Jika serangan DDoS ber-volume tinggi menargetkan produk Alibaba Cloud dan bandwidth puncaknya melebihi kemampuan mitigasi DDoS produk tersebut, Alibaba Cloud akan memicu kebijakan penyaringan blackhole. Kebijakan ini sementara waktu memblokir seluruh lalu lintas internet ke produk tersebut guna mencegah kerusakan lebih lanjut dan menghentikan serangan agar tidak memengaruhi aset lainnya. Akibatnya, komunikasi jaringan normal terganggu. Topik ini menjelaskan cara mencegah dan menanggapi penyaringan blackhole.
Kemampuan mitigasi DDoS dasar
Secara default, beberapa aset Alibaba Cloud yang diberi alamat IP publik mencakup kemampuan mitigasi DDoS dasar gratis sebesar 500 Mbps hingga 5 Gbps. Kemampuan mitigasi spesifik bergantung pada wilayah dan spesifikasi aset tersebut. Untuk informasi selengkapnya, lihat Ambang batas yang memicu penyaringan blackhole di Anti-DDoS Dasar dan Menetapkan ambang batas pembersihan lalu lintas.
Jika lalu lintas layanan normal Anda (dalam bps) melebihi ambang pemicu blackhole, Anda harus segera meningkatkan spesifikasi aset Anda. Jika tidak, lalu lintas layanan Anda dapat diidentifikasi sebagai serangan dan memicu penyaringan blackhole.
Semakin tinggi kemampuan mitigasi DDoS suatu aset, semakin rendah risiko serangan DDoS memicu penyaringan blackhole. Oleh karena itu, cara paling efektif untuk mencegah penyaringan blackhole adalah meningkatkan kemampuan mitigasi DDoS aset tersebut, yang akan menaikkan ambang pemicu blackhole-nya.
Lihat status aset, lalu lintas, dan IP penyerang
Masuk ke Konsol Keamanan Lalu Lintas.
Lihat status aset.
Di pojok kiri atas halaman Assets, pilih wilayah aset yang memiliki alamat IP publik, lalu klik tab aset yang sesuai.
Dalam daftar aset, pastikan bahwa IP Status bernilai Black Hole Activated.
Lihat lalu lintas dan IP penyerang aset tersebut.
Di halaman Event Center, Anda dapat melihat peristiwa penyaringan blackhole atau peristiwa pembersihan. Anda juga dapat mengklik View Details untuk melihat lalu lintas masuk dalam satuan bps dan pps.
Di pojok kanan atas halaman, klik Download. Anda dapat menggunakan alat seperti Wireshark untuk membuka paket data yang diunduh dan melihat alamat IP penyerang.
Perkirakan waktu penonaktifan otomatis untuk penyaringan blackhole
Durasi default penyaringan blackhole adalah 2,5 jam. Durasi aktual dapat bervariasi antara 30 menit hingga 24 jam dan bahkan lebih lama dalam kasus langka, tergantung pada frekuensi serangan. Waktu penonaktifan otomatis terutama dipengaruhi oleh faktor-faktor berikut:
Persistensi serangan: Jika serangan berlanjut, durasi blackhole diperpanjang. Penghitungan mundur durasi blackhole dimulai ulang sejak saat perpanjangan tersebut.
Frekuensi serangan: Jika suatu aset diserang untuk pertama kalinya, durasi blackhole secara otomatis dipersingkat. Sebaliknya, untuk aset yang sering diserang, probabilitas serangan berkelanjutan lebih tinggi, sehingga durasi blackhole diperpanjang.
Untuk aset yang mengalami penyaringan blackhole terlalu sering, Alibaba Cloud berhak memperpanjang durasi blackhole dan menurunkan ambang pemicu blackhole. Waktu penonaktifan spesifik disediakan dalam notifikasi insiden keamanan.
Lihat waktu serangan terakhir pada aset tersebut.
Masuk ke Konsol Keamanan Lalu Lintas. Di halaman Event Center, temukan aset dengan alamat IP publik dan lihat waktu serangan terakhir.
CatatanJika suatu aset mengalami beberapa serangan DDoS, durasi blackhole dihitung sejak akhir serangan DDoS terakhir.
Lihat durasi penyaringan blackhole saat ini.
Di halaman Assets, Waktu Penonaktifan Filter Blackhole menunjukkan total durasi penyaringan blackhole.
Perkirakan waktu penonaktifan otomatis.
Sebagai contoh, jika serangan terakhir terjadi pukul 12.30 dan Waktu Penonaktifan Filter Blackhole adalah 150 menit, penyaringan blackhole diperkirakan akan dinonaktifkan pada pukul 15.00.
