防护资源优势。国内为单用户提供 T 级以上防护能力,境外支持高达400G防护能力,轻松抵御大流量 DDoS 攻击。
领先的清洗能力
依托腾讯自研防护集群,采用 IP 画像、行为分析、Cookie 挑战等多维算法,并通过 AI 智能引擎持续更新防护算法,精准快速检测业务流量,灵活应对各类攻击行为。
极速访问体验
腾讯云 BGP 链路对接全国各地30家运营商,覆盖面广,能有效解决访问时延问题,保障各类用户群的访问速度,提供极速访问体验。
定价灵活,优化成本
提供“保底防护+弹性防护”相结合计费方式,为用户降低日常安全费用,在需要时按需调整弹性防护,无需新增任何设备,无需调整配置。当攻击流量超过保底防护峰值时,腾讯云仍为用户继续防护,保障业务不中断,按当天实际攻击量收费。
丰富的攻击防护报表
提供精准的防护流量报表及攻击详情信息,使用户及时了解攻击实况。支持对攻击自动抓包,方便事后进行分析以及溯源。
游戏
游戏行业是 DDoS 攻击的重灾区,高防 IP 专业版能有效保证游戏的可用性和持续性,保障游戏玩家流畅体验。同时为活动、新游戏发布或节假日游戏收入旺季时段保驾护航,确保游戏业务正常。
互联网
保证互联网网页的流畅访问,防止业务中断。对电商大促等重大活动时段,提供安全护航。
金融
满足金融行业的合规性要求,保证线上交易的实时性、安全稳定性。
政府
满足国家政务云建设标准的安全需求,为重大会议、活动,敏感时期提供安全保障。保障民生服务正常可用,维护政府公信力。
企业
保证企业站点服务持续可用,避免 DDoS 攻击带来的经济及企业品牌形象损失问题。零硬件零维护,节省安全成本。
DDoS 攻击
Distributed Denial of Service(DDoS),即分布式拒绝服务攻击,是指攻击者通过网络远程控制大量僵尸主机向一个或多个目标发送大量攻击请求,堵塞目标服务器的网络带宽或耗尽目标服务器的系统资源,导致其无法响应正常的服务请求。
网络层 DDoS 攻击
网络层 DDoS 攻击主要是指攻击者利用大流量攻击拥塞目标服务器的网络带宽,消耗服务器系统层资源,导致目标服务器无法正常响应客户访问的攻击方式。
常见攻击类型包括 SYN Flood、ACK Flood、UDP Flood、ICMP Flood 以及 DNS/NTP/SSDP/memcached 反射型攻击。
CC 攻击
CC 攻击主要是指通过恶意占用目标服务器应用层资源,消耗处理性能,导致其无法正常提供服务的攻击方式。
常见的攻击类型包括基于 HTTP/HTTPS 的 GET/POST Flood、四层 CC 以及 Connection Flood 等攻击方式。
防护峰值
防护峰值分为保底防护峰值和弹性防护峰值。
若未开启弹性防护,则保底防护峰值为高防服务实例的最高防护峰值。 若已开启弹性防护,则弹性防护峰值作为高防服务实例的最高防护峰值。当攻击流量超过高防服务实例的最高防护峰值后触发封堵。
说明:
弹性防护默认关闭,如需开启弹性防护,请先在了解 弹性相关收费 后进行 购买 配置。
弹性防护峰值的作用
开启弹性防护后,当攻击流量峰值超过购买的保底防护峰值且在配置弹性防护峰值范围内时,腾讯云高防 IP 专业版可继续为用户提供防护,保障业务访问持续性。
弹性防护如何收费
开启弹性防护后,当攻击流量超过保底防护峰值时,会触发弹性防护并收取费用,取当天实际产生的最高攻击峰值所对应弹性防护区间进行计费,账单次日生成。
例如,您购买的保底防护为20Gbps,且配置的弹性防护为50Gbps。若当天的实际攻击峰值为35Gbps,则需要支付30Gbps - 40Gbps区间的弹性防护费用。
详细费用请参见 计费概述 。
清洗
