通常，攻擊者會使用一個非法帳號將DDoS主控程式安裝在一台電腦上，並在網路上的多台電腦上安裝代理程式。在所設定的時間內，主控程式與大量代理程式進行通訊，代理程式收到指令時對目標發動攻擊，主控程式甚至能在幾秒鐘內啟動成百上千次代理程式的運作。

重大經濟損失

資料外洩

惡意競爭

DDoS攻擊分類 攻擊子類 描述 畸形報文 畸形報文主要包括Frag Flood、Smurf、Stream Flood、Land Flood、IP畸形報文、TCP畸形報文、UDP畸形報文等。 畸形訊息攻擊指透過向目標系統發送有缺陷的IP封包，使得目標系統在處理這樣的封包時出現崩潰，從而達到拒絕服務的攻擊目的。 傳輸層DDoS攻擊 傳輸層DDoS攻擊主要包括Syn Flood、Ack Flood、UDP Flood、ICMP Flood、RstFlood等。 以Syn Flood攻擊為例，它利用了TCP協定的三次握手機制，當服務端接收到一個Syn請求時，服務端必須使用監聽佇列將該連線保存一定時間。因此，透過向服務端不停發送Syn請求，但不回應Syn Ack封包，從而消耗服務端的資源。當監聽佇列被佔滿時，服務端將無法回應正常使用者的請求，達到拒絕服務攻擊的目的。 DNS DDoS攻擊 DNS DDoS攻擊主要包括DNS Request Flood、DNS Response Flood、假源 真實來源DNS Query Flood、權威伺服器攻擊和Local伺服器攻擊等。 以DNS Query Flood攻擊為例，其本質上執行的是真實的Query請求，屬於正常業務行為。但如果多台傀儡機同時發起海量的網域查詢請求，服務端無法回應正常的Query請求，從而導致拒絕服務。 連線型DDoS攻擊 連結型DDoS攻擊主要指TCP慢速連線攻擊、連線耗盡攻擊、Loic、Hoic、Slowloris、 Pyloris、Xoic等慢速攻擊。 以Slowloris攻擊為例，其攻擊目標是Web伺服器的並發上限。當Web伺服器的連線並發數達到上限後，Web服務即無法接收新的請求。 Web服務接收到新的HTTP請求時，建立新的連線來處理請求，並在處理完成後關閉這個連線。如果該連線一直處於連線狀態，收到新的HTTP請求時則需要建立新的連線進行處理。而當所有連線都處於連線狀態時，Web將無法處理任何新的請求。 Slowloris攻擊利用HTTP協定的特性來達到攻擊目的。 HTTP請求以\r \r 標識Headers的結束，如果Web服務端只收到\r ，則認為HTTP Headers部分沒有結束，將保留該連線並等待後續的請求內容。 Web應用層DDoS攻擊 Web應用層攻擊主要指HTTP Get Flood、HTTP Post Flood、CC等攻擊。 通常應用層攻擊完全模擬使用者請求，類似於各種搜尋引擎和爬蟲一樣，這些攻擊行為和正常的業務並沒有嚴格的邊界，難以辨別。 Web服務中一些資源消耗較大的事務和頁面。例如，Web應用程式中的分頁和分頁，如果控制頁面的參數過大，頻繁的翻頁將會佔用較多的Web服務資源。尤其在高並發頻繁調用的情況下，類似這樣的事務就成了早期CC攻擊的目標。 由於現在的攻擊大都是混合型的，因此模擬使用者行為的頻繁操作都可以被認為是CC攻擊。例如，各種刷票軟體對網站的訪問，從某種程度上來說就是CC攻擊。 CC攻擊瞄準的是Web應用的後端業務，除了導致拒絕服務外，還會直接影響Web應用的功能和效能，包括Web回應時間、資料庫服務、磁碟讀寫等。

