DDoS 基础防护(Anti-DDoS Basic)是为腾讯云上用户免费提供的基础 DDoS 防护的服务,普通用户提供 2Gbps 的防护能力,最高可达 10Gbps。此服务自动为云上用户开启,实时监控网络流量,发现攻击立即清洗,秒级防护。   

功能

腾讯云为用户输送基础 DDoS 防护能力,满足日常安全运营需求。

防护常见攻击

DDoS 基础防护是腾讯云基于自主研发的安全产品,为用户提供基础 DDoS 防护服务,有效防御 SYN Flood、UDP Flood、ACK Flood、ICMP Flood 等多种常见网络层 DDoS 攻击以及 CC 攻击等应用层 DDoS 攻击。

攻击报表管理

支持对攻击事件、攻击流量的管理统计,让用户及时了解攻击实况。

DDoS 基础防护是腾讯云免费为云服务器(Cloud Virtual Machine,CVM)、负载均衡(Cloud Load Balancer,CLB)等资源提供的基础 DDoS 防护能力,满足日常安全运营需求。普通用户可享受2Gbps防护,VIP 用户 可享受10Gbps防护。DDoS 基础防护默认开启,实时监控网络流量,发现攻击立即清洗,为腾讯云上公网 IP 秒级开启防护。

主要功能

多类型防护

防护分类描述
畸形报文过滤过滤 frag flood,smurf,stream flood,land flood 攻击,过滤 IP 畸形包、TCP 畸形包、UDP 畸形包。
网络层 DDoS 攻击防护过滤 UDP Flood、SYN Flood、TCP Flood、ICMP Flood、ACK Flood、FIN Flood、RST Flood、DNS/NTP/SSDP 等反射攻击、空连接。
应用层 DDoS 攻击防护过滤 CC 攻击和 HTTP 慢速攻击。

报表管理

支持对攻击事件、攻击流量的统计,支持自定义时间查看攻击报表

无需任何配置,自动开启

无需采购昂贵清洗设备,默认为腾讯云上用户自动开启基础 DDoS 防护能力,无需安装。

优质防护资源

采用 BGP 防护资源,优质带宽,保障业务可用和稳定。腾讯云 BGP 链路对接30家运营商,能有效减少跨网时延,保障用户访问速度。

实时检测,精准防护

基于自研防护集群和防护算法,实时检测,第一时间发现其中的攻击流量,秒级开启防护。基于优秀特征识别算法进行精确识别并清洗,能够有效防御常见 DDoS 攻击,包括但不限于SYN Flood、ICMP Flood 等常见攻击。

DDoS 基础防护能够为腾讯云上用户提供免费 DDoS 防护能力,满足日常安全运营需求,主要为遭受攻击概率不大,攻击流量不超过2Gbps或10Gbps的云上用户业务提供防护。

说明:

如需获得更高的 DDoS 防护能力,可根据自身业务需求,选用对应规格的 BGP 高防包服务 ,快速应对攻击。

DDoS 攻击

Distributed Denial of Service(DDoS),即分布式拒绝服务攻击,是指攻击者通过网络远程控制大量僵尸主机向一个或多个目标发送大量攻击请求,堵塞目标服务器的网络带宽或耗尽目标服务器的系统资源,导致其无法响应正常的服务请求。

网络层 DDoS 攻击

网络层 DDoS 攻击主要是指攻击者利用大流量攻击拥塞目标服务器的网络带宽,消耗服务器系统层资源,导致目标服务器无法正常响应客户访问的攻击方式。
常见攻击类型包括 SYN Flood、ACK Flood、UDP Flood、ICMP Flood 以及 DNS/NTP/SSDP/memcached 反射型攻击。

CC 攻击

CC 攻击主要是指通过恶意占用目标服务器应用层资源,消耗处理性能,导致其无法正常提供服务的攻击方式。
常见的攻击类型包括基于 HTTP/HTTPS 的 GET/POST Flood、四层 CC 以及 Connection Flood 等攻击方式。