当目标 IP 的公网网络流量超过设定的防护阈值时,腾讯云大禹系统将自动对该 IP 的公网入向流量进行清洗。通过策略路由将流量从原始网络路径中重定向到大禹系统的 DDoS 清洗设备上,通过清洗设备对该 IP 的流量进行识别,丢弃攻击流量,将正常流量转发至目标 IP。
通常情况下,清洗不会影响正常访问,仅在特殊场景或清洗策略配置有误时,可能会对正常访问造成影响。
封堵
当目标 IP 受到的攻击流量超过其封堵阈值时,腾讯云将通过运营商的服务屏蔽该 IP 的所有外网访问,保护云平台其他用户免受影响。简而言之,当您的某个 IP 受到的攻击流量超过您所购买的高防套餐最大 防护峰值 时,腾讯云将屏蔽该 IP 的所有外网访问。当您的防护 IP 被封堵时,您可以登录管理控制台 自助解封。
封堵阈值
高防 IP 专业版实例的防护 IP 的封堵阈值等于实际购买的最大 防护峰值。高防 IP 专业版有多种不同规格,详情请参考 计费概述。
封堵时长
封堵时长默认为2小时,实际封堵时长与当日封堵触发次数和攻击峰值相关,最长可达24小时。
封堵时长主要受以下因素影响:
攻击是否持续。若攻击一直持续,封堵时间会延长,封堵时间从延长时刻开始重新计算。
攻击是否频繁。被频繁攻击的用户被持续攻击的概率较大,封堵时间会自动延长。
攻击流量大小。被超大型流量攻击的用户,封堵时间会自动延长。
注意:
针对个别封堵过于频繁的用户,腾讯云保留延长封堵时长和降低封堵阈值的权利。
为什么进行封堵
腾讯云通过共享基础设施的方式降低用云成本,所有用户共享腾讯云的外网出口。当发生大流量攻击时,除了会影响被攻击对象,整个腾讯云的网络都可能会受到影响。为了避免攻击影响到其他未被攻击的用户,保障整个云平台网络的稳定,需要进行封堵。
为什么不提供免费无限抗攻击
DDoS 攻击不仅影响被攻击对象,也会对整个云网络造成严重影响,影响云内其它未被攻击的用户。DDoS 防御的成本非常高,一是带宽成本,二是清洗成本。其中最大的成本就是带宽费用,带宽费用以总流量计算,不会对正常流量和攻击流量区别收费。
因此,腾讯云在成本可承受的范围内为云服务用户提供免费的 DDoS 基础防护服务,当攻击流量超出免费防护阈值时,腾讯云会屏蔽被攻击 IP 的外网流量。
产品名称与高防 IP 专业版的关系BGP 高防 IP高防 IP 专业版实例中包含多个高防 IP,高防 IP 专业版较 BGP 高防 IP 具备更高的防护能力,可使用高防 IP 专业版替代 BGP 高防 IP。云解析高防 IP 专业版实例为用户提供 DNS CNAME,通过更改 CNAME 的 A 记录,将流量调度到与当前攻击匹配的高防 IP 上。
高防 IP 专业版服务的 CNAME 调度规则是什么?
当前地域的高防 IP 被封堵后,高防 IP 专业版将按照策略通过 CNAME 自动将该高防 IP 的流量调度至其它可用地域和线路,从而保证用户业务的持续性。其中,流量调度生效的时间依赖于 DNS 解析的更新时间。
说明:
CNAME 自动调度功能默认开启,用户可以前往文档 CNAME自动调度 了解高防 IP 专业版调度逻辑。
什么是业务带宽,超过之后会有什么影响?
购买的业务带宽是针对整个高防 IP 实例的,指该实例所有正常业务的 IN 或者 OUT 方向的流量。
如果用户的业务流量超过购买的转发业务带宽,将触发流量限速,可能导致随机丢包。
说明:
购买高防 IP 专业版服务,默认赠送100M转发业务带宽。
为什么进行封堵?
腾讯云通过共享基础设施的方式降低用云成本,所有用户共享腾讯云的外网出口。当发生大流量攻击时,除了会影响被攻击对象,整个腾讯云的网络都可能会受到影响。为了避免攻击影响到其他未被攻击的用户,保障整个云平台网络的稳定,需要进行封堵。
为什么不提供免费无限抗攻击?
