协议封禁是指通过阻止特定协议类型的流量访问，防御针对特定协议的攻击（如 UDP 洪水攻击、ICMP 洪水攻击等）。当 DDoS 原生防护检测到攻击并触发清洗时，系统会丢弃对应协议类型的请求，以减少业务暴露面。本文档将介绍协议类攻击的特点，以及协议封禁的配置方法和注意事项。

常见协议攻击类型

• ICMP 洪水攻击：攻击者通过持续发送大量 ICMP 请求（例如ping命令），使目标服务器不堪重负，从而无法响应正常业务流量。
• UDP 洪水攻击：利用 UDP 协议无需建立连接的特性，攻击者可以快速发送大量伪造源地址的 UDP 数据包，消耗目标服务器的处理能力和带宽资源。
• SYN 洪水攻击：攻击者通过滥用 TCP 三次握手机制，持续发送大量伪造的 SYN 连接请求，导致服务器保持大量半开连接状态，最终耗尽系统资源。

适用场景

• 阻断特定协议攻击：当您识别出攻击流量主要针对某种协议（如 UDP、ICMP）时，可以封禁该协议，阻止攻击流量。
• 最小化协议暴露面：如果您的业务仅使用特定协议（如 TCP），可以封禁其他非必要协议，减少不必要的暴露。

注意事项

• 防护触发机制：当 DDoS 原生防护检测到攻击后，拦截指定协议的请求流量。
• 规则优先级：如果被封禁的协议请求来自某个白名单内的 IP 地址，该请求将被放行。

前提条件

您已购买并开通 DDoS 原生防护服务。相关操作可参考步骤一：购买 DDoS 原生防护（企业版）实例。

操作步骤

1. 登录DDoS原生防护控制台。

2. 在页面左侧，选择DDoS原生防护 > 防护策略。

3. 在防护策略列表中选择目标规则组，直接单击规则组名称或者单击操作列的配置规则。
   

4. 选择协议封禁，打开需要封禁的协议开关。