DDoS 防护
GoMami 为所有实例默认提供**尽力而为(Best-Effort)**的 DDoS 防护。如需更强防护能力,可选购 600 Gbps 清洗防护付费服务。
防护等级
| 等级 | 说明 | 费用 |
|---|---|---|
| 默认防护 | 尽力而为(Best-Effort),基础流量清洗 | 免费,所有实例默认包含 |
| 高级防护 | 600 Gbps 专业级 DDoS 清洗 | 付费增值服务 |
信息
高级 600 Gbps 防护为付费功能,详情请联系客服或在官网查看。
默认防护说明
所有 GoMami 实例均享有基础的 DDoS 防护:
- 系统自动检测异常流量并进行基础清洗
- 无需手动配置,开箱即用
- 防护能力视攻击规模和网络状况而定(尽力而为)
黑洞机制
:::caution 重要 当实例遭受大规模 DDoS 攻击且影响到同网段其他客户时,系统将自动对该实例的 IP 地址执行**黑洞(Null Route)**处理:
- 黑洞时长:30 - 60 分钟
- 解封方式:自动解封,无法人工干预
- 触发条件:攻击流量影响到其他客户的正常使用
黑洞期间,该 IP 地址的所有入站和出站流量将被丢弃,服务将暂时不可用。请在黑洞解除后检查服务是否正常恢复。 :::
防护范围
L3/L4 防护
- UDP Flood
- SYN Flood
- ACK Flood
- ICMP Flood
- DNS Amplification
- NTP Amplification
L7 防护
- HTTP Flood
- CC 攻击
- Slowloris
信息
L7 防护的具体策略可能因节点和防护等级不同而有差异。
最佳实践
建议在服务器端做好基础安全配置,降低被攻击的风险:
# 限制 SYN 连接速率
iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 3 -j ACCEPT
# 丢弃无效数据包
iptables -A INPUT -m state --state INVALID -j DROP
# 限制 ICMP
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT