BGP 高防包(Anti-DDoS Pro)是为业务部署在腾讯云上的用户提升 DDoS 防护能力的付费服务。对云产品直接生效,无需更换 IP,购买后只需要绑定需要防护的 IP 即可使用,具备接入便捷、0变更等特点。   

腾讯云 BGP 高防包是一款针对云上 CVM、CLB、NAT 等云产品直接提升 DDoS 防御能力的安全产品。支持独享 IP,同时提供多 IP 共享防护资源,满足多个 IP 地址都需要提升防御带宽的需求。
BGP 高防包采取“保底防护+弹性防护”的计费方式,用户选购基础套餐后可根据需要扩展防护带宽。

功能

腾讯云 BGP 高防包直接为用户输送更高 DDoS 防护能力,购买后只需绑定需防护的设备即可使用服务,并开放了优化业务安全运营的高级防护策略。

攻击清洗能力

采用 IP 画像、行为分析、Cookie 挑战等多维算法,结合 AI 智能引擎持续更新防护算法,精准识别并清洗攻击,可以轻松防御 SYN Flood、ACK Flood、ICMP Flood、UDP Flood、NTP Flood 、SSDP Flood、DNS Flood、HTTP Flood、CC 攻击等攻击类型。

极速防护网络

高防包提供 BGP 接入,具有高可用性和高稳定性,保障低延迟的用户站点访问速度。

防护范围

BGP 高防包一键为腾讯云 CVM、CLB 等云产品直接提升 DDoS 高防能力,支持独享 IP 和共享多 IP 的两种类型的高防包服务。配置便捷,购买后只需绑定需防护的设备即可使用。

一键联动云 WAF

百 G 大流量 BGP 高防包提供一键整合腾讯云网站管家 WAF,保证用户源站不惧大流量 DDoS 攻击的同时具备网络安全能力。

攻击报表管理

支持对攻击事件、攻击流量的管理统计,让用户及时了解攻击实况。

BGP 高防包是针对业务部署在腾讯云内的用户提升 DDoS 防护能力的付费产品。BGP 高防包直接对腾讯云上 IP 生效,无需更换 IP,购买后只需绑定需要防护的 IP 即可使用,具备接入便捷、零变更等特点。BGP 高防包支持单 IP 防护,同时提供多 IP 共享防护资源,满足多个 IP 地址都需要提升防护能力的需求。
腾讯云 BGP 高防包提供独享包与共享包两种类型的高防包,用户可根据需求自行选择:

  • 独享包:提供一个 IP 独享防护能力。

  • 共享包:提供多个 IP 共享防护能力。

主要功能

多类型防护

防护分类描述
畸形报文过滤过滤 frag flood,smurf,stream flood,land flood 攻击,过滤 IP 畸形包、TCP 畸形包、UDP 畸形包
网络层 DDoS 攻击防护过滤 UDP Flood、SYN Flood、TCP Flood、ICMP Flood、ACK Flood、FIN Flood、RST Flood、DNS/NTP/SSDP 等反射攻击、空连接
应用层 DDoS 攻击防护过滤 CC 攻击和 HTTP 慢速攻击,支持 HTTP 自定义特征过滤如 host 过滤、user-agent 过滤、referer 过滤

防护对象可切换

BGP 高防包支持单 IP,也支持多个 IP 共享防护资源,满足各种业务场景。用户可根据业务需要,切换防护对象,支持切换的对象包括 CVM、CLB、WAF、NAT 网关等。

高级安全策略灵活

BGP 高防包默认提供基础安全策略,策略基于 IP 画像、行为模式分析、AI 智能识别等防护算法,有效应对常见 DDoS 攻击行为。同时提供 DDoS 高级防护策略,用户可根据特殊业务特点灵活设置,应对不断变化的攻击手法。

防护统计及分析

BGP 高防包提供实时详细的流量报表及攻击防护详细信息,便于用户及时、准确了解 BGP 高防包的防护效果。同时支持攻击取证,可对攻击情况进行抓包下载,方便快速分析异常问题以及溯源。

