當阿里雲產品遭受大流量DDoS攻擊且攻擊流量的峰值頻寬(bps)超過了其DDoS防禦能力時,為避免DDoS攻擊對雲產品產生更大損害,同時也避免單個雲產品被DDoS攻擊而影響其他資產正常運行,阿里雲黑洞策略會暫時屏蔽阿里雲產品的互連網入方向流量。本文介紹如何預防和處理黑洞。
如何預防黑洞?
資產的DDoS防禦能力越大,則其被DDoS攻擊導致觸發黑洞的可能就越低。因此,只有提升資產的DDoS防禦能力(即黑洞閾值),才可以從根本上預防黑洞。
您可以通過以下方式提升資產的DDoS防禦能力:
防護方案 | 說明 |
DDoS基礎防護 | 部分阿里雲產品預設具有500 Mbps~5 Gbps的免費的DDoS基礎防護能力。DDoS基礎防護能力與資產所在地區及規格有關,具體資訊,請參見DDoS基礎防護黑洞閾值。 重要 如果您的正常業務流量(bps)大於黑洞閾值,請您及時提升資產規格,否則可能會被識別為異常流量導致資產進入黑洞。 此外,阿里雲會根據您的安全信譽狀態,包括評估當前機房的水位、可用資源和資產遭受的歷史攻擊,以及帳號安全信譽等因素,在免費的DDoS基礎防護能力以外,為您的資產動態分配額外的彈性防護能力。 |
部署商用版DDoS防護產品 | 關於選型的更多資訊,請參見如何選擇DDoS防護產品。 |
如何解除黑洞?
黑洞期間,阿里雲會持續監測DDoS攻擊的狀態,並在攻擊結束後的一段時間,自動為資產解除黑洞,恢複資產的互連網訪問。如果您在資產黑洞期間急需恢複業務,可以通過商用版DDoS防護產品提供的黑洞解除功能手動解除黑洞。
自動解除
如果阿里雲監測到針對該資產的攻擊已經停止,將會在攻擊停止後的一段時間(即黑洞自動解除時間),自動為資產解除黑洞,恢複資產的互連網訪問。
您可以在流量安全產品控制台的資產中心頁面,查看黑洞自動解除時間。
預設黑洞自動解除時間是2.5小時。實際黑洞自動解除時間根據資產被攻擊頻率有差異,從30分鐘到24小時不