边缘安全
  • 概述
  • DDoS 防护
    • DDoS 防护概述
    • 使用独立 DDoS 防护
    • 配置独立 DDoS 防护策略
      • 调整 DDoS 防护等级
      • 独立 DDoS 攻击流量告警
      • 配置 IP 黑白名单
      • 配置区域封禁
      • 配置端口过滤
      • 配置特征过滤
      • 配置协议封禁
      • 配置连接类攻击防护
      • 相关参考
        • 处置方式
        • 相关概念介绍
  • Web 防护
    • 概述
    • Configuring Web Protection Policy
    • 托管规则
    • CC 攻击防护
    • Bandwidth Abuse Protection
    • 自定义规则
    • 自定义速率限制规则
    • 防护例外规则
    • 托管定制规则
    • Web 安全监控告警
    • 相关参考
      • Web 防护请求处理顺序
      • 处置方式
      • 匹配条件
  • Bot 管理
    • 概述
    • Bot 智能分析
    • Bot 基础特征管理
    • 客户端画像分析
    • 主动特征识别
    • 自定义 Bot 规则
    • Bot 管理例外规则
    • 相关参考
      • 处置方式
  • 策略模板
  • IP 和网段分组
  • 源站防护
  • 自定义响应页面
  • 告警通知推送
  • SSL/TLS
    • 概述
    • 部署/更新 SSL 托管证书至 EdgeOne 域名
    • 使用免费证书部署至 EdgeOne 域名
    • Mutual Authentication
    • HTTPS 配置
      • 强制 HTTPS 访问
      • 启用 HSTS
      • SSL/TLS 安全配置
        • 配置 SSL/TLS 安全等级
        • TLS 版本及密码套件说明
      • 开启 OCSP 装订
    • Refer
      • Using OpenSSL to Generate Self-Signed Certificates
      • Certificate Format Requirements
    • Using Keyless Certificate
Docs Overview/
边缘安全/
DDoS 防护/
配置独立 DDoS 防护策略/
相关参考/
相关概念介绍/

相关概念介绍

DDoS 攻击介绍

分布式拒绝服务攻击(Distributed Denial of Service,DDoS)是指攻击者通过网络远程控制大量僵尸主机向一个或多个目标发送大量攻击请求,堵塞目标服务器的网络带宽或耗尽目标服务器的系统资源,导致其无法响应正常的服务请求。

网络层 DDoS 攻击

网络层 DDoS 攻击主要是指攻击者利用大流量攻击拥塞目标服务器的网络带宽,消耗服务器系统层资源,导致目标服务器无法正常响应客户访问的攻击方式。
常见攻击类型包括 SYN Flood、ACK Flood、UDP Flood、ICMP Flood 以及 DNS/NTP/SSDP/memcached 反射型攻击。

传输层 DDoS 攻击

主要包括 Syn Flood、Ack Flood、UDP Flood、ICMP Flood。以 Syn Flood 攻击为例,它利用了 TCP 协议的三次握手机制,当服务端接收到一个 Syn 请求时,服务端必须使用一个监听队列将该连接保存一定时间。因此,它向服务端不停发送 Syn 请求,但不响应 Syn+Ack 报文,从而消耗服务端的资源。当服务端监听队列被占满时,服务端将无法响应正常用户的请求,达到拒绝服务攻击的目的。

应用层 DDoS 攻击

主要包括 DNS DDoS 攻击和 Web 应用 DDoS 攻击。DNS DDoS 攻击主要包括 DNS Request Flood、DNS Response Flood、虚假源+真实源DNS Query Flood。Web 应用 DDoS 攻击主要指 HTTP Get Flood、HTTP Post Flood 等。HTTP Get Flood 通常指黑客从 Web 服务或界面找出一些资源消耗较大的事务和页面,并对这些事务和页面不停地发送 HTTP Get 请求,从而导致 Web 应用服务器资源耗尽,无法提供正常服务,或导致数据中心入口网络带宽被占满,整个数据中心无法正常对外提供服务。

CC 攻击

CC 攻击主要是指通过恶意占用目标服务器应用层资源,消耗处理性能,导致其无法正常提供服务的攻击方式。常见的攻击类型包括基于 HTTP/HTTPS 的 GET/POST Flood、四层 CC 以及 Connection Flood 等攻击方式。

防护能力

防护能力指抵御 DDoS 攻击的能力, DDoS 防护承诺根据当前地域腾讯云最大 DDoS 防护能力提供全力防护。

清洗

当目标 IP 的公网网络流量超过设定的防护阈值时,腾讯云 DDoS 防护系统将自动对该 IP 的公网入向流量进行清洗。通过 BGP 路由协议将流量从原始网络路径中重定向到腾讯云 DDoS 清洗设备上,通过清洗设备对该 IP 的流量进行识别,丢弃攻击流量,将正常流量转发至目标 IP。通常情况下,清洗不会影响正常访问,仅在特殊场景或清洗策略配置有误时,可能会对正常访问造成影响。当流量持续一定时间(根据攻击情况动态判断)没有异常时,清洗系统会判定攻击结束,停止清洗。