清洗

当目标 IP 的公网网络流量超过设定的防护阈值时,腾讯云大禹系统将自动对该 IP 的公网入向流量进行清洗。通过策略路由将流量从原始网络路径中重定向到大禹系统的 DDoS 清洗设备上,通过清洗设备对该 IP 的流量进行识别,丢弃攻击流量,将正常流量转发至目标 IP。
通常情况下,清洗不会影响正常访问,仅在特殊场景或清洗策略配置有误时,可能会对正常访问造成影响。

当目标 IP 受到的攻击流量超过其封堵阈值时,腾讯云将通过运营商的服务屏蔽该 IP 的所有外网访问,保护云平台其他用户免受影响。简而言之,当您的某个 IP 受到的攻击流量超过您所享受的最大防护峰值时,腾讯云将屏蔽该 IP 的所有外网访问。当您的防护 IP 被封堵时,您可以登录管理控制台 自助解封。

封堵

封堵阈值

  • 中国大陆区域

    • 普通用户遭受攻击且攻击流量峰值达到2Gbps时,会触发封堵。

    • VIP 用户 遭受攻击且攻击流量峰值达到10Gbps时,会触发封堵。

  • 中国香港及海外区域
    所有用户遭受攻击且攻击流量峰值达到2Gbps时,会触发封堵。

封堵时长

封堵时长默认为2小时,实际封堵时长与当日封堵触发次数和攻击峰值相关,最长可达24小时。
封堵时长主要受以下因素影响:

  • 攻击是否持续。若攻击一直持续,封堵时间会延长,封堵时间从延长时刻开始重新计算。

  • 攻击是否频繁。被频繁攻击的用户被持续攻击的概率较大,封堵时间会自动延长。

  • 攻击流量大小。被超大型流量攻击的用户,封堵时间会自动延长。

注意:

针对个别封堵过于频繁的用户,腾讯云保留延长封堵时长和降低封堵阈值的权利。

为什么进行封堵

腾讯云通过共享基础设施的方式降低用云成本,所有用户共享腾讯云的外网出口。当发生大流量攻击时,除了会影响被攻击对象,整个腾讯云的网络都可能会受到影响。为了避免攻击影响到其他未被攻击的用户,保障整个云平台网络的稳定,需要进行封堵。

为什么不提供免费无限抗攻击

DDoS 攻击不仅影响受害者,也会对整个云网络造成严重影响,影响云内其它未被攻击的用户。DDoS 防御的成本非常高,一是带宽成本,二是清洗成本。其中最大的成本就是带宽费用,带宽费用以总流量计算,不会考虑是正常流量或是攻击流量而区别收费。
因此,腾讯云在成本可承受的范围内为云服务用户提供免费的 DDoS 基础防护服务,当攻击流量超出免费防护阈值时,腾讯云会屏蔽被攻击 IP 的外网流量。
有关封堵的更多信息,请参见 封堵相关问题。

www.ksyuwei.cn

www.ksyuwei.cn

www.ksyuwei.cnwww.ksyuwei.cn

DDoS 基础防护应用场景包括哪些?

腾讯云 DDoS 基础防护应用于攻击频率不高且攻击峰值不超过基础防护阈值的 DDoS 攻击防护场景。当攻击流量超过一定流量时,将自动启动 DDoS 清洗设备进行流量清洗。

说明:

腾讯云基础防护服务免费为云内的普通用户提供2Gbps(VIP 用户 10Gbps)防护能力。

如何启动 DDoS 基础防护?

目前,用户只要购买了腾讯云内服务器,默认对其设备绑定的公网 IP 开启 DDoS 基础防护,免费提供2Gbps(VIP用户10Gbps)防御能力。

如何关闭 DDoS 基础防护?

DDoS 基础防护默认自动开启,无法进行关闭。
DDoS 基础防护对用户的公网 IP 进行防御,并不会对正常业务访问造成影响。

DDoS 攻击流量超过2Gbps(VIP 用户 10Gbps)时,会怎样?