DDoS 攻击不仅影响受害者,也会对整个云网络造成严重影响,影响云内其它未被攻击的用户。DDoS 防御的成本非常高,一是带宽成本,二是清洗成本。其中最大的成本就是带宽费用,带宽费用以总流量计算,不会对正常流量和攻击流量区别收费。
因此,腾讯云在成本可承受的范围内为云服务用户提供免费的 DDoS 基础防护服务,当攻击流量超出免费防护阈值时,腾讯云会屏蔽被攻击 IP 的外网流量。
为什么不能立即解除封堵?
通常 DDoS 攻击会持续一段时间,不会在封堵后立即停止,具体持续时间不定,腾讯云安全团队会根据大数据分析的结果,设定默认封堵时长。
由于封堵是在运营商网络部分生效,被攻击外网 IP 进入封堵后,腾讯云无法监控到攻击流量是否停止。如果在攻击未停止的情况下解除封堵,被攻击外网 IP 将再次进入封堵,同时在解除封堵至再次封堵生效的这段时间内,攻击流量将直接进入腾讯云的基础网络,可能会影响到云内其它客户。另外,封堵是腾讯云向运营商购买的服务,解封次数、频率都有限制。
紧急情况下,通过哪些途径可以提前解封?
升级保底容量后,可自动提前解封。
使用高防 IP 专业版的用户每天将拥有三次自助解封机会,可在紧急情况下,进行 自助解封。
为什么自助解封会有次数限制?有哪些限制?
封堵是腾讯云向运营商购买的服务,而运营商有明确的封堵解除时间和频率限制,所以封堵状态无法频繁手动解除。
使用高防 IP 专业版的用户每天将拥有三次自助解封机会,当天超过三次后将无法进行解封操作。系统将在每天零点时重置自助解封次数,当天未使用的解封次数不会累计到次日。
怎样预防被封堵?
购买高防 IP 专业版 时,可根据历史攻击流量数据,选择适当的防护峰值,尽可能地确保最大防护峰值大于攻击峰值。
怎样避免解封后再次被封堵?
建议您升级保底防护峰值或弹性防护峰值,提高防御能力。开启弹性防护可帮您抵御大规模流量攻击,且弹性防护按天按量灵活付费,有效节约您的安全成本。
高防服务的弹性防护如何计费?
是一样的,都是按照当日可防护的攻击流量峰值对应弹性防护峰值区间进行计费,计费详情请参考 计费概述。
例如,您购买的高防 IP 专业版实例规格是20Gbps保底防护峰值 + 50Gbps弹性防护峰值。如果当天发生 DDoS 攻击事件且最高攻击流量峰值为45Gbps,则已超过保底防护峰值范围触发弹性防护,且属于40Gbps<弹性峰值 ≤ 50Gbps计费区间,当天产生弹性费用按照40Gbps < 弹性峰值 ≤ 50Gbps计费区间收取。
如果高防 IP 专业版所防护的 IP 因遭受大流量攻击被封堵,该部分攻击流量是否会列入计费?
高防 IP 专业版服务的弹性防护计费规则是针对超出保底防护峰值且小于等于弹性防护峰值的攻击流量进行计费。被封堵即意味着攻击流量已超过所设置的弹性防护峰值,因此超出弹性防护峰值的部分攻击流量不在计费范围内。
购买弹性防护后,如果一个月都没有遭受攻击,是否需要费用?
这种情况下,您只需要支付保底防护的包月费用即可,不产生其它额外的费用。
若购买了100Gbps的保底防护,是否可以降到50Gbps ?
不可以。保底防护级别仅支持升级,不支持降级。
业务遭受攻击过程中,是否支持升级弹性防护峰值?
不支持弹性防护峰值调高或者调低。用户在 购买高防IP专业版实例 时,可参考历史最高攻击流量,选择的弹性防护峰值略高于历史最高峰值,以便足够防御超大流量攻击。
受防护的 IP 一天之内遭受多次攻击,是否需要收取多次费用呢?
高防 IP 专业版服务是以当日防护的最高攻击流量峰值来计算,只收取一次费用。
如果购买了两个高防服务套餐,且两个高防服务实例遭受的攻击流量都超过保底防护,如何收取弹性防护费用?
弹性防护费用以产品实例为计算单位,如果两个高防服务实例都超过保底防护,则需要分别收取两个高防实例的弹性防护费用。
