高防限流封禁策略
1.背景
DDoS高防根据您购买的实例分配防御资源,防护峰值越高分配资源越多。超量攻击会影响预分配防御资源的稳定性,存在此风险时将会触发保障系统实施管控。
管控方式包括:限流和封禁。
本文介绍DDoS高防的限流和封禁策略、以及如何解除限流/封禁和降低被限流/封禁风险。
2.限流策略
DDoS高防根据您购买实例的弹性防护带宽默认进行限流,当高防IP的秒级入向带宽超过实例的弹性防护带宽后,会触发限流策略,对超过的流量进行丢弃。丢弃时不区分攻击和业务流量,因此限流时可能造成部分正常用户无法访问。
3.封禁策略
在高防IP遭受DDoS攻击,入向带宽持续20秒超过浮动防护峰值后,执行封禁。
浮动防护峰值匹配高防IP对应实例的弹性防护峰值,实例的弹性防护峰值越大可浮动的量级越大。
特别:
- 弹性防护峰值超过300Gbps的高防IP,在触发封禁时将优先执行运营商海外访问封禁,启用后可降低攻击量级,减少弹性防护后付费用;
- 对购买全力防护的高防IP,封禁仅在攻击可能造成高防节点运营商线路出口有拥堵风险时执行。并通过更换高防IP等方式,在封禁时能够自动切换保证业务可用。
注意:
- 被封禁的高防IP上的业务将无法提供服务即无法访问,通过升级或修改更大的弹性防护峰值将减少被封禁风险。
4.解除限流/封禁
4.1.解除限流
DDoS高防在高防IP秒级入向带宽低于实例弹性防护带宽后自动解除限流。
4.2.解封封禁
- 自动解封
高防IP根据用户购买的防御资源情况,执行不同的自动解封策略,默认封禁1小时后自动解封。 对购买保底防护超过100Gbps或弹性浮动(弹性防护峰值-保底防护峰值)≥ 200Gbps的实例,30分钟自动解封。
- 自助解封
如在封禁期间急需恢复业务,可以自助解除封禁,每日每个账号限额5次。 自助解封时,被解封的高防IP必须无攻击流量或攻击流量小于对应实例的弹性防护峰值,否则将解封失败。同一账号相邻自助解封操作需大于10分钟,解封失败不会占用每日解封限额,每日0点自动恢复限额次数。
注意:
- 自助解封后,如果DDoS攻击没有结束,扔可能再次被封禁。
您可以通过如下方式进行自助解封:
1.进入DDoS高防IP控制台,点击左侧导航“通用防护”进入通用防护页面;
2.在通用防护页面,点击“自助解封”模块的“解封”进入解除封禁页面,选择封禁中的高防IP解除封禁。
5.降低被限流/封禁风险
只有当秒级入向带宽或DDoS攻击的峰值带宽持续超过高防IP的弹性防护峰值时,才会导致高防IP被限流/封禁。高防IP的防御能力越大,则其被限流/封禁的可能就越低。因此提升高防IP的弹性防护峰值,可以降低被限流/封禁风险。
您可以通过如下方式提升高防IP的DDoS防御能力:
- 升级高防IP对应实例的保底或弹性防护峰值 进入DDoS高防IP控制台,点击左侧导航“防护实例”进入防护实例页面,点击要升级实例操作中的“升级”,进入“实例配置升级”升级保底或弹性防护峰值。
- 修改高防IP对应实例弹性防护峰值 进入DDoS高防IP控制台,点击左侧导航“防护实例”进入防护实例页面,点击要修改实例操作中的“修改弹性”,进入“修改弹性防护峰值”升级弹性防护峰值。
注意:
- 同一实例弹性防护每日仅能修改一次,下限为保底防护带宽,修改后即时生效;
- 修改弹性防护峰值前产生的后付费弹性防护带宽按照原配置计费,修改后产生的后付费弹性防护带宽,将按照新配置计费。单价为100元/Gbps/天;
- 弹性防护与保底防护峰值相同时不会产生后付费用。