全部产品
Search
文档中心

DDoS 防护:阿里云黑洞策略

更新时间:Feb 22, 2024

当阿里云产品遭受大流量DDoS攻击且攻击流量的峰值带宽(bps)超过了其DDoS防御能力时,为避免DDoS攻击对云产品产生更大损害,同时也避免单个云产品被DDoS攻击而影响其他资产正常运行,阿里云黑洞策略会暂时屏蔽阿里云产品的互联网入方向流量。本文介绍如何预防和处理黑洞。

如何预防黑洞?

资产的DDoS防御能力越大,则其被DDoS攻击导致触发黑洞的可能就越低。因此,只有提升资产的DDoS防御能力(即黑洞阈值),才可以从根本上预防黑洞。

您可以通过以下方式提升资产的DDoS防御能力:

防护方案

说明

DDoS基础防护

部分阿里云产品默认具有500 Mbps~5 Gbps的免费的DDoS基础防护能力。DDoS基础防护能力与资产所在地域及规格有关,具体信息,请参见DDoS基础防护黑洞阈值

重要

如果您的正常业务流量(bps)大于黑洞阈值,请您及时提升资产规格,否则可能会被识别为异常流量导致资产进入黑洞。

此外,阿里云会根据您的安全信誉状态,包括评估当前机房的水位、可用资源和资产遭受的历史攻击,以及账号安全信誉等因素,在免费的DDoS基础防护能力以外,为您的资产动态分配额外的弹性防护能力。

部署商用版DDoS防护产品

  • 购买DDoS原生防护,获取全力防护的防御能力,且无需修改您的业务IP。

  • 购买DDoS高防服务,获取最高可达Tbps级别的防御能力,需将流量切换至DDoS高防。DDoS高防服务明确承诺防护量和防御效果。

关于选型的更多信息,请参见如何选择DDoS防护产品

如何解除黑洞?

黑洞期间,阿里云会持续监测DDoS攻击的状态,并在攻击结束后的一段时间,自动为资产解除黑洞,恢复资产的互联网访问。如果您在资产黑洞期间急需恢复业务,可以通过商用版DDoS防护产品提供的黑洞解除功能手动解除黑洞。

自动解除

如果阿里云监测到针对该资产的攻击已经停止,将会在攻击停止后的一段时间(即黑洞自动解除时间),自动为资产解除黑洞,恢复资产的互联网访问。

您可以在流量安全产品控制台资产中心页面,查看黑洞自动解除时间。黑洞时长

默认黑洞自动解除时间是2.5小时。实际黑洞自动解除时间根据资产被攻击频率有差异,从30分钟到24小时不等,少数情况下可能会更久。黑洞自动解除时间主要受以下因素影响:

  • 攻击是否持续。如果攻击一直持续,黑洞自动解除时间会延长,黑洞自动解除时间从延长时刻开始重新计算。

  • 攻击是否频繁。如果某用户是首次被攻击,黑洞自动解除时间会自动缩短;反之,频繁被攻击的用户被持续攻击的概率较大,黑洞自动解除时间会延长。

说明

针对个别黑洞过于频繁的用户,阿里云保留延长黑洞自动解除时间和降低黑洞阈值的权利,具体黑洞自动解除时间和黑洞阈值以控制台显示为准。

手动解除

手动解除黑洞不代表可以防御DDoS攻击,只能换取时间来部署防御方案。手动解除黑洞后,如果DDoS攻击没有结束,资产仍可能再次被攻击进入黑洞。

下表描述了不同DDoS防护服务支持的手动解除黑洞的方法。

DDoS防护服务

手动解除黑洞方法

说明

DDoS基础防护

不支持手动解除。

警告

如果您频繁更换或释放被攻击的ECS地址、EIP地址、SLB地址、轻量服务器等云上资产,对整体云租户产生扩散影响,可能会引起平台限制措施。

无。

DDoS原生防护

每月有可用次数限制,一般不少于防护IP数规格。

DDoS高防(中国内地)

  • 进入黑洞状态2分钟后才能进行解除黑洞操作。

  • 每天最多可解除黑洞5次。

DDoS高防(非中国内地)

暂不支持手动解除黑洞。

无。

常见问题

相关文档