一键接入,无需任何业务变更

无需进行业务变更,接入配置便捷,购买 BGP 高防包后,只需绑定需要防护的云产品的 IP 地址即可使用,只需几分钟即可生效。

超大防护资源

采用 BGP 防护带宽,可为单用户单点提供高达300Gbps的 BGP 防护能力,轻松抵御 DDoS 攻击,满足活动大促、活动上线等重要业务的安全稳定性保障需求。

领先的清洗能力

依托腾讯自研防护集群,采用 IP 画像、行为分析、Cookie 挑战等多维算法,并通过 AI 智能引擎持续更新防护算法,精准快速检测业务流量,灵活应对各类攻击行为。

极速访问体验

腾讯云 BGP 链路对接全国各地30家运营商,覆盖面广,能有效解决访问时延问题,保障各类用户群的访问速度,带来极速访问体验。

定价灵活,优化成本

提供“保底防护+弹性防护”相结合计费方式,为用户降低日常安全费用,在需要时按需调整弹性防护,无需新增任何设备,无需调整配置。当攻击流量超过保底防护峰值时,腾讯云仍为用户继续防护,保障业务不中断,按当天实际攻击量付费。

丰富的攻击防护报表

提供精准的防护流量报表及攻击详情信息,使用户及时了解攻击实况。支持对攻击自动抓包,方便事后进行分析以及溯源。

游戏

游戏行业是 DDoS 攻击的重灾区,BGP 高防包能有效保证游戏的可用性和持续性,保障游戏玩家流畅体验。同时为活动、新游戏发布或节假日游戏收入旺季时段保驾护航,确保营销正常。

互联网

保证互联网网页的流畅访问,业务正常不中断。对电商大促等重大活动时段,提供安全护航。

金融

满足金融行业的合规性要求,保证线上交易的实时性、安全稳定性。

政府

满足国家政务云建设标准的安全需求,为重大会议、活动,敏感时期提供安全保障。保障民生服务正常可用,维护政府公信力。

企业

保证企业站点服务持续可用,避免 DDoS 攻击带来的经济及企业品牌形象损失问题。零硬件零维护,节省安全成本。

DDoS 攻击

Distributed Denial of Service(DDoS),即分布式拒绝服务攻击,是指攻击者通过网络远程控制大量僵尸主机向一个或多个目标发送大量攻击请求,堵塞目标服务器的网络带宽或耗尽目标服务器的系统资源,导致其无法响应正常的服务请求。

网络层 DDoS 攻击

网络层 DDoS 攻击主要是指攻击者利用大流量攻击拥塞目标服务器的网络带宽,消耗服务器系统层资源,导致目标服务器无法正常响应客户访问的攻击方式。
常见攻击类型包括 SYN Flood、ACK Flood、UDP Flood、ICMP Flood 以及 DNS/NTP/SSDP/memcached 反射型攻击。

CC 攻击

CC 攻击主要是指通过恶意占用目标服务器应用层资源,消耗处理性能,导致其无法正常提供服务的攻击方式。
常见的攻击类型包括基于 HTTP/HTTPS 的 GET/POST Flood、四层 CC 以及 Connection Flood 等攻击方式。

防护峰值

防护峰值分为保底防护峰值和弹性防护峰值。

  • 保底防护峰值:指高防服务实例的保底防护带宽能力,保底部分为按月预付费。

  • 弹性防护峰值:指高防服务实例的最大弹性防护带宽能力,弹性部分为按天后付费。

若未开启弹性防护,则保底防护峰值为高防服务实例的最高防护峰值。 若已开启弹性防护,则弹性防护峰值作为高防服务实例的最高防护峰值。当攻击流量超过高防服务实例的最高防护峰值后触发封堵。

说明:

