请选择
边缘安全
  • 概述
  • DDoS 防护
    • DDoS 防护概述
    • 使用独立 DDoS 防护
    • 配置独立 DDoS 防护策略
      • 调整 DDoS 防护等级
      • 独立 DDoS 攻击流量告警
      • 配置 IP 黑白名单
      • 配置区域封禁
      • 配置端口过滤
      • 配置特征过滤
      • 配置协议封禁
      • 配置连接类攻击防护
      • 相关参考
        • 处置方式
        • 相关概念介绍
  • Web 防护
    • 概述
    • 托管规则
    • CC 攻击防护
    • 自定义规则
    • 自定义速率限制规则
    • 防护例外规则
    • 托管定制规则
    • Web 安全监控告警
    • 相关参考
      • Web 防护请求处理顺序
      • 处置方式
      • 匹配条件
  • Bot 管理
    • 概述
    • Bot 智能分析
    • Bot 基础特征管理
    • 客户端画像分析
    • 主动特征识别
    • 自定义 Bot 规则
    • Bot 管理例外规则
    • 相关参考
      • 处置方式
  • 策略模板
  • IP 和网段分组
  • 源站防护
  • 自定义响应页面
  • 告警通知推送
  • SSL/TLS
    • 概述
    • 部署/更新 SSL 托管证书至 EdgeOne 域名
    • 使用免费证书部署至 EdgeOne 域名
    • HTTPS 配置
      • 强制 HTTPS 访问
      • 启用 HSTS
      • SSL/TLS 安全配置
        • 配置 SSL/TLS 安全等级
        • TLS 版本及密码套件说明
      • 开启 OCSP 装订
Docs Overview/
边缘安全/
DDoS 防护/
DDoS 防护概述/

DDoS 防护概述

什么是 DDoS 攻击

分布式拒绝服务攻击(Distributed Denial of Service,DDoS)是指攻击者通过网络远程控制大量僵尸主机向一个或多个目标发送大量攻击请求,堵塞目标服务器的网络带宽或耗尽目标服务器的系统资源,导致其无法响应正常的服务请求。

DDoS 攻击的危害

如果遭受 DDoS 攻击导致业务中断或受损,将会带来巨大的商业损失。
重大经济损失:在遭受 DDoS 攻击后,源站服务器可能无法提供服务,导致用户无法访问您的业务,从而造成巨大的经济损失和品牌损失。
数据泄露:黑客在对您的服务器进行 DDoS 攻击时,可能会趁机窃取您业务的核心数据。
恶意竞争:部分行业存在恶性竞争,竞争对手可能会通过 DDoS 攻击恶意攻击您的服务,从而在行业竞争中获取优势。

DDoS 防护使用场景

游戏:游戏行业是 DDoS 攻击的重灾区,DDoS 防护能有效保证游戏的可用性和持续性,保障游戏玩家流畅体验,同时为活动、新游戏发布或节假日游戏收入旺季时段保驾护航,确保游戏业务正常。
互联网:保证互联网网页的流畅访问,业务正常不中断,对电商大促等重大活动时段,提供安全护航。
金融:满足金融行业的合规性要求,保证线上交易的实时性及安全稳定性。
政府:满足国家政务云建设标准的安全需求,为重大会议、活动、敏感时期提供安全保障,保障民生服务正常可用,维护政府公信力。
企业:保障企业站点服务持续可用,避免 DDoS 攻击带来的经济及企业品牌形象损失问题,零硬件零维护,节省安全成本。

EdgeOne 的 DDoS 防护

DDoS 防护范围

EdgeOne 对所有接入业务提供并开启 L3/L4 流量型 DDoS 攻击防护,实时监控网络流量,当识别到 DDoS 攻击时立即进行流量清洗过滤。DDoS 防护功能提供预设防护策略,基于攻击画像、行为模式分析、AI 智能识别等防护算法,可识别并过滤下列类型的 DDoS 攻击:
防护分类
描述
畸形报文过滤
过滤 frag flood,smurf,stream flood,land flood 攻击,过滤 IP 畸形包、TCP 畸形包、UDP 畸形包。
网络层 DDoS 攻击防护
过滤 UDP Flood、SYN Flood、TCP Flood、ICMP Flood、ACK Flood、FIN Flood、RST Flood、DNS/NTP/SSDP 等反射攻击、空连接。
DNS DDoS 攻击
DNS DDoS 攻击主要包括 DNS Request Flood、DNS Response Flood、虚假源+真实源 DNS Query Flood、权威服务器攻击和 Local 服务器攻击等。
连接型 DDoS 攻击
连接型 DDoS 攻击主要是指TCP慢速连接攻击、连接耗尽攻击、Loic、Hoic、Slowloris、 Pyloris、Xoic 等慢速攻击。

