DDoS 攻击
分布式拒绝服务攻击(DistributedDenial of Service,DDoS)是指攻击者通过网络远程控制大量僵尸主机向一个或多个目标发送大量攻击请求,堵塞目标服务器的网络带宽或耗尽目标服务器的系统资源,导致其无法响应正常的服务请求。
网络层 DDoS 攻击
网络层 DDoS 攻击主要是指攻击者利用大流量攻击拥塞目标服务器的网络带宽,消耗服务器系统层资源,导致目标服务器无法正常响应客户访问的攻击方式。
常见攻击类型包括 SYN Flood、ACK Flood、UDP Flood、ICMPFlood 以及 DNS/NTP/SSDP/memcached 反射型攻击。
CC 攻击
CC 攻击主要是指通过恶意占用目标服务器应用层资源,消耗处理性能,导致其无法正常提供服务的攻击方式。
常见的攻击类型包括基于 HTTP/HTTPS 的 GET/POST Flood、四层 CC 以及 Connection Flood 等攻击方式。
防护能力
防护能力指抵御 DDoS 攻击的能力, DDoS 防护服务承诺根据当前地域腾讯云最大 DDoS 防护能力提供全力防护。
清洗
当目标 IP 的公网网络流量超过设定的防护阈值时,腾讯云 DDoS 防护系统将自动对该 IP 的公网入向流量进行清洗。通过 BGP 路由协议将流量从原始网络路径中重定向到腾讯云 DDoS 清洗设备上,通过清洗设备对该 IP 的流量进行识别,丢弃攻击流量,将正常流量转发至目标 IP。
通常情况下,清洗不会影响正常访问,仅在特殊场景或清洗策略配置有误时,可能会对正常访问造成影响。当流量持续一定时间(根据攻击情况动态判断)没有异常时,清洗系统会判定攻击结束,停止清洗。
封堵
当目标 IP 受到的攻击流量超过其封堵阈值时,腾讯云将通过运营商的服务屏蔽该 IP 的所有外网访问,保护云平台其他用户免受影响。简而言之,当您的某个 IP 受到的攻击流量超过当前地域腾讯云最大防护能力时,腾讯云将屏蔽该 IP 的所有外网访问。当您的防护 IP 被封堵时,您可以登录管理控制台进行自助解封。
封堵阈值
DDoS 高防实例的防护 IP 的封堵阈值等于当前地域最大防护能力。
封堵时长
封堵时长默认为2小时,实际封堵时长与当日封堵触发次数和攻击峰值相关,最长可达24小时。封堵时长主要受以下因素影响:
攻击是否持续:若攻击一直持续,封堵时间会延长,封堵时间从延长时刻开始重新计算。
攻击是否频繁:被频繁攻击的用户遭遇持续攻击的概率较大,封堵时间会自动延长。
攻击流量大小:被超大型流量攻击的用户,封堵时间会自动延长。
说明:
针对个别封堵过于频繁的用户,腾讯云保留延长封堵时长和降低封堵阈值的权利。
为什么进行封堵
腾讯云通过共享基础设施的方式降低用云成本,所有用户共享腾讯云的外网出口。当发生大流量攻击时,除了会影响被攻击对象,整个腾讯云的网络都可能会受到影响。为了避免攻击影响到其他未被攻击的用户,保障整个云平台网络的稳定,需要进行封堵。
防护带宽
防护带宽分为保底防护带宽和弹性防护带宽。
保底防护带宽:指高防 IP 实例的保底防护能力,保底部分为包年包月预付费。
弹性防护带宽:指高防 IP 实例的最大弹性防护能力,弹性部分为按天后付费。
若未开启弹性防护,则保底防护带宽为高防IP实例的最高防护能力。 若已开启弹性防护,则弹性防护带宽作为高防 IP 实例的最高防护能力。当攻击流量超过高防 IP 实例的最高防护能力后触发封堵。
说明:
弹性防护默认关闭。如需开启弹性防护,请在知悉弹性相关收费后自助开启。用户可以根据自身业务需求,随时调整弹性防护带宽。
防护带宽仅支持高防 IP 和高防 IP 境外企业版。
弹性防护带宽的作用
开启弹性防护后,当攻击流量超过购买的保底防护能力且在弹性防护能力范围内时,腾讯云 DDoS 高防 IP 可继续为用户提供防护,保障业务访问持续性。
弹性防护如何收费
开启弹性防护后,当攻击流量超过保底防护能力时,会触发弹性防护并收取费用,取当天实际产生的最高攻击峰值所对应区间进行计费,账单次日生成。
例如,您购买的保底防护为20Gbps,且设置的弹性防护为50Gbps。若当天的实际攻击峰值为35Gbps,则需要支付10Gbps - 20Gbps区间的弹性防护费用。
本页内容是否解决了您的问题?