弹性防护默认关闭。如需开启弹性防护,请在知悉弹性相关收费后自主开启。用户可以根据自身业务需求,随时调整弹性防护峰值。

弹性防护峰值的作用

开启弹性防护后,当攻击流量峰值超过购买的保底防护峰值且在弹性防护峰值范围内时,腾讯云 BGP 高防包可继续为用户提供防护,保障业务访问持续性。

弹性防护如何收费

开启弹性防护后,当攻击流量超过保底防护峰值时,会触发弹性防护并收取费用,取当天实际产生的最高攻击峰值所对应区间进行计费,账单次日生成。
例如,您购买的保底防护为20Gbps,且设置的弹性防护为50Gbps。若当天的实际攻击峰值为35Gbps,则需要支付30Gbps - 40Gbps区间的弹性防护费用。
详细费用请参见 计费概述 。

清洗

当目标 IP 的公网网络流量超过设定的防护阈值时,腾讯云大禹系统将自动对该 IP 的公网入向流量进行清洗。通过 BGP 路由协议将流量从原始网络路径中重定向到大禹系统的 DDoS 清洗设备上,通过清洗设备对该 IP 的流量进行识别,丢弃攻击流量,将正常流量转发至目标 IP。
通常情况下,清洗不会影响正常访问,仅在特殊场景或清洗策略配置有误时,可能会对正常访问造成影响。

封堵

当目标 IP 受到的攻击流量超过其封堵阈值时,腾讯云将通过运营商的服务屏蔽该 IP 的所有外网访问,保护云平台其他用户免受影响。简而言之,当您的某个 IP 受到的攻击流量超过您所购买的高防套餐最大 防护峰值 时,腾讯云将屏蔽该 IP 的所有外网访问。当您的防护 IP 被封堵时,您可以登录管理控制台 自助解封。

封堵阈值

BGP 高防包实例的防护 IP 的封堵阈值等于实际购买的最大 防护峰值。BGP 高防包有多种不同规格,详情请参考 计费概述。

封堵时长

封堵时长默认为2小时,实际封堵时长与当日封堵触发次数和攻击峰值相关,最长可达24小时。
封堵时长主要受以下因素影响:

  • 攻击是否持续。若攻击一直持续,封堵时间会延长,封堵时间从延长时刻开始重新计算。

  • 攻击是否频繁。被频繁攻击的用户被持续攻击的概率较大,封堵时间会自动延长。

  • 攻击流量大小。被超大型流量攻击的用户,封堵时间会自动延长。

注意:

针对个别封堵过于频繁的用户,腾讯云保留延长封堵时长和降低封堵阈值的权利。

为什么进行封堵

腾讯云通过共享基础设施的方式降低用云成本,所有用户共享腾讯云的外网出口。当发生大流量攻击时,除了会影响被攻击对象,整个腾讯云的网络都可能会受到影响。为了避免攻击影响到其他未被攻击的用户,保障整个云平台网络的稳定,需要进行封堵。

为什么不提供免费无限抗攻击

DDoS 攻击不仅影响受害者,也会对整个云网络造成严重影响,影响云内其它未被攻击的用户。DDoS 防御的成本非常高,一是带宽成本,二是清洗成本。其中最大的成本就是带宽费用,带宽费用以总流量计算,不会考虑是正常流量或是攻击流量而区别收费。
因此,腾讯云在成本可承受的范围内为云服务用户提供免费的 DDoS 基础防护服务,当攻击流量超出免费防护阈值时,腾讯云会屏蔽被攻击 IP 的外网流量。
有关封堵的更多信息,请参见 封堵相关问题。

使用 BGP 高防包可为如下产品提升 DDoS 防护能力:

  • 云服务器

  • 负载均衡

  • Web 应用防火墙

  • NAT 网关

  • VPN 连接

  • 黑石物理服务器

  • 黑石负载均衡

  • 黑石弹性公网 IP

  • 全球应用加速

  • 弹性网卡

www.ksyuwei.cn

www.ksyuwei.cn

www.ksyuwei.cnwww.ksyuwei.cnwww.ksyuwei.cnwww.ksyuwei.cnwww.ksyuwei.cnwww.ksyuwei.cnwww.ksyuwei.cn

BGP 高防包所防护的 IP 被封堵了该怎么办?