在攻击流量超过2Gbps(VIP 用户 10Gbps)的情况下会触发封堵,腾讯云会屏蔽一段时间外部对该 IP 的访问。
如果急需恢复业务,建议购买腾讯云的 BGP 高防包服务 或 BGP 高防 IP 服务,以获得更大的 DDoS 防御能力。

DDoS 基础防护的防护能力不能满足业务防护需求怎么办?

推荐购买 BGP 高防包服务 ,提升 DDoS 防护能力。目前 BGP 高防包支持华北-北京、华东-上海、华南-广州的防护。
如需要更大防护能力,建议购买 BGP 高防 IP 服务 或 高防 IP 专业版服务(可获取 T 级别防护能力),需将流量切换至高防 IP。

为什么进行封堵?

腾讯云通过共享基础设施的方式降低用云成本,所有用户共享腾讯云的外网出口。当发生大流量攻击时,除了会影响被攻击对象,整个腾讯云的网络都可能会受到影响。为了避免攻击影响到其他未被攻击的用户,保障整个云平台网络的稳定,需要进行封堵。

为什么不提供免费无限抗攻击?

DDoS 攻击不仅影响受害者,也会对整个云网络造成严重影响,影响云内其它未被攻击的用户。DDoS 防御的成本非常高,一是带宽成本,二是清洗成本。其中最大的成本就是带宽费用,带宽费用以总流量计算,不会考虑是正常流量或是攻击流量而区别收费。
因此,腾讯云在成本可承受的范围内为云服务用户提供免费的 DDoS 基础防护服务,当攻击流量超出免费防护阈值时,腾讯云会屏蔽被攻击 IP 的外网流量。

为什么不能立即解除封堵?

通常 DDoS 攻击会持续一段时间,不会在封堵后立即停止,具体持续时间不定,腾讯云安全团队会根据大数据分析的结果,设定默认封堵时长。
由于封堵是在运营商网络部分生效,被攻击外网 IP 进入封堵后,腾讯云无法监控到攻击流量是否停止。如果在攻击未停止的情况下解除封堵,被攻击外网 IP 将再次进入封堵,同时在解除封堵至再次封堵生效的这段时间内,攻击流量将直接进入腾讯云的基础网络,可能会影响到云内其它客户。另外,封堵是腾讯云向运营商购买的服务,解封次数、频率都有限制。

紧急情况下,通过哪些途径可以提前解封?

1.将未使用过的 BGP 高防包 实例绑定到基础防护的外网 IP 时,可自动提前解封。
2.用户每月将拥有三次自助解封机会,可在紧急情况下,进行 自助解封。

为什么自助解封会有次数限制?有哪些限制?

封堵是腾讯云向运营商购买的服务,而运营商有明确的封堵解除时间和频率限制,所以封堵状态无法频繁手动解除。
使用 DDoS 基础防护服务的用户每月拥有三次自助解封机会,当天超过三次后将无法进行解封操作。系统将在每月第一天零点时重置自助解封次数,当月未使用的解封次数不会累计到次月。

如何连接已被封堵的服务器?

如需进行数据迁移等操作,可参考以下两种方式连接已被封堵的服务器:

  • 通过同地域的其它云服务器通过内网 IP 连接被封堵服务器。

  • 通过 云服务器控制台,在被封堵服务器所在行,单击【登录】即可通过浏览器 VNC 方式连接。

怎样预防被封堵?

建议购买高防服务,并根据受到的攻击流量的峰值选择适当的高防容量,确保最大防护容量大于攻击峰值。

怎样避免解封后再次被封堵?

  • 对于业务部署在腾讯云机房的用户:建议 购买 BGP 高防包服务,提升 DDoS 高防能力,轻松应对攻击流量。

  • 对于业务部署在非腾讯云机房的用户:建议 购买 BGP高防 IP 服务,轻松解决 DDoS 流量攻击困扰,保障服务器的正常运行。


  • 名称: DDoS基础防护
  • 关键词: DDoS基础防护,免费DDoS 防护,攻击防御