已經添加到DDoS原生防護進行防護的公網IP資產遭受瞬時超大流量DDoS攻擊時仍可能被黑洞,需要對被黑洞的IP快速執行黑洞解除操作恢複業務,保障業務穩定性。針對該情境,DDoS原生防護提供了黑洞自動化響應和快速解除的解決方案。
前提條件
黑洞自動化響應和快速解除解決方案需要調用DDoS原生防護的API介面,目前該解決方案僅支援DDoS原生防護執行個體。在部署黑洞自動解除方案前,請確認您的業務IP已添加至DDoS原生防護執行個體進行防護。更多資訊,請參見防護對象。
背景資訊
DDoS原生防護提供黑洞解除功能,您可以在DDoS原生防護控制台手動解除黑洞,具體操作,請參見解除黑洞。由於手動解除黑洞存在延遲和不確定性,如果您的業務對於穩定性和連續性有較高的要求,您可以通過以下方案實現黑洞自動化響應和快速解除:
通過CloudMonitor的事件警示功能監控DDoS原生防護執行個體的黑洞事件。
說明只有已添加為DDoS原生防護執行個體的防護對象IP觸發黑洞策略時,才會觸發CloudMonitor的黑洞事件警示的訊息推送。對於不在DDoS原生防護執行個體的防護對象列表中的IP觸發的黑洞事件將不會被推送。
通過自訂訊息的消費機制,調用DDoS原生防護的黑洞解除API介面(DeleteBlackhole - 為被防護IP解除黑洞狀態)自動解除被黑洞的業務IP。
通過類似方法,您還可以實現在DDoS攻擊事件發生時自動調用雲解析的API介面將相關網域名稱的DNS解析切換至DDoS高防執行個體等。
操作步驟
在左側導覽列,選擇。
在事件監控頁簽,單擊另存新檔警示,在建立/修改事件警示面板為DDoS原生防護建立黑洞事件警示規則。
產品類型選擇DDoS原生防護,事件類型選擇DDoS攻擊,事件等級選擇嚴重,事件名稱選擇黑洞,並選擇事件警示訊息的推送渠道。其他配置項的詳細說明,請參見建立系統事件警示規則。
事件警示建立完成後,當DDoS原生防護執行個體中已防護的IP被黑洞時,CloudMonitor將自動警示並將以下訊息即時推送至您所選擇的消費渠道。 訊息樣本:
{ "action": "add", //事件狀態。add表示事件開始,del表示事件結束。 "bps": 0, //觸發該事件的流量大小,單位:Mbps。 "pps": 0, //觸發該事件的包速率,單位:pps。 "instanceId": "ddosbgp-cn-78v17******", //DDoS原生防護執行個體ID。 "ip": "47.*.*.*", //發生事件的IP。 "regionId": "cn-hangzhou", //DDoS原生防護執行個體所在的地區。 "time": 1564104493000, //觸發事件的時間,格式為毫秒時間戳記。 "type": "blackhole" //事件類型。defense表示清洗事件,blackhole表示黑洞事件。 }定義訊息消費機制,對事件訊息進行處理並結合DeleteBlackhole - 為被防護IP解除黑洞狀態介面實現黑洞自動解除。