笙亿网络策划

阿里云 ECS 实例遭遇 DDoS 攻击怎么开启防护清洗

约 2 分钟读完 31 阅
文章导读
阿里云 ECS 实例默认已开启基础 DDoS 防护(Anti-DDoS Basic),无需手动启用;若攻击流量超过免费防护阈值导致 IP 黑洞,需购买 DDoS 高防 IP 并将业务流量切换至高防进行清洗。
📋 目录
  1. 紧急处置:安全组策略收敛
  2. 进阶防护:接入 DDoS 高防 IP
A A

阿里云 ECS 实例默认已开启基础 DDoS 防护(Anti-DDoS Basic),无需手动启用;若攻击流量超过免费防护阈值导致 IP 黑洞,需购买 DDoS 高防 IP 并将业务流量切换至高防进行清洗。

核心结论:基础防护自动生效,超出阈值需手动接入高防

阿里云 ECS 实例遭遇 DDoS 攻击怎么开启防护清洗
  • 紧急止损:优先调整安全组,但严禁误删管理端口(如 SSH 22)
  • 彻底清洗:购买高防实例,配置域名接入并调整 DNS TTL
  • 状态验证:通过云监控观察带宽曲线,确认流量回落

紧急处置:安全组策略收敛

在遭遇攻击初期,可通过安全组限制非业务端口以减少攻击面,但操作不当会导致实例失联。

阿里云 ECS 实例遭遇 DDoS 攻击怎么开启防护清洗
  1. 登录阿里云控制台,进入“网络安全”->“安全组”
  2. 备份规则:截图或导出当前安全组规则,以便异常时恢复。
  3. 添加白名单:先添加允许当前管理 IP 访问的规则(确保 SSH 3389 或 22 端口畅通)。
  4. 收敛端口:在验证新规则生效后,再删除允许 0.0.0.0/0 访问的非业务端口(如数据库端口、管理端口)。
  5. 风险提示:务必保留当前管理会话端口,若误删会导致无法连接实例,只能通过 VNC 或工单恢复。

进阶防护:接入 DDoS 高防 IP

当基础防护不足以抵御攻击(通常入向带宽超过地域阈值)时,需接入付费高防服务。

  1. 创建实例:访问阿里云控制台 DDoS 高防产品页,选择“DDoS 高防 IP