本文列舉了DDoS基礎防護產品相關的常見問題。
我的ECS伺服器被20 Mbps的流量攻擊了,DDoS基礎防護怎麼不防護?
DDoS基礎防護是公用的DDoS防護服務,不對很小的流量攻擊(小於100 MB)進行防護。如果雲端服務頻寬低於系統可設定的最低清洗閾值,而攻擊流量大於頻寬小於清洗閾值,可能造成系統被攻擊但不觸發清洗動作。建議您最佳化伺服器效能、安裝雲鎖等主機防火牆或者購買DDoS高防服務應對小於100 MB的流量攻擊。關於如何購買DDoS高防服務,請參見購買DDoS高防執行個體。
為什麼使用DDoS基礎防護時,黑洞不能立即取消?
通常DDoS攻擊會持續一段時間,不會在黑洞後立即停止,攻擊期間不定,阿里雲安全團隊會根據智能演算法分析的結果,自動產生黑洞時間長度。黑洞時間長度一般在30分鐘到24小時,極少數情況下,如果DDoS攻擊頻繁,阿里雲可能會延長黑洞時間長度。
黑洞產生在電訊廠商網路上,會將去往目的IP的流量在儘可能源頭的地方丟棄,防止DDoS攻擊導致整體網路和客戶所有業務不可用。如果在攻擊未停止的情況下解除黑洞,被攻擊IP將會再次進入黑洞,同時在解除黑洞至再次黑洞的這段時間內,攻擊流量將會影響到雲上其他租戶。此外,電訊廠商黑洞操作在電訊廠商骨幹網上,解除次數和頻率都有限制,因此不能為您立即解除黑洞,請您理解。
解除黑洞並不能防禦攻擊,頻繁的黑洞路由翻滾也會影響網路穩定。解決DDoS攻擊導致黑洞和業務停用最佳方案是提高防禦頻寬,採用商業防護。比如購買阿里雲的DDoS原生防護、DDoS高防服務,或者選擇第三方DDoS防護服務。更多資訊,請參見什麼是DDoS原生防護和什麼是DDoS高防。
是否可以通過存取控制策略(ACL)屏蔽DDoS攻擊及預防黑洞?
不可以。ACL只能在伺服器邊緣生效,無法阻擋從大量“殭屍”網路彙集的DDoS攻擊流量,通過互連網一級級傳遞到雲網路,並抵達伺服器邊緣。DDoS攻擊流量抵達伺服器邊緣時,其規模已遠超伺服器ACL的處置能力。因此,要防禦DDoS攻擊,需要在上層網路邊界部署防護策略。
對抗DDoS攻擊的關鍵是通過足夠大的網路頻寬,並結合流量分析和過濾手段,將其中的攻擊流量清洗掉。如果依賴將伺服器頻寬擴容到與攻擊等規模的頻寬,並部署清洗叢集進行流量清洗,將會產生單一客戶無法承擔的頻寬和伺服器成本。如果不同客戶分別在目的端建設DDoS清洗設施,則進一步加劇了攻防成本的不對等。
因此,經濟有效DDoS防禦方式是由雲端服務供應商集中建設大容量的網路頻寬並在上層網路部署清洗設施,以近源方式清洗DDoS攻擊流量,同時通過SaaS服務的形式將DDoS防禦服務提供給有需求的客戶採購,使清洗資源可以複用,從而降低單客戶防禦DDoS的成本。
為什麼CloudMonitor、雲產品流量監控中的流量資料和DDoS防護的流量監控資料有差異?
一般情況下,DDoS防護的流量監控資料大於您在CloudMonitor或具體雲產品資料頁面看到的流量資料。
假設您的ECS執行個體遭受了DDoS攻擊,觸發流量清洗,您收到DDoS基礎防護的清洗通知,觸發清洗時的流量為2.5 Gbps。但是,您在CloudMonitor中查詢發現,流量清洗時ECS執行個體的Elastic IP Address上的網路流入頻寬約為1.2 Gbps。
出現上述情況,主要有以下幾個原因:
DDoS防護的流量監控資料來自流量清洗前,而CloudMonitor中的流量資料來自流量清洗後。
DDoS防護的流量監控資料對應全部業務請求流量(包含攻擊流量),而CloudMonitor中的流量資料只包含正常轉寄流量。
監控顆粒度不同。DDoS防護的監控顆粒度更精細,在判斷攻擊時,監控顆粒度是秒級。CloudMonitor的EIP流量圖則是分鐘層級的資料。
監控位置不同。DDoS防護在互連網和阿里雲網路邊界監控流量,而EIP的流量資料擷取自轉寄裝置。
ECS、SLB、EIP、NAT等所有公網IaaS產品都可能會遇到上述問題。