Ketika serangan DDoS skala besar menargetkan aset Alibaba Cloud dan lalu lintas serangan puncak dalam bit per detik (bps) melebihi tingkat perlindungan DDoS-nya, Alibaba Cloud mengaktifkan blackhole untuk sementara memblokir seluruh lalu lintas internet ke aset tersebut. Tindakan ini mencegah kerusakan lebih lanjut pada aset tersebut dan melindungi aset lain agar tidak terdampak, tetapi juga mengganggu komunikasi jaringan normal. Topik ini menjelaskan cara mencegah dan menangani blackhole.
Kapasitas Perlindungan DDoS Dasar
Aset IP publik tertentu di Alibaba Cloud mencakup Perlindungan DDoS Dasar gratis dengan kapasitas mulai dari 500 Mbps hingga 5 Gbps. Kapasitas perlindungan spesifik bergantung pada wilayah dan spesifikasi aset tersebut. Untuk informasi selengkapnya, lihat Spesifikasi layanan cloud dan ambang batas pembersihan lalu lintas dan Konfigurasikan ambang batas pembersihan lalu lintas.
Jika lalu lintas layanan normal Anda (dalam bps) melebihi ambang batas blackhole, segera tingkatkan spesifikasi aset Anda. Jika tidak, lalu lintas Anda dapat ditandai sebagai anomali dan memicu blackhole.
Semakin tinggi kapasitas perlindungan DDoS suatu aset, semakin rendah risiko serangan DDoS memicu blackhole. Oleh karena itu, metode pencegahan paling efektif adalah meningkatkan kapasitas perlindungan DDoS aset tersebut, yang juga menaikkan ambang batas blackholenya.
Lihat status aset, lalu lintas, dan IP serangan
Masuk ke Konsol Keamanan Lalu Lintas.
Lihat status aset Anda.
Di pojok kiri atas halaman Assets, pilih wilayah tempat aset IP publik Anda berada, lalu klik tab aset yang sesuai.
Pada daftar aset, periksa apakah IP Status bernilai Blackholed.
Lihat lalu lintas dan IP serangan pada aset tersebut.
Di halaman Event Center, lihat peristiwa blackhole atau pembersihan lalu lintas. Anda juga dapat mengklik View Details untuk melihat laju lalu lintas masuk dalam bps dan paket per detik (pps).
Di pojok kanan atas halaman, klik Download. Gunakan tool seperti Wireshark untuk membuka hasil pengambilan paket yang telah diunduh dan melihat IP serangan.
Durasi penghapusan blackhole otomatis
Secara default, blackhole secara otomatis dihapus setelah 2,5 jam. Namun, durasi aktual dapat berkisar antara 30 menit hingga 24 jam, atau bahkan lebih lama dalam kasus langka, tergantung pada frekuensi serangan terhadap aset tersebut. Faktor-faktor berikut utamanya memengaruhi durasi:
Kontinuitas serangan: Jika serangan berlanjut, durasinya diperpanjang. Penghitung waktu penghapusan dimulai ulang sejak saat perpanjangan tersebut.
Frekuensi serangan: Untuk serangan pertama kali pada suatu aset, durasi blackhole secara otomatis dipersingkat. Sebaliknya, untuk aset yang sering diserang, durasinya diperpanjang karena dianggap sebagai target berisiko tinggi.
Untuk aset yang sering mengalami blackhole, Alibaba Cloud berhak memperpanjang durasi blackhole dan menurunkan ambang batas blackholenya. Waktu penghapusan aktual ditentukan dalam notifikasi insiden keamanan.
Cara menghapus blackhole
Selama periode blackhole, Alibaba Cloud terus memantau serangan DDoS. Setelah serangan mereda, blackhole secara otomatis dihapus dan akses internet ke aset tersebut dipulihkan. Jika Anda perlu segera memulihkan layanan saat aset sedang dalam blackhole, Anda dapat membeli produk perlindungan DDoS komersial, yang memungkinkan Anda menghapus blackhole secara manual.
Tanpa produk perlindungan DDoS komersial
Penghapusan manual tidak didukung. Anda harus menunggu hingga durasi blackhole berakhir agar layanan dipulihkan secara otomatis. Jika Anda perlu segera memulihkan layanan atau mengakses file di server, lihat Cara cepat memulihkan layanan setelah instance ECS mengalami blackhole.
Sering mengganti atau melepas IP publik aset yang diserang, seperti instance ECS, EIP, SLB, atau Simple Application Server, dapat berdampak negatif terhadap penyewa lain dan berpotensi menyebabkan pembatasan di tingkat platform.
Setelah Anda mengganti IP publik aset atau memindahkan layanan ke server baru, penyerang masih dapat menemukan IP baru tersebut menggunakan metode seperti ping domain Anda. Untuk menyelesaikan akar permasalahan, Anda harus membeli Anti-DDoS Native atau Anti-DDoS Proxy.
Dengan produk perlindungan DDoS komersial
Anda dapat menunggu blackhole dihapus secara otomatis atau menghapusnya secara manual. Penghapusan manual tidak melindungi dari serangan DDoS; hanya memberi Anda waktu untuk menerapkan rencana pertahanan. Jika serangan DDoS masih aktif setelah Anda menghapus blackhole secara manual, aset Anda dapat kembali mengalami blackhole.
Produk perlindungan DDoS | Metode penghapusan manual | Deskripsi |
Anti-DDoS Native |
| Jumlah penghapusan manual terbatas setiap bulan. Jumlah tersebut biasanya tidak kurang dari jumlah IP yang dilindungi dalam paket Anda. |
Anti-DDoS Proxy (Tiongkok daratan) |
|
|
Anti-DDoS Proxy (luar Tiongkok daratan) | Penghapusan manual tidak diperlukan. | Berbeda dengan instance Anti-DDoS Proxy (Tiongkok daratan) yang memiliki bandwidth perlindungan tetap, instance Anti-DDoS Proxy (luar Tiongkok daratan) menyediakan perlindungan elastis tingkat lanjut tanpa batas atas. Penghapusan manual umumnya tidak diperlukan. |
Cara memilih produk perlindungan DDoS
Anti-DDoS Native: Produk keamanan ini secara langsung meningkatkan kemampuan mitigasi DDoS aset Alibaba Cloud Anda. Produk ini mudah diterapkan dan tidak memerlukan perubahan pada arsitektur jaringan Anda. Tidak ada batasan jumlah port Lapisan 4 atau domain Lapisan 7. Untuk mengaktifkan perlindungan, cukup kaitkan IP aset cloud Anda dengan instance Anti-DDoS Native.
Anti-DDoS Proxy: Layanan perlindungan DDoS berbasis proxy dari Alibaba Cloud ini melindungi dari serangan DDoS volumetrik maupun serangan habisnya sumber daya. Layanan ini dapat melindungi server yang di-host di Alibaba Cloud, on-premises, atau di cloud lain. Setelah Anda mengintegrasikan layanan Anda dengan Anti-DDoS Proxy, lalu lintas serangan akan dialihkan ke Pusat pembersihan lalu lintas melalui resolusi DNS. Pusat pembersihan lalu lintas tersebut kemudian hanya meneruskan lalu lintas bersih ke server origin Anda.
Untuk panduan pemilihan detail dan informasi penagihan, lihat Pilih produk perlindungan DDoS, Penagihan Anti-DDoS Native, dan Penagihan Anti-DDoS Proxy.