如果正使用的 BGP 高防包实例未调整到最高弹性防护峰值,可以在 BGP 高防包管理控制台中更改 BGP 高防包实例的弹性防护峰值,提升弹性防护能力,抵御更大的攻击流量。
另外,使用 BGP 高防包的用户每天将拥有三次自助解封机会,可在紧急情况下,进行 自助解封。

为什么进行封堵?

腾讯云通过共享基础设施的方式降低用云成本,所有用户共享腾讯云的外网出口。当发生大流量攻击时,除了会影响被攻击对象,整个腾讯云的网络都可能会受到影响。为了避免攻击影响到其他未被攻击的用户,保障整个云平台网络的稳定,需要进行封堵。

为什么不提供免费无限抗攻击?

DDoS 攻击不仅影响受害者,也会对整个云网络造成严重影响,影响云内其它未被攻击的用户。DDoS 防御的成本非常高,一是带宽成本,二是清洗成本。其中最大的成本就是带宽费用,带宽费用以总流量计算,不会考虑是正常流量或是攻击流量而区别收费。
因此,腾讯云在成本可承受的范围内为云服务用户提供免费的 DDoS 基础防护服务,当攻击流量超出免费防护阈值时,腾讯云会屏蔽被攻击 IP 的外网流量。

为什么不能立即解除封堵?

通常 DDoS 攻击会持续一段时间,不会在封堵后立即停止,具体持续时间不定,腾讯云安全团队会根据大数据分析的结果,设定默认封堵时长。
由于封堵是在运营商网络部分生效,被攻击外网 IP 进入封堵后,腾讯云无法监控到攻击流量是否停止。如果在攻击未停止的情况下解除封堵,被攻击外网 IP 将再次进入封堵,同时在解除封堵至再次封堵生效的这段时间内,攻击流量将直接进入腾讯云的基础网络,可能会影响到云内其它客户。另外,封堵是腾讯云向运营商购买的服务,解封次数、频率都有限制。

紧急情况下,通过哪些途径可以提前解封?

  1. 升级保底容量后,可自动提前解封。

  2. 使用 BGP 高防包的用户每天将拥有三次自助解封机会,可在紧急情况下,进行 自助解封。

为什么自助解封会有次数限制?有哪些限制?

封堵是腾讯云向运营商购买的服务,而运营商有明确的封堵解除时间和频率限制,所以封堵状态无法频繁手动解除。
使用 BGP 高防包的用户每天将拥有三次自助解封机会,当天超过三次后将无法进行解封操作。系统将在每天零点时重置自助解封次数,当天未使用的解封次数不会累计到次日。

如何连接已被封堵的服务器?

如需进行数据迁移等操作,可参考以下两种方式连接已被封堵的服务器:

  • 通过同地域的其它云服务器通过内网 IP 连接被封堵服务器。

  • 通过 云服务器控制台,在被封堵服务器所在行,单击【登录】即可通过浏览器 VNC 方式连接。

怎样预防被封堵?

购买 BGP 高防包 时,可根据历史攻击流量数据,选择适当的防护峰值,尽可能地确保最大防护峰值大于攻击峰值。

怎样避免解封后再次被封堵?

建议您升级保底防护峰值或弹性防护峰值,提高防御能力。开启弹性防护可帮您抵御大规模流量攻击,且弹性防护按天按量灵活付费,有效节约您的安全成本。

BGP 高防包支持云外的 IP 接入防护吗?

不支持。BGP 高防包仅对腾讯云内的公网 IP 提供 DDoS 防护支持。如需云外的防护,请 购买 BGP 高防 IP。

如果绑定的资源已过期,BGP 高防包实例还未过期,会怎么样?

BGP 高防包实例是按月购买的,且以 IP 为媒介提供防护能力。如果绑定的防护对象资源过期,不及时更换 BGP 高防包实例所绑定的 IP,那么该 BGP 高防包实例在有效期内会持续为已绑定的 IP 提供防护,但该 IP 对应的资源不一定是您的。建议您及时为云服务续费,或更换新的防护对象 IP。

BGP 高防包支持域名的防护吗?

