检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
如何判断入网流量是否经过了Anti-DDoS流量清洗服务? Anti-DDoS仅对华为云内的EIP提供DDoS攻击防护。Anti-DDoS设备部署在机房出口处,如图1所示。 图1 网络拓扑架构图 如果入网流量来自公网,则会经过Anti-DDoS流量清洗服务;如果入网流量来自华为云内
行。 Anti-DDoS通过对互联网访问弹性公网IP的业务流量进行实时监测,及时发现异常DDoS攻击流量。在不影响正常业务的前提下,根据用户配置的防护策略,清洗掉攻击流量。同时,Anti-DDoS为用户生成监控报表,清晰展示网络流量的安全状况。 Anti-DDoS会对华为云上的E
Anti-DDoS流量清洗与DDoS高防有什么区别? Anti-DDoS流量清洗为用户提供基本防御,DDoS高防为付费增值服务,提供专家贴身保障,详细区别说明如表1所示。 表1 Anti-DDoS流量清洗和DDoS高防的区别 服务 Anti-DDoS流量清洗 DDoS高防 收费 免费
nti-DDoS流量清洗)、DDoS原生高级防护和DDoS高防三个子服务。 其中,Anti-DDoS流量清洗为免费服务,DDoS原生高级防护和DDoS高防为收费服务。 三个子服务的应用场景和DDoS攻击防御能力说明如表1所示。 表1 DDoS防护方案说明 子服务 简介 应用场景 DDoS攻击防御能力
Anti-DDoS流量清洗阈值指什么? 流量清洗阈值是触发DDoS防御动作生效的阈值,触发防御后,攻击流量将被拦截,业务流量会被正常放行。 Anti-DDoS流量清洗默认的清洗阈值为“120Mbps”,您可以根据实际业务带宽情况调整Anti-DDoS流量清洗阈值,具体操作请参考配置Anti-DDoS防护策略。
Anti-DDoS流量清洗概述 EIP加入DDoS原生基础防护(Anti-DDoS流量清洗)的进行防护的流程如图1所示。 图1 Anti-DDoS使用流程 表1 流程说明 序号 流程 说明 1 开启防护 Anti-DDoS流量清洗为免费服务,购买EIP时自动开启防护。 2 通过IAM授予使用Anti-DDoS的权限
时,触发流量清洗。 “默认防护”为“120Mbps”,“手动设置”支持更多档位。 说明: 当实际业务流量触发流量清洗阈值时,Anti-DDoS仅拦截攻击流量;当实际业务流量未触发流量清洗阈值时,无论是否为攻击流量,都不会进行拦截。 请按照实际业务访问流量选择参数。建议选择与所购买带宽最接近的数值,但不超过购买带宽。
DDoS原生基础防护(Anti-DDoS流量清洗)最佳实践 通过ECS访问被黑洞的服务器
查询DDoS攻击防护BPS/PPS流量 功能介绍 查询DDoS攻击防护BPS/PPS流量 调用方法 请参见如何调用API。 URI GET /v2/aad/instances/{instance_id}/ddos-info/flow 表1 路径参数 参数 是否必选 参数类型 描述
Anti-DDoS流量清洗的触发条件是什么? Anti-DDoS流量检测主要包含以下检测项,不同流量清洗阈值档位对应的检测项阈值不一样。 当检测到流量超过流量阈值档位下某个检测项的阈值时,Anti-DDoS将触发流量清洗。 TCP异常防御 SYN Flood ACK Flood TCP分片攻击
com”域名为例,介绍如何通过DDoS调度中心实现流量的阶梯调度。 方案架构 DDoS阶梯调度工作原理如图1所示。 当业务有正常访问/日常攻击时,DDoS原生高级防护提供DDoS攻击全力防护能力,在业务遭受DDoS攻击时,自动触发流量清洗。 当业务遭受海量流量攻击导致封堵时,DDoS阶梯调度自动调
查询流量封禁信息 功能介绍 查询流量封禁信息 调用方法 请参见如何调用API。 URI GET /v2/aad/policies/ddos/flow-block 表1 Query参数 参数 是否必选 参数类型 描述 instance_id 是 String instanceId 请求参数
DDoS原生高级防护的流量回切时间是多久? DDoS原生高级防护的流量回切时间约5~10分钟。 DDoS原生高级防护流量切换到DDoS高防的过程,根据DNS域名生效时间和用户本地的递归DNS生效时间,大概需要5~10分钟。在此期间,整体流量可能同时在DDoS原生高级防护IP和高防IP中存在。
in_kbps_peak Number 流量峰值 ddos_count Number 攻击次数 timestamp Number 攻击峰值发生时间点 vip String 高防IP 请求示例 无 响应示例 状态码: 200 攻击流量峰值、攻击峰值时间、入流量峰值、攻击次数 { "attack_kbps_peak"
查询指定EIP防护流量 功能介绍 查询指定EIP在过去24小时之内的防护流量信息,流量的间隔时间单位为5分钟。 调用方法 请参见如何调用API。 URI GET /v1/{project_id}/antiddos/{floating_ip_id}/daily 表1 路径参数 参数
封禁指定区域的流量 DDoS原生高级防护支持封禁海外流量策略配置,策略生效后,来自海外的访问流量将被丢弃。 不同产品版本的策略生效条件不一样,具体请参见表1。 表1 区域封禁生效条件 产品版本 区域封禁生效条件 标准版 开启策略并触发攻击时生效。 全力防基础版 开启策略并触发攻击时生效。
封禁指定端口的流量 当某个目的端口不需要被访问时,为降低DDoS攻击风险,您可以通过端口封禁策略,阻止流量对该端口的访问。 开启端口封禁 登录管理控制台。 在页面上方选择“区域”后,单击页面左上方的,选择“安全与合规 > DDoS防护 AAD”,进入“Anti-DDoS流量清洗”界面。
全与合规 > DDoS防护 AAD”,进入“Anti-DDoS流量清洗”界面。 在左侧导航栏选择“DDoS高防 > 防护策略”,进入DDoS高防“防护策略”页面。 图1 DDoS高防防护策略页面 选择需要配置协议封禁的实例。 在协议封禁配置框中单击“设置”。 在弹出的对话框中选择
登录管理控制台。 在页面上方选择“区域”后,单击页面左上方的,选择“安全与合规 > DDoS防护 AAD”,进入“Anti-DDoS流量清洗”界面。 在左侧导航栏选择“DDoS原生高级防护 > 防护策略”,进入DDoS原生高级防护“防护策略”页面。 在防护策略列表的左上方,单击“创建策略”。
封禁指定区域的流量 DDoS高防支持封禁指定区域的流量,策略生效后,来自该区域的访问流量将被丢弃。 约束与限制 只支持一键放行或阻止海外流量访问, 不支持对某个国家或地区配置流量封禁。 开启区域封禁 登录管理控制台。 在页面上方选择“区域”后,单击页面左上方的,选择“安全与合规 >
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