DDoS 防护规格

EdgeOne 的平台默认防护规格,为全部接入 EdgeOne 的业务提供基础 DDoS 防护能力和资源,可为大部分站点业务和 TCP/UDP 应用提供满足日常使用的基础防护能力。在此基础上,对于有遭受较大 DDoS 攻击风险预期、需要保持长连接、或者需要配置定制化流量管控策略的业务,EdgeOne 提供了独立 DDoS 防护,满足此类业务的流量过滤需求。具体规格如下:
功能名称
平台默认防护
独立 DDoS 防护
自动化识别 L3/L4 攻击并清洗1
独享的接入 IP 地址
-
DDoS 防护专用带宽资源2
-
独享的清洗中心资源
-
支持自定义流量过滤策略3
-
支持配置下列流量过滤策略:
IP 封禁
区域封禁
协议封禁
端口过滤
流量特征过滤
连接类攻击过滤
说明:

注1
:默认仅对超过 100Mbps 的攻击流量进行自动化清洗防护(攻击流量基于单一地区的流量统计,阈值仅供参考,请以实际防护为准)。

注2
:平台默认防护不承诺用于 DDoS 防护的资源容量,如您的业务曾遭遇流量型 DDoS 攻击,请考虑选用合适规格的独立 DDoS 防护,预留专用防护资源,以保障业务可用性。

注3
:自定义流量过滤策略仅支持启用独立 DDoS 防护的四层代理实例。对于域名方式接入的站点,不支持网络流量过滤。如需对访问客户端进行过滤,请使用 Web 防护 - 自定义规则
注4:DDoS 防护清洗的攻击流量不计费,详情可参考:关于“干净流量”计费说明。独立 DDoS 防护清洗后流量的计费方式请参考:独立 DDoS 防护相关费用(后付费)
注5:DDoS 防护功能的实际防护容量根据基础设施的实际容量和资源分配情况动态调整。当 DDoS 攻击规模超过 EdgeOne 基础设施防护容量时,EdgeOne 将进行包括(不限于)流量调度、流量限速、封禁访问等缓解措施,以保障基础设施稳定。

独立 DDoS 防护介绍

适用场景

独立 DDoS 防护是 EdgeOne 推出的一项增强 DDoS 防护的付费功能,提供独享清洗中心接入能力。当平台默认防护无法满足您的业务正常运行诉求时,您可以通过使用独立 DDoS 防护,来帮助您保护您的业务正常运行。独立 DDoS 防护开启后,将为您的业务提供包括清洗中心在内的防护资源进行流量清洗,可根据您选购的保底防护容量和弹性防护容量,提供承诺的防护带宽值。
说明:
独立 DDoS 防护仅 EdgeOne 企业版套餐可订阅。

能力介绍

1. 默认接入节点使用清洗中心,提供更大的 DDoS 防护能力,最高可达 T 级。
2. 可承诺防护容量,可根据业务部署情况灵活选择全球可用区(不含中国大陆)、中国大陆可用区、全球可用区的防护规格。
3. 除了自动清洗与识别机制,EdgeOne DDoS 防护可针对您的业务防护需求,提供多样化、灵活的 DDoS 自定义防护策略,您可根据特殊业务特点灵活设置,应对不断变化的攻击手法。对于四层代理实例,支持以下自定义规则能力配置:
说明:
当请求同时匹配多个规则时,按照如下规则顺序处理。
防护模块
功能说明
在 DDoS 攻击中通过匹配 IP 黑白名单的方式来限制对 EdgeOne 站点的访问。
在 DDoS 攻击中通过自定义端口规则,限制指定端口范围访问 EdgeOne 站点。
可配置仅允许用户通过指定协议访问 EdgeOne 站点。
支持对连接型攻击进行防护,对连接行为异常的客户端自动封禁。
在 DDoS 攻击中支持针对 IP、TCP 及 UDP 报文头或载荷中的特征自定义拦截策略。
在 DDoS 攻击中通过匹配区域的方式来限制对 EdgeOne 站点的访问。