當阿里雲產品遭受大流量DDoS攻擊且攻擊流量的峰值頻寬(bps)超過了其DDoS防禦能力時,為避免DDoS攻擊對雲產品產生更大損害,同時也避免單個雲產品被DDoS攻擊而影響其他資產正常運行,阿里雲黑洞策略會暫時阻斷阿里雲產品與互連網之間的流量互動,正常網路通訊會受到影響。本文介紹如何預防和處理黑洞。
DDoS基礎防禦能力
購買阿里雲的部分公網IP資產後,預設具有500 Mbps~5 Gbps的免費的DDoS基礎防護能力。DDoS基礎防護能力與資產所在地區及規格有關,具體資訊,請參見DDoS基礎防護黑洞閾值、設定流量清洗閾值。
如果您的正常業務流量(bps)大於黑洞閾值,請您及時提升資產規格,否則可能會被識別為異常流量導致資產進入黑洞。
資產的DDoS防禦能力越大,則其被DDoS攻擊導致觸發黑洞的可能就越低。因此,只有提升資產的DDoS防禦能力(即黑洞閾值),才可以從根本上預防黑洞。
查看資產狀態、流量及攻擊IP
預估黑洞自動解除時間
預設黑洞自動解除時間是2.5小時。實際黑洞自動解除時間根據資產被攻擊頻率有差異,從30分鐘到24小時不等,少數情況下可能會更久。黑洞自動解除時間主要受以下因素影響:
攻擊是否持續。如果攻擊一直持續,黑洞自動解除時間會延長,黑洞自動解除時間從延長時刻開始重新計算。
攻擊是否頻繁。如果某使用者是首次被攻擊,黑洞自動解除時間會自動縮短;反之,頻繁被攻擊的使用者被持續攻擊的機率較大,黑洞自動解除時間會延長。
針對個別黑洞過於頻繁的使用者,阿里雲保留延長黑洞自動解除時間和降低黑洞閾值的權利,具體黑洞自動解除時間以安全事件訊息推送內容為準。
查看公網IP資產最後遭受攻擊的時間。
登入流量安全產品控制台,在事件中心頁面定位到公網IP資產,查看最後遭受攻擊的時間。
說明資產遭受多次DDoS攻擊時,黑洞解除時間從最後一次DDoS攻擊結束的時間開始計算。
查看當前黑洞解除時間。
在資產中心頁面查看當前黑洞解除時間,該時間為黑洞的總時間長度。
預估黑洞自動解除時間。
例如,您最後遭受攻擊的時間為12:30,當前解除黑洞時間為150分鐘,則預計黑洞在15:00解除。
說明該時間僅為預估時間,如果您的公網IP仍持續遭受DDoS攻擊,則該時間可能會延長。
如何解除黑洞
黑洞期間,阿里雲會持續監測DDoS攻擊的狀態,並在攻擊結束後的一段時間,自動為資產解除黑洞,恢複資產的互連網訪問。如果您在資產黑洞期間急需恢複業務,可以購買商用版DDoS防護產品,購買後可以手動解除黑洞。
未購買商用DDoS防護產品
不支援手動解除,只能等待黑洞解除時間,到期後自動解除。如果您需要緊急恢複業務或登入伺服器擷取檔案,請參考Elastic Compute Service進入黑洞後如何快速恢複業務。
如果您頻繁更換或釋放被攻擊的ECS地址、EIP地址、SLB地址、輕量伺服器等雲上資產,對整體雲租戶產生擴散影響,可能會引起平台限制措施。
更換資產的公網IP或者更換商務服務器後,攻擊者仍可以通過ping網域名稱等手段擷取到新的IP,從而再次發起攻擊,因此要解除根本問題,請購買DDoS原生防護或DDoS高防。
購買了商用版DDoS防護產品
您可以等待黑洞解除時間,到期後自動解除,也可以手動解除。手動解除黑洞不代表可以防禦DDoS攻擊,只能換取時間來部署防禦方案。手動解除黑洞後,如果DDoS攻擊沒有結束,資產仍可能再次被攻擊進入黑洞。
商用DDoS防護服務 | 手動解除黑洞方法 | 說明 |
DDoS原生防護 |
| 每月有可用次數限制,一般不少於防護IP數規格。 |
DDoS高防(中國內地) |
|
|
DDoS高防(非中國內地) | 不需要手動解除黑洞。 | 與DDoS高防(中國內地)執行個體存在固定的防護頻寬不同,DDoS高防(非中國內地)執行個體提供不設上限的進階防護,正常情況下不需要手動解除黑洞。 |
如何選購DDoS防護產品
DDoS原生防護:DDoS原生防護是一款直接提升阿里雲產品DDoS防禦能力的安全產品,部署簡單無需改變您的網路架構,沒有四層連接埠、七層網域名稱數等限制,您只需將雲產品IP綁定到DDoS原生防護執行個體中即可實現防護。
DDoS高防:DDoS高防(Anti-DDoS)是阿里雲提供的DDoS攻擊代理防護服務,可以抵禦流量型和資源耗盡型DDoS攻擊,支援防護阿里雲、非阿里雲或雲外的伺服器。業務接入DDoS高防後,當遭受大流量DDoS攻擊時,DDoS高防通過DNS解析將流量調度到高防機房進行清洗,並將乾淨流量轉寄給伺服器。
詳細的選型指導以及計費,請參見如何選擇DDoS防護產品、DDoS原生防護計費說明、DDoS高防計費說明。