首頁 > 阿里云認證 > 學習資料 > 阿里云云安全acp認證知識點之DDoS高防

阿里云云安全acp認證知識點之DDoS高防

高級工程師（ACP）責任編輯：陳湘君 2022-04-26

希賽網公眾號點擊領取阿里云認證備考資料

摘要：DDoS高防是阿里云云安全acp認證第2章DDoS防護的知識點之一，本文將DDoS高防（新BGP&國際）這個知識點的內容進行了整理，希望能幫助考生快速理解和掌握該知識點的內容。

DDoS高防（新BGP&國際）

什么是DDoS高防（新BGP&國際）

DDoS高防（Anti-DDoS）是阿里云提供的DDoS攻擊代理防護服務。當您的互聯網服務器遭受大流量的DDos攻擊時，DDoS高防可以保護其應用服務持續可用。DDoS高防通過DNS解析調度流量到阿里云高防網絡，代理接入阿里云DDoS防護系統，抵御流量型和資源耗盡型DDoS攻擊。

工作原理

DDoS高防支持通過DNS解析和IP直接指向兩種引流方式，實現網站域名和業務端口的接入防護。根據您在DDoS高防中為業務配置的轉發規則，DDoS高防將業務的DNS域名解析或業務IP指向DDoS高防實例IP或CNAME地址進行引流。

來自公網的訪問流量都將優先經過高防機房，惡意攻擊流量將在高防流量清洗中心進行清洗過濾，正常的訪問流量通過端口協議轉發的方式返回給源站服務器，從而保障源站服務器的穩定訪問。

DDoS高防服務類型

根據要接入DDoS高防進行防護的業務服務器部署地域的不同，DDoS高防提供新BGP（Anti-DDoS Pro）和國際（Anti-DDoS Premium）兩種解決方案。

DDoS高防（新BGP）：適用于業務服務器部署在中國內地地域的場景。采用中國內地獨有的T級八線BGP帶寬資源，為接入防護的業務防御超大流量的DDoS攻擊。

DDoS高防（國際）：適用于業務服務部署在中國內地以外地域的場景。依托世界領先的分布式近源清洗能力，為接入防護的業務提供不設上限的DDoS攻擊全力防護能力。

產品優勢

與傳統DDoS攻擊安全解決方案相比，阿里云DDoS高防具有部署簡便、BGP網絡質量高、防護能力大、系統穩定可用、防護精準，以及先進的AI智能防護技術等優勢。

部署簡便（5分鐘完成部署）。根據您的業務特性，提供DNS解析和IP直接指向兩種接入方式，實現網站域名和業務端口的接入防護。無需安裝任何軟硬件或調整路由配置，5分鐘內即可完成部署和激活。

海量防御帶寬資源。DDoS高防擁有中國內地超過8 Tbps、海外及港澳臺地區超過2 Tbps的海量防御帶寬資源，有效抵御所有各類基于網絡層、傳輸層及應用層的DDoS攻擊。

精準防護。針對交易類、加密類、七層應用、智能終端、在線業務攻擊等實現精準防護，使得威脅無處可逃。

AI智能防護。在流量清洗技術方面，分別針對網絡流量型攻擊和資源耗盡型DDoS攻擊，通過自動優化防護算法和深度學習業務流量基線，達到精準識別攻擊IP并自動過濾清洗的目的。

彈性防護。DDoS防護支持彈性調整防護帶寬。您可在DDoS高防管理控制臺自助升級，秒級生效，且無需新增任何物理設備。同時，業務上也無需進行任何調整，整個過程服務無中斷。

保護源站安全。DDoS高防使用高防IP對您的業務站點進行隱藏，使攻擊者無法找到您的源站地址，從而增加源站的安全性。

網絡流量型DDoS攻擊防護。大量針對網絡傳輸層的攻擊會使網絡堵塞、機房不可用，而使您的網絡業務中斷或大面積癱瘓。在傳統的代理、探測、反彈、認證、黑白名單、報文合規等標準技術的基礎上，DDoS高防結合IP信譽、近源清洗，以及通過對網絡指紋、用戶行為、內容特征的深度包檢測等多種技術的應用，可實現對威脅進行阻斷和自定義過濾，并保證被防護的業務在遭受持續攻擊時，仍可對外正常提供服務。

資源耗盡型DDoS攻擊防護（CC攻擊）。當攻擊使網絡應用層的服務器業務中斷時，DDoS高防將對應用層的資源耗盡型DDoS攻擊全面集成AI智能防護引擎，通過自定義過濾頻率和精細至URL級別的過濾特征來提升防護效率和成功率，同時也大大降低了安全運維人員的工作難度。AI智能防護引擎基于以下特征進行防護：