不支持。若有域名防护以及应用层的防护需求,请 购买 BGP 高防 IP。

DDoS 基础防护的防护带宽是2Gbps,又购买了 BGP 高防包的套餐,最终的防护峰值是否会叠加?

用户享有的最终防护峰值,以 BGP 高防包购买套餐里的防护峰值为准,不会叠加 DDoS 基础防护的默认防护带宽。
假设某云服务器的 IP 原本享有2Gbps的免费防护带宽。因经常遭受攻击,用户又为该 IP 购买了20Gbps的 BGP 高防包套餐,则最大防护能力为20Gbps。

BGP 高防包和 BGP 高防 IP 的区别是什么?

  • 防护对象:

    • BGP 高防包只针对腾讯云内的服务提升 DDoS 防护能力。

    • BGP 高防 IP 面向云外用户,为非腾讯云的业务 IP/域名提供防护。

  • 接入:

    • BGP 高防包的接入配置更加便捷,无需变更公网 IP 地址。

    • BGP 高防 IP 需修改 DNS 解析或修改业务 IP 后才能接入防护。

BGP 高防包与三网高防的区别是什么?

差异点BGP 高防包三网高防
接入成本无需更换服务器 IP,直接为云产品提升防御能力,即时生效,接入成本低需要将服务器 IP 更换为三网 IP,填写域名与端口信息,配置相当复杂
访问质量采用 BGP 带宽,减少跨网访问延迟,访问速度提升30%以上无 BGP 带宽,网络延迟大,质量不佳
定价策略计费灵活,支持保底+弹性,可共享计费复杂,需要付流量费

高防服务的弹性防护计费模式是否一样?如何计算的?

一样,都是按照当日可防护的攻击流量峰值对应弹性防护峰值区间进行计费,计费详情请参考 计费概述。
例如,您购买的 BGP 高防包实例规格是20Gbps保底防护峰值 + 50Gbps弹性防护峰值。如果当天发生 DDoS 攻击事件且最高攻击流量峰值为45Gbps。45Gbps已超过保底防护峰值范围触发弹性防护,且属于40Gbps < 弹性峰值 ≤ 50Gbps计费区间,当天产生弹性费用按照40Gbps < 弹性峰值 ≤ 50Gbps计费区间收取。

如果 BGP 高防包所防护的 IP 因遭受大流量攻击被封堵,该部分攻击流量是否会列入计费?

BGP 高防包服务的弹性防护计费规则是针对超出保底防护峰值且小于等于弹性防护峰值的攻击流量进行计费。被封堵即意味着攻击流量已超过所设置的弹性防护峰值,因此超出弹性防护峰值的部分攻击流量不在计费范围内。

购买弹性防护后,如果一个月都没有遭受攻击,是否需要费用?

这种情况下,您只需要支付保底防护的包月费用即可,不产生其它额外的费用。

若购买了100Gbps的保底防护,是否可以降到50Gbps?

不可以。保底防护级别仅支持升级,不支持降级。

业务遭受攻击过程中,是否支持升级弹性防护峰值?

支持。BGP 高防包服务基础信息界面支持调整弹性防护峰值,支持调升也支持调降。不同地域支持的防护能力不同,弹性防护峰值的具体取值范围请参考 产品概述。

注意:

若当日发生的攻击已经产生计费,修改后次日将以最新的弹性防护峰值进行计费。

受防护的 IP 一天之内遭受多次攻击,是否需要收取多次费用呢?

BGP 高防包服务是以当日防护的最高攻击流量峰值来计算,只收取一次费用。

如果购买了两个高防服务套餐,且两个高防服务实例遭受的攻击流量都超过保底防护,如何收取弹性防护费用?

弹性防护费用以产品实例为计算单位,如果两个高防服务实例都超过保底防护,则需要分别收取两个高防实例的弹性防护费用。


  • 名称: BGP高防包
  • 关键词: BGP高防包,DDoS防护,腾讯云