出現以下情況時，您的業務可能已遭受DDoS攻擊：

網路和裝置正常的情況下，伺服器突然出現連線中斷、存取卡頓、使用者斷線等情況。

伺服器CPU或記憶體佔用率出現明顯成長。

網路出方向或入方向流量明顯成長。

您的業務網站或應用程式突然出現大量的未知訪問。

登入伺服器失敗或登入過慢。

縮小暴露面，隔離資源和不相關的業務，降低被攻擊的風險。

優化業務架構，利用公有雲的特性設計彈性伸縮和災備切換的系統。

伺服器安全加固，提升伺服器本身的連線數等效能。

選擇合適的商業安全方案。阿里雲既提供了免費的基礎DDoS防護，也提供了商業安全方案。

電腦網路是一個共享環境，需要多方共同維護穩定，部分行為可能會對整體網路和其他租戶的網路帶來影響，需要您注意：

產品架構 DDoS基礎防護 DDoS原生防護 DDoS高防（新BGP&國際） 標準型 增強型 方案簡介 基於阿里雲原生防護網絡，不改變來源站伺服器IP位址，抵禦網路層、傳輸層DDoS攻擊。 透過DNS解析方式牽引流量到阿里雲全球DDoS清洗中心，抵禦網路層、傳輸層、應用層DDoS攻擊，隱藏被保護的來源站伺服器。 防護能力 低，基於阿里雲上防禦能力，500 Mbps~5 Gbps。 詳細內容，請參閱DDoS基礎防護黑洞閾值。 較高，基於阿里雲上防禦能力，最高可達數百Gbps。 詳細內容，請參考什麼是DDoS原生防護。 高，基於阿里雲全球DDoS清洗中心能力，最高可達Tbps以上。 高，基於阿里雲全球DDoS清洗中心能力，最高可達Tbps以上。 防護對象 部分阿里雲產品。 包含ECS、SLB、EIP（包含綁定NAT閘道的EIP）、IPv6閘道、輕量伺服器、WAF、GA。 部分阿里雲產品。 包含ECS、SLB、EIP（包含綁定NAT閘道的EIP）、IPv6閘道、輕量伺服器、WAF、GA。 部分阿里雲產品。目前僅支援DDoS防護增強型EIP。 任意公網IP。 適用場景 購買對應雲產品後，預設為開啟。 IP/連接埠數量多。 業務頻寬大，且無法改變對外IP。例如，業務頻寬大於1 Gbps，HTTP和HTTPS業務QPS大於5,000。 需極低延遲，保障大流量攻擊時業務連續性。 偶爾遭受DDoS攻擊。 IP/連接埠數量多。 業務頻寬大，且無法改變對外IP。例如，業務頻寬大於1 Gbps，HTTP和HTTPS業務QPS大於5,000。 需較低延遲，保障大流量攻擊時業務連續性。 資產需要Tbps等級的DDoS防護能力。 偶爾遭受DDoS攻擊。 遭受攻擊較多且攻防對抗激烈。 需要防禦精細化應用層CC攻擊。 需要改變業務對外IP。 說明 免費。 包年月購買模式，分為中小企業普惠版、企業版。詳細信息，請參閱原​​生防護2.0包年包月。 後付費購買模式，詳細信息，請參見原生防護2.0後付費。 後付費購買模式，詳細信息，請參見原生防護2.0後付費。 版本選擇指導： 存取來源、來源站都在中國內地時，請使用DDoS高防（新BGP）。 訪問源、源站都在非中國大陸時，請使用DDoS高防（國際）中的保險版或無憂版。 跨國場景（訪問源在中國內地，源站在非中國內地），請使用DDoS高防（國際）中的加速線路 保險版/無憂版，或安全加速線路。

攻擊類型 攻擊子類 DDoS原生防護 DDoS高防（新BGP&國際） 標準型 增強型 網路層DDoS攻擊 主要包括Frag Flood、Smurf、Stream Flood、Land Flood、IP畸形封包、TCP畸形封包、UDP畸形封包等。 √ √ √ 傳輸層DDoS攻擊 主要包括Syn Flood、Ack Flood、UDP Flood、ICMP Flood、RstFlood/NTP/SSDP/DNS反射等。 √ √ √ 應用層DDoS攻擊（HTTP/HTTPS） 也稱為Web類應用層CC攻擊，主要包括HTTP/HTTPS CC、HTTP慢速攻擊（Loic/Hoic/Slowloris/Pyloris/Xoic）等針對HTTP業務的CC攻擊，例如網站、API介面、WebSocket等業務。 × × √ 應用層DDoS攻擊（非HTTP/HTTPS的TCP應用層協定） 也稱為非Web類別應用層CC攻擊，主要包括TCP CC、TCP空連線、TCP連線資源消耗攻擊等針對非HTTP業務的基於TCP應用層的CC攻擊，例如私有協定、MySQL、MQTT、RTMP等業務。 × √ 公測中，目前僅支援杭州地域，請透過售前線上諮詢聯繫商務經理申請。 √ 應用層DDoS攻擊（基於UDP的應用層協定） UDP-CC、NS服務的DNS-Floood等針對UDP業務的CC攻擊，例如NS服務、UDP遊戲業務、UDP語音通話等業務。 說明 UDP業務CC防護需要額外購買安全​​管家，否則不支援。 √ 支援非NS服務的DNS攻擊進行清洗。如需保護NS服務，請使用DNS安全。 √ 支援非NS服務的DNS攻擊進行清洗。如需保護NS服務，請使用DNS安全。 √ 支援非NS服務的DNS攻擊進行清洗。如需保護NS服務，請使用DNS安全。

針對存取後的正常業務流量，DDoS防護解決方案的智慧AI防護會有正常業務流量特徵的學習時間，如您剛接取業務就遭受DDoS攻擊或CC攻擊，首次攻擊可能存在瞬時的攻擊透傳，建議您盡可能的提升源站負載能力，並依照以下建議進行設定：

DDoS原生防護

DDoS高防（新BGP&國際）