核心概念

DDoS

分布式拒绝服务DDoS（Distributed Denial of Service ）攻击是指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。

通常，攻击者使用一个偷窃账号将DDoS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在Internet上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。

CC (Challenge Collapsar)攻击

HTTP Flood，是针对Web服务在 OSI 协议第七层协议发起的攻击，攻击者极力模仿正常用户的网页请求行为，发起方便、过滤困难，极其容易造成目标服务器资源耗尽无法提供服务。

清洗

当目标 IP 的公网网络流量超过设定的防护阈值时，百度智能云 DDoS 系统将自动对该 IP 的公网入向流量进行清洗。通过策略路由将流量从原始网络路径中重定向到 DDoS 清洗设备上，通过清洗设备对该 IP 的流量进行识别，丢弃攻击流量，将正常流量转发至目标 IP。

封禁

当目标 IP 受到的攻击流量超过云资源所在区域（机房）的封禁阈值时，百度智能云将屏蔽该 IP 的所有外网访问，保护云平台其他用户免受影响。

• 封禁阈值

  • 中国大陆及新加坡区域用户遭受攻击且攻击流量峰值最高达到5G时，会触发封禁。
  • 中国香港区域用户遭受攻击流量峰值最高达到1G时，会触发封禁。

• 封禁时长 封禁时长默认为2小时，实际封禁时长与当日被攻击持续时长和攻击峰值相关，最长可达24小时。封禁时长主要受以下因素影响：

  * 攻击是否持续；若攻击一直持续，封禁时间会延长，封禁时间从延长时刻开始重新计算。
  
  * 攻击是否频繁；被频繁攻击的用户被持续攻击的概率较大，封禁时间会自动延长。
  
  * 攻击流量大小；被超大型流量攻击的用户，封禁时间会自动延长。

注意：针对个别攻击较频繁，攻击流量较大的用户，百度智能云保留延长封禁时长和降低封禁阈值的权利，具体黑洞阈值和黑洞时长以控制台显示为准。

为什么需要封禁策略？为什么百度智能云不能免费帮用户无限抵御DDoS攻击？ 百度智能云通过共享基础设施的方式降低云上用户用云成本，所有用户共用百度智能云的外网出口。当发生大流量 DDoS 攻击时，除了会影响被攻击对象，整个百度智能云的网络都可能会受到影响。为了避免因DDoS对其他未被攻击的用户造成影响，保障整个云平台网络的稳定，需要进行封堵。

DDoS 防御需要极高的成本，其中最大的成本就是带宽费用。带宽是百度智能云向电信、联通、移动等运营商购买，运营商计算带宽费用时不会把 DDoS 攻击流量清洗掉，而是直接收取百度智能云的总带宽费用。百度智能云DDoS基础防护在控制成本的情况下会尽量为云平台用户免费防御 DDoS 攻击，但是当攻击流量超出阈值时，百度智能云会屏蔽被攻击 IP 的流量，从而避免超额费用的产生。

如果您的 IP 遭受的攻击流量超出阈值触发封禁时，您可以通过购买DDoS高防IP服务将该 IP 提高至最高防御水平，绑定高防IP后请您工单反馈工作人员将受攻击的EIP解除封禁状态，此时业务可通过高防地址访问，EIP仍需要24小时解除黑洞状态。

基础防护阈值太低不满足需求怎么办？ 购买DDoS高防IP服务，获得高达 T 级别的防御能力，使用时需要将流量切换至高防IP。