本文介紹了使用DDoS原生防護代播模式自動防禦大流量DDoS攻擊的最佳實務,適用於已經開通了DDoS原生防護代播模式的使用者在阿里雲IP資產受到攻擊時,通過API介面自動啟用DDoS原生防護代播模式的情境。
前提條件
已購買DDoS原生防護執行個體。更多資訊,請參見購買DDoS原生防護執行個體。
已聯絡我們人員購買了DDoS原生防護代播版執行個體。
已在CloudMonitor服務中建立了警示連絡人和連絡人群組。更多資訊,請參見建立警示連絡人或警示連絡人群組。
背景資訊
DDoS原生防護代播版可以為海外雲下IDC、小型電訊廠商、阿里雲海外客戶以及有自己BGP網路的客戶提供阿里雲的DDoS防護,且防護過程不需要改變原有業務IP地址和網路架構。下圖描述了DDoS原生防護代播版的防護原理。
原理說明:
正常流量或小流量攻擊:流量直接存取阿里雲DDoS原生防護本地機房,無額外延遲增加,可以防禦小流量攻擊。
發生DDoS攻擊時:清洗中心宣告路由,流量由全球清洗中心分布式清洗,延遲略有增加,但防護能力可以增加到Tbps層級。
本文將指導您使用CloudMonitor的警示功能設定警示規則,監控DDoS原生防護本地機房的DDoS攻擊;如果發生DDoS攻擊,通過API介面調用開啟DDoS原生防護代播執行個體的牽引防護,並在攻擊結束後,停止牽引防護。
本文中所有用到API請求參數樣本的地方,全部使用<參數描述>表示,例如要求傳入原生防護代播版執行個體ID的地方,表示為InstanceId=<yourOnDemandInstanceId>。
具體操作中,請使用真實的參數值替換<參數描述>,例如您需要聯絡我們人員擷取您的原生防護代播執行個體的ID(InstanceId),並替換<yourOnDemandInstanceId>。
操作步驟
通過CloudMonitor設定DDoS原生防護黑洞事件的警示通知,監控DDoS原生防護本地清洗中心的黑洞、清洗事件。
在左側導覽列,選擇。
在事件監控頁簽,單擊另存新檔警示,在建立/修改事件警示頁面配置以下事件警示參數。
產品類型選擇DDoS原生防護,事件類型選擇DDoS攻擊,事件等級選擇嚴重,事件名稱選擇黑洞和清洗,資源範圍選擇全部資源。其他參數的詳細解釋,請參見建立系統事件警示規則。
單擊確定。
成功建立警示規則後,警示規則自動生效,一旦DDoS原生防護執行個體上發生DDoS攻擊,警示規則中指定的連絡人群組會第一時間收到警示通知。
發生DDoS攻擊(即收到黑洞、清洗事件警示通知)時,調用ConfigNetStatus - 網段宣告配置介面開啟DDoS原生防護代播執行個體的流量牽引防護,將流量牽引至阿里雲全球Anycast清洗中心。
您需要傳入以下請求參數:
?Action=ConfigNetStatus &Net=<yourNet> &Status=enable &SaleId=<yourInstanceId>可選:解除DDoS原生防護企業版執行個體的黑洞狀態。
如果DDoS原生防護企業版執行個體未觸發黑洞狀態,請忽略該步驟。
如果DDoS原生防護企業版執行個體處於黑洞狀態,您可以在開啟流量牽引防護約10秒以後,調用DeleteBlackhole - 為被防護IP解除黑洞狀態介面解除DDoS原生防護企業版執行個體的黑洞狀態。
您需要傳入以下請求參數:
?Action=DeleteBlackhole &InstanceId=<yourOnDemandInstanceId> &Ip=<yourOnDemandInstanceIp>
調用DescribeTraffic - 查看指定防護包上的流量情況介面查詢DDoS攻擊是否結束。
您需要傳入以下請求參數:
?Action=DescribeTraffic &Ipnet=<onDemandInstanceIpnetToQuery> &InstanceId=<yourInstanceId> &StartTime=<startTimeToQuery> &EndTime=<endTimeToQuery>如果返回的AttackBps(攻擊流量大小,單位:Kbps)小於300000,並持續30分鐘以上,則表示DDoS攻擊已經結束。
確認DDoS攻擊事件結束後,在業務低峰時段調用ConfigNetStatus - 網段宣告配置介面停止DDoS原生防護代播執行個體的流量牽引防護。
說明建議您在業務低峰時段調用停止牽引,這樣可以減少流量切換帶來的影響。
您需要傳入以下請求參數:
?Action=ConfigNetStatus &Net=<yourNet> &Status=disable &SaleId=<yourInstanceId>