CatatanIni hanya perkiraan waktu. Jika alamat IP publik aset tersebut terus diserang, durasi blackhole dapat diperpanjang.
Cara menonaktifkan penyaringan blackhole
Selama penyaringan blackhole, Alibaba Cloud terus memantau status serangan DDoS. Setelah serangan berakhir, penyaringan blackhole secara otomatis dinonaktifkan untuk aset tersebut setelah periode tertentu, dan akses internetnya dipulihkan. Untuk segera memulihkan layanan Anda selama penyaringan blackhole, Anda dapat membeli produk Anti-DDoS komersial. Hal ini memungkinkan Anda menonaktifkan penyaringan blackhole secara manual.
Produk Anti-DDoS komersial belum dibeli
Penonaktifan manual tidak didukung. Anda harus menunggu hingga durasi penyaringan blackhole berakhir agar layanan secara otomatis dipulihkan. Untuk segera memulihkan layanan atau masuk ke server guna mengambil file, lihat Cara cepat memulihkan layanan untuk instance ECS setelah masuk ke penyaringan blackhole.
Sering mengganti atau melepas aset cloud yang diserang, seperti instance ECS, EIP, instance SLB, atau server aplikasi sederhana, dapat berdampak negatif terhadap penyewa lain dan dapat memicu pembatasan tingkat platform.
Setelah Anda mengganti alamat IP publik aset atau memindahkan layanan ke server berbeda, penyerang masih dapat menemukan alamat IP baru tersebut menggunakan metode seperti ping nama domain, lalu melancarkan serangan lainnya. Untuk menyelesaikan akar permasalahan, belilah Anti-DDoS Origin atau Anti-DDoS Pro dan Anti-DDoS Premium.
Produk Anti-DDoS komersial telah dibeli
Anda dapat menunggu hingga durasi penyaringan blackhole berakhir untuk penonaktifan otomatis, atau Anda dapat menonaktifkannya secara manual. Penonaktifan manual tidak memberikan perlindungan terhadap serangan DDoS. Ini hanya memberikan jendela waktu untuk menerapkan rencana pertahanan. Jika serangan DDoS belum berakhir setelah penonaktifan manual, aset tersebut dapat diserang kembali dan masuk ke penyaringan blackhole lagi.
Produk Anti-DDoS komersial | Metode penonaktifan manual | Deskripsi |
Anti-DDoS Origin |
| Jumlah penonaktifan manual yang tersedia per bulan terbatas. Batas ini biasanya sama dengan atau lebih besar dari jumlah alamat IP yang dilindungi yang ditentukan dalam paket Anda. |
Anti-DDoS Pro dan Anti-DDoS Premium (Daratan Tiongkok) |
|
|
Anti-DDoS Pro dan Anti-DDoS Premium (Luar daratan Tiongkok) | Penonaktifan manual tidak diperlukan. | Berbeda dengan instansi di Daratan Tiongkok yang memiliki bandwidth perlindungan tetap, instansi di luar Daratan Tiongkok menyediakan mitigasi canggih tanpa batas. Oleh karena itu, penonaktifan manual biasanya tidak diperlukan. |
Cara memilih produk Anti-DDoS
Anti-DDoS Origin: Anti-DDoS Origin adalah produk keamanan yang meningkatkan kemampuan mitigasi DDoS produk Alibaba Cloud lainnya. Produk ini mudah diterapkan dan tidak memerlukan perubahan pada arsitektur jaringan Anda. Produk ini tidak membatasi jumlah port Lapisan 4 atau nama domain Lapisan 7. Untuk melindungi produk cloud, Anda hanya perlu menyambungkan alamat IP-nya ke instansi Anti-DDoS Origin.
Anti-DDoS Pro dan Anti-DDoS Premium: Anti-DDoS Pro dan Anti-DDoS Premium adalah layanan berbasis proxy yang melindungi dari serangan DDoS volumetrik dan serangan DDoS kehabisan sumber daya. Layanan ini dapat melindungi server di Alibaba Cloud, cloud lain, atau pusat data lokal. Setelah Anda menambahkan layanan Anda ke Anti-DDoS Pro atau Anti-DDoS Premium, lalu lintas akan dialihkan ke pusat pembersihan anti-DDoS melalui penguraian DNS. Pusat pembersihan tersebut menyaring lalu lintas serangan dan hanya meneruskan lalu lintas bersih ke server origin Anda.
Untuk informasi selengkapnya tentang pemilihan produk dan penagihan, lihat Cara memilih produk Anti-DDoS, Penagihan Anti-DDoS Origin, dan Penagihan Anti-DDoS Pro dan Anti-DDoS Premium.