tencent cloud

DDoS 攻击

分布式拒绝服务攻击（Distributed Denial of Service，DDoS）是指攻击者通过网络远程控制大量僵尸主机向一个或多个目标发送大量攻击请求，堵塞目标服务器的网络带宽或耗尽目标服务器的系统资源，导致其无法响应正常的服务请求。

网络层 DDoS 攻击

网络层 DDoS 攻击主要是指攻击者利用大流量攻击拥塞目标服务器的网络带宽，消耗服务器系统层资源，导致目标服务器无法正常响应客户访问的攻击方式。

常见攻击类型包括 SYN Flood、ACK Flood、UDP Flood、ICMP Flood 以及 DNS/NTP/SSDP/memcached 反射型攻击。

CC 攻击

CC 攻击主要指通过恶意占用目标服务器应用层资源，消耗处理性能，导致其无法正常提供服务的攻击方式。常见的攻击类型包括基于 HTTP 或 HTTPS 的 GET/POST Flood、四层 CC 以及 Connection Flood 等攻击方式。

防护能力

防护能力指抵御 DDoS 攻击的能力。 DDoS 高防 IP（境外企业版）智能调度全球不同节点资源进行全力防护。

Anycast

防护地址 Anycast EIP 通过 BGP Anycast 方式广播到各区域运营商，在将此 IP 地址与后端资源进行绑定后，接入区域内的用户流量将引导流量（包括业务流量和攻击流量）就近调度到腾讯云节点（anycast 接入点）完成近源清洗。智能选择路由与自动完成网络调度将用户的网络访问请求稳定送达至腾讯云内实例。

清洗

当目标 IP 的公网网络流量超过设定的防护阈值时，腾讯云 DDoS 防护系统将自动对该 IP 的公网入向流量进行清洗。通过 BGP 路由协议将流量从原始网络路径中重定向到腾讯云 DDoS 清洗设备上，通过清洗设备对该 IP 的流量进行识别，丢弃攻击流量，将正常流量转发至目标 IP。

通常情况下，清洗不会影响正常访问，仅在特殊场景或清洗策略配置有误时，可能会对正常访问造成影响。当流量持续一定时间（根据攻击情况动态判断）没有异常时，清洗系统会判定攻击结束，停止清洗。

封堵

当目标 IP 受到的攻击流量超过其封堵阈值时，腾讯云将通过运营商的服务屏蔽该 IP 的所有外网访问，保护云平台其他用户免受影响。简而言之，当您的某个 IP 受到的攻击流量超过当前地域腾讯云最大防护能力时，腾讯云将屏蔽该 IP 的所有外网访问。当您的防护 IP 被封堵时，您可以登录管理控制台进行自助解封。

封堵时长

封堵时长默认为2小时，实际封堵时长与当日封堵触发次数和攻击峰值相关，最长可达24小时。
封堵时长主要受以下因素影响：
• 攻击是否持续：若攻击一直持续，封堵时间会延长，封堵时间从延长时刻开始重新计算。
• 攻击是否频繁：被频繁攻击的用户遭遇持续攻击的概率较大，封堵时间会自动延长。
• 攻击流量大小：被超大型流量攻击的用户，封堵时间会自动延长。

封堵级别

• 单运营商：单个运营商进行封堵，通过此运营商一个或多个区域的业务无法访问。
• 单区域节点：单区域的节点进行封堵，该区域的业务无法访问。
• 全区域：腾讯云直接对访问业务的进行封堵，全局业务无法访问。

说明：

• 根据攻击的影响面的程度，将触发不同的级别的封堵。
• 例如：某客户在遭受 DDoS 攻击后，当攻击流量达到该运营商的封堵阈值时，将进行单运营商封堵。若该区域攻击流量达到该区域节点封堵阈值时，将进行该区域节点封堵，该区域的业务将无法访问。若该客户的各个节点的攻击总量达到全区域封堵阈值，则进行该客户的业务全区封堵，将导致全区域的业务无法访问。

调度

当流量达到当下运营商的阈值时，会进行运营商间的调度以保证业务可用性。

说明：

为了保证业务的可用性，可能会出现多次调度的情况。