Jika sebuah instance Web Application Firewall (WAF) mengalami serangan DDoS, penyaringan blackhole mungkin dipicu. Topik ini menjelaskan dampak dari penyaringan blackhole dan solusi yang dapat diambil.
Dampak
Setelah penyaringan blackhole dipicu, semua trafik yang dialihkan ke instance WAF dibuang, baik itu trafik normal maupun trafik serangan. Selama periode ini, semua nama domain yang ditambahkan ke instance WAF tidak dapat diakses.
Cara menonaktifkan penyaringan blackhole dan mitigasi serangan DDoS
Untuk mengurangi risiko serangan DDoS, kami sarankan Anda menggunakan Anti-DDoS Pro atau Anti-DDoS Premium untuk melindungi nama domain Anda. Jika Anda telah menerapkan WAF bersama dengan Anti-DDoS Pro atau Anti-DDoS Premium tetapi penyaringan blackhole masih dipicu, ajukan Halaman Tiket Baru untuk menghubungi tim layanan purna jual.
Pertanyaan Umum tentang WAF untuk mana penyaringan blackhole dipicu
- Penyaringan blackhole dipicu untuk instance WAF saya. Apakah bisa segera dinonaktifkan? Tidak, penyaringan blackhole tidak dapat segera dinonaktifkan setelah dipicu. Penyaringan blackhole dibeli oleh Alibaba Cloud dari penyedia layanan Internet (ISP). ISP memiliki batasan ketat terkait waktu dan frekuensi untuk menonaktifkan penyaringan blackhole. Oleh karena itu, Anda tidak dapat menonaktifkan penyaringan blackhole secara manual dan harus menunggu hingga dinonaktifkan secara otomatis.Catatan Bahkan jika Anda dapat menonaktifkan penyaringan blackhole segera, itu akan dipicu kembali jika instance WAF masih mengalami serangan DDoS.
- Beberapa nama domain ditambahkan ke instance WAF saya. Bagaimana cara memeriksa nama domain mana yang sedang diserang?
Penyerang dapat menyelesaikan nama domain yang ditambahkan ke WAF untuk mendapatkan alamat IP instance WAF. Kemudian, penyerang meluncurkan serangan DDoS pada alamat IP tersebut. Serangan DDoS menargetkan alamat IP eksklusif default dari instance WAF, sehingga Anda tidak dapat menentukan nama domain mana yang sedang diserang berdasarkan trafik serangan.
Namun, Anda dapat mengubah catatan DNS nama domain untuk menentukan nama domain yang diserang. Sebagai contoh, Anda dapat menyelesaikan beberapa nama domain ke WAF dan sisanya ke layanan lain seperti ECS, Alibaba Cloud CDN, atau Server Load Balancer (SLB). Jika penyaringan blackhole tidak lagi dipicu setelah operasi ini, nama domain yang diserang termasuk dalam nama domain yang Anda selesaikan ke layanan lain. Namun, metode ini rumit dan dapat menyebabkan aset seperti alamat IP server asal terpapar di Internet, yang dapat menimbulkan masalah keamanan serius. Oleh karena itu, kami sarankan Anda tidak menggunakan metode ini untuk menentukan nama domain yang diserang.
- Penyaringan blackhole dipicu untuk instance WAF saya. Apakah saya dapat mencegah masalah ini dengan mengubah alamat IP instance WAF saya?
Tidak, Anda tidak dapat mencegah penyaringan blackhole dengan mengubah alamat IP. Jika penyerang menargetkan nama domain Anda, mereka dapat melakukan ping pada nama domain tersebut untuk mendapatkan alamat IP instance WAF, terlepas dari apakah Anda mengubah alamat IP atau tidak.
- Apa perbedaan antara serangan DDoS dan serangan HTTP flood? Mengapa WAF tidak dapat mempertahankan diri dari serangan DDoS?
Serangan DDoS umumnya terjadi di Lapisan 4, sedangkan serangan HTTP flood terjadi di Lapisan 7. Serangan HTTP flood dapat menggunakan permintaan HTTP GET atau POST. WAF dapat mempertahankan diri dari serangan HTTP flood. Namun, untuk mempertahankan diri dari serangan DDoS, WAF harus mampu menerima volume trafik yang sangat besar sebelum membersihkan trafik tersebut. Karena WAF tidak dapat menyediakan bandwidth yang cukup dalam situasi ini, kami sarankan Anda menggunakan Anti-DDoS Pro atau Anti-DDoS Premium untuk melindungi dari serangan DDoS.