分布式拒绝服务DDoS攻击优化方案

• 缩小暴露面，隔离资源和不相关的业务，降低被攻击的风险。

配置安全组

尽量避免将非业务必须的服务端口暴露在公网上，从而避免与业务无关的请求和访问。通过配置安全组可以有效防止系统被扫描或者意外暴露。

使用专有网络（VPC）

通过专有网络VPC实现网络内部逻辑隔离，防止来自内网肉鸡的攻击。

优化业务架构，利用公共云的特性设计弹性伸缩和灾备切换的系统。

科学评估业务架构性能

在业务部署前期或运营期间，技术团队应该对业务架构进行压力测试，以评估现有架构的业务吞吐处理能力，为DDoS防御提供详细的技术参数指导信息。

弹性和冗余架构

通过负载均衡架构、或异地多中心的架构避免业务架构中出现单点故障。如果您的业务在阿里云上，可以灵活地使用负载均衡服务实现多台服务器的多点并发处理业务访问，将用户访问流量均衡分配到各个服务器上，降低单台服务器的压力，提升业务吞吐处理能力，这样可以有效缓解一定流量范围内的连接层DDoS攻击。

部署弹性伸缩

弹性伸缩（Auto Scaling），是根据用户的业务需求和策略，经济地自动调整弹性计算资源的管理服务。通过部署弹性伸缩，系统可以有效的缓解会话层和应用层攻击，在遭受攻击时自动增加服务器，提升处理性能，避免业务遭受严重影响。

通过智能解析的方式优化DNS解析，可以有效避免DNS流量攻击产生的风险。

• 屏蔽未经请求发送的DNS响应信息
• 丢弃快速重传数据包
• 启用TTL
• 丢弃未知来源的DNS查询请求和响应数据
• 丢弃未经请求或突发的DNS请求
• 启动DNS客户端验证
• 对响应信息进行缓存处理
• 使用ACL的权限
• 利用ACL，BCP38及IP信誉功能

提供余量带宽

通过服务器性能测试，评估正常业务环境下所能承受的带宽和请求数。在购买带宽时确保有一定的余量带宽，可以避免遭受攻击时带宽大于正常使用量而影响正常用户的情况。

服务器安全加固，提升服务器自身的连接数等性能。

做好业务监控和应急响应。

关注基础DDoS防护监控

当您的业务遭受DDoS攻击时，基础DDoS默认会通过短信和邮件方式发出告警信息，针对大流量攻击基础DDoS防护也支持电话报警，建议您在接受到告警的第一时间进行应急处理。

云监控

云监控服务可用于收集、获取阿里云资源的监控指标或用户自定义的监控指标，探测服务的可用性，并支持针对指标设置警报。

建立应急响应预案

根据当前的技术业务架构和人员，提前准备应急技术预案，必要时，可以提前进行技术演练，以检验应急响应预案的合理性。

• 选择合适的商业安全方案。阿里云既提供了免费的基础DDoS防护，也提供了DDoS防护包、高防IP、游戏盾等商业安全方案，用户也可以选择其他厂商的安全方案。

Web应用防火墙（WAF）

针对网站类应用，例如常见的http Flood(CC攻击)攻击，可以使用WAF可以提供针对连接层攻击、会话层攻击和应用层攻击进行有效防御。

DDoS防护包

DDoS防护包为云产品IP提供防御100G以内的DDoS攻击的防护能力，即时生效。

DDoS高级防护

针对大流量DDoS攻击，建议使用阿里云高防IP服务。

游戏盾

游戏盾是针对游戏行业常见的DDoS攻击、CC攻击推出的行业解决方案。相比于高防IP服务，游戏盾解决方案的针对性更强，针对游戏行业的攻击防御效果更好、成本更低。

计算机网络是一个共享环境，需要多方共同维护稳定，部分行为可能会给整体网络和其他租户的网络带来影响，需要您注意：

• 避免使用阿里云产品机制搭建DDoS防护平台
• 避免释放处于黑洞状态的实例
• 避免为处于黑洞状态的服务器连续更换、解绑、增加SLB IP、弹性公网IP、NAT网关等IP类产品
• 避免通过搭建IP池进行防御，避免通过分摊攻击流量到大量IP上进行防御
• 避免利用阿里云非网络安全防御产品（包括但不限于CDN、OSS），前置自身有攻击的业务
• 避免使用多个账号的方式绕过上述规则