自學習用戶業務流量和特征；

動態生成正常業務基線；

快速發現流量和特征異常；

自動介入分析攻擊特征；

自動生成多維度組合策略；

動態執行或撤銷防護策略指令；

穩定、高可用：

DDoS高防采用高可用網絡防護集群，避免單點故障和冗余，且處理性能支持彈性擴展。全自動檢測和攻擊策略匹配，提供實時防護，清洗服務可用性達99.99%。

對流量清洗機房的所有入流量、所有服務器CPU和內存進行監控，保障機房可用性。同時，針對服務器的引擎進行可用狀態監控，并且具備自動下線和恢復機制。

針對回源鏈路進行可用性監控，一旦發現不穩定，自動切換至備用鏈路，保障鏈路可用性。

針對接入防護的源站服務器進行健康檢查，一旦發現異常，自動切換。針對源站服務器的HTTP狀態碼進行監控，發現異常后自動啟用回源或者切換等操作。

具備流量調度能力。DDoS高防服務可基于云產品的安全事件，通過DNS解析進行流量調度，實現在其他云產品未遭受DDoS攻擊時不啟用DDoS防護，而在遭受DDoS攻擊時可以快速關聯DDoS高防資源并啟用DDoS防護功能。用戶可根據自己的業務場景自定義配置調度模版，實現與云產品聯動，自動化調度DDoS防護能力。

應用場景

阿里云DDoS高防適用于金融、電商、門戶類網站，政府互聯網出口、門戶與開放平臺，重大線上直播、活動推廣促銷的DDoS攻擊防護場景，以及業務遭競爭對手惡意攻擊、勒索，移動業務遭惡意注冊、刷單、刷流量等安全防護場景。

在上述行業中，當業務存在以下安全風險時，推薦您使用DDoS高防：

遭受惡意攻擊者的DDoS攻擊勒索。

DDoS攻擊已經導致業務不可用，需要緊急恢復。

頻繁遭受DDoS攻擊，需要持續防護DDoS攻擊，保護業務的穩定性。

DDoS攻擊損失保障

DDoS高防支持DDoS攻擊損失保障服務，防止由于DDoS攻擊導致您受DDoS高防保護的云服務器ECS、負載均衡SLB實例因使用量激增而產生額外的費用。如果為了響應DDoS攻擊，這些受保護的實例產生了額外的后付費流量，您可以提交工單申請代金券補償。

選型參考

阿里云基于多年的DDoS攻防經驗和領先的安全技術，提供多款正式商用的DDoS防護解決方案供您選擇，滿足您業務中對各類DDoS攻擊安全防護場景的需求。

適合的防御場景

防御場景	場景特點	防護能力介紹	選擇版本套餐
防御高風險DDoS攻擊（推薦使用DDoS高防）	金融、電商、門戶類網站，政府互聯網出口、門戶與開放平臺，重大線上直播、活動推廣促銷的DDoS攻擊防護場景。遭受惡意攻擊者的DDoS攻擊勒索。 DDoS攻擊已經導致您的業務不可用，需要緊急恢復。頻繁遭受DDoS攻擊，需要持續防護DDoS攻擊，保護業務的穩定性。移動業務遭惡意注冊、刷單、刷流量等安全防護場景。	可以解決公有云上服務器（包括非阿里云主機）遭受大流量DDoS攻擊的問題。通過DNS解析方式牽引流量到阿里云全球DDoS防護網絡，清洗流量型和資源耗盡型DDoS攻擊，隱藏被保護的源站服務器。	參考以下說明選擇DDoS高防的版本套餐： 1、業務服務器部署在中國內地，且主要服務于中國內地的用戶，推薦使用DDoS高防（新BGP）專業版。 2、業務服務器部署在中國內地以外，且主要服務于中國內地以外的用戶，推薦使用DDoS高防（國際）保險版或無憂版。 3、業務服務器部署在中國內地以外，但主要服務于中國內地的用戶，推薦使用DDoS高防（國際）出海套餐或DDoS高防（國際）安全加速線路。
防御（大規模業務）低風險DDoS攻擊（推薦使用DDoS原生防護）	業務資源部署在阿里云環境。業務規模較大。例如，業務帶寬大于1 Gbps，HTTP和HTTPS業務QPS大于5,000。需要保護的公網IP數量多。偶爾遭受DDoS攻擊。具有IPv6訪問流量的防護需求。	直接提升阿里云ECS、SLB、WAF、EIP等云產品公網IP的DDoS防護能力。基于阿里云原生防護網絡，不改變源站服務器IP地址，透明防護流量型DDoS攻擊。	參考以下說明選擇DDoS原生防護的套餐版本： 1、基礎版默認開啟。 2、如果基礎版提供的5 Gbps防御能力不能滿足業務需求，推薦您使用DDoS原生防護企業版。如果只需要防御DDoS攻擊，推薦使用負載均衡+原生防護企業版的部署方式，由負載均衡丟棄未監聽協議和端口的流量，獲得更好的防護效果。如果需要防御DDoS攻擊和Web攻擊、CC攻擊，推薦使用Web應用防火墻+原生防護企業版的部署方式，由WAF防御CC攻擊、DDoS原生防護企業版防御流量攻擊，獲得更好的防護效果。
防御移動端業務為主的DDoS攻擊（推薦使用游戲盾）	主要業務為移動端游戲業務。具備集成阿里云SDK的能力。業務實時性要求高，對自定義傳輸協議存在精細化防護需求。具有網絡傳輸加速需求。具有網絡加密傳輸需求。需要追溯DDoS攻擊的來源。	針對游戲行業面對的大規模DDoS、CC攻擊提供防御能力。通過集成阿里云安全輕量級SDK，徹底解決App類業務的DDoS和CC攻擊（包括游戲行業特有的TCP協議的CC攻擊）問題。	無