已经添加到DDoS原生防护企业版进行防护的业务IP遭受瞬时超大流量DDoS攻击时仍可能被黑洞,需要对被黑洞的IP快速执行黑洞解除操作恢复业务,保障业务稳定性。针对该场景,DDoS原生防护企业版提供了黑洞自动化响应和快速解除的解决方案。

前提条件

黑洞自动化响应和快速解除解决方案需要调用DDoS原生防护企业版的API接口,目前该解决方案仅支持DDoS原生防护企业版实例。在部署黑洞自动解除方案前,请确认您的业务IP已添加至DDoS原生防护企业版实例进行防护。更多信息,请参见添加防护对象

背景信息

DDoS原生防护企业版提供黑洞解除功能,您可以在DDoS原生防护控制台手动解除黑洞,具体操作,请参见解除黑洞。由于手动解除黑洞存在延迟和不确定性,如果您的业务对于稳定性和连续性有较高的要求,您可以通过以下方案实现黑洞自动化响应和快速解除:
  1. 通过云监控的事件告警功能监控DDoS原生防护企业版实例的黑洞事件。
    说明 只有已添加为DDoS原生防护企业版实例的防护对象IP触发黑洞策略时,才会触发云监控的黑洞事件报警的消息推送。对于不在DDoS原生防护企业版实例的防护对象列表中的IP触发的黑洞事件将不会被推送。
  2. 通过自定义消息的消费机制,调用DDoS原生防护企业版的黑洞解除API接口(DeleteBlackhole)自动解除被黑洞的业务IP。

通过类似方法,您还可以实现在DDoS攻击事件发生时自动调用云解析的API接口将相关域名的DNS解析切换至DDoS高防实例等。

操作步骤

  1. 登录云监控控制台
  2. 在左侧导航栏,选择报警服务 > 报警规则
  3. 报警规则列表页面,单击事件报警页签。
  4. 单击创建事件报警,为DDoS原生防护企业版创建黑洞事件报警规则。
    • 产品类型:选择DDoS原生防护
    • 事件名称:选择黑洞
    事件报警
  5. 在所创建的事件报警中,根据您想要使用的消息消费机制,选择事件报警消息的推送渠道,并单击确定
    云监控支持多种渠道供您实现事件消息的消费:
    • 消息服务队列
    • 函数计算
    • URL回调
    • 日志服务
    报警方式
    事件报警创建完成后,当DDoS原生防护企业版实例中已防护的IP被黑洞时,云监控将自动报警并将以下消息实时推送至您所选择的消费渠道。

    消息示例

    {    
    "action": "add", //事件状态。add表示事件开始,del表示事件结束。    
    "bps": 0, //触发该事件的流量大小,单位:Mbps。    
    "pps": 0, //触发该事件的包速率,单位:pps。    
    "instanceId": "ddosbgp-cn-78v17******", //DDoS原生防护企业版实例ID。    
    "ip": "47.*.*.*", //发生事件的IP。    
    "regionId": "cn-hangzhou", //DDoS原生防护企业版实例所在的地域。    
    "time": 1564104493000, //触发事件的时间,格式为毫秒时间戳。    
    "type": "blackhole"  //事件类型。defense表示清洗事件,blackhole表示黑洞事件。
}
  6. 定义消息消费机制,对事件消息进行处理并结合DeleteBlackhole接口实现黑洞自动解除。