更新时间:2023-12-25 GMT+08:00

什么是DDoS高防

DDoS高防(Advanced Anti-DDoS)是企业重要业务连续性的有力保障。当您的服务器遭受大流量DDoS攻击时,DDoS高防可以保护用户业务持续可用。DDoS高防通过高防IP代理源站IP对外提供服务,将恶意攻击流量引流到高防IP清洗,确保重要业务不被攻击中断。可服务于华为云、非华为云及IDC的互联网主机。

DDoS高防实例到期≥30个自然日时,DDoS高防将停止转发业务流量,实例将被释放。如果您不需要继续使用DDoS高防,请务必在到期30个自然日之前,将业务流量从高防切换到源站服务器。

  • 未接入DDoS高防

    未接入高防时,源站直接对互联网暴露,一旦发生DDoS攻击,很容易导致源站瘫痪。

    图1 未接入DDoS高防示意图

  • 接入DDoS高防

    当您购买DDoS高防并将业务接入DDoS高防后,网站类业务把域名解析指向高防IP,非网站类的业务IP将替换成高防IP,DDoS高防将所有的公网流量都引流至高防IP,进而隐藏源站,避免源站(用户业务)遭受大流量DDoS攻击。

    图2 接入DDoS高防示意图

DDoS高防工作原理

DDoS高防服务通过高防IP代理源站IP对外提供服务,将所有的公网流量都引流至高防IP,进而隐藏源站,避免源站(用户业务)遭受大流量DDoS攻击。DDoS高防引流和转发原理示意图如下:

  • 客户

    访问源站(用户业务)的客户。

  • 源站IP

    源站服务器所使用的公网IP,也是被防护的IP地址,应避免对外暴露(泄露)。

  • 高防IP

    与源站IP相对应,用于代替源站IP来面向客户提供服务,使源站IP不直接暴露出去。

  • 回源IP

    是高防机房代替客户去和源站服务器通信的若干个IP地址(高防机房会将客户的IP随机转换成某个回源IP,并由这个回源IP代替客户IP去和源站服务器通信)。

DDoS高防为用户提供DDoS防护服务,可以防护SYN Flood、UDP Flood、ACK Flood、ICMP Flood、DNS Query Flood、NTP reply Flood、CC攻击等各类网络层、应用层的DDoS攻击。

业务架构

DDoS高防服务采用分层防御、分布式清洗,通过精细化多层过滤防御技术,可以有效检测和过滤攻击流量。网络拓扑示意图如图3所示。

图3 网络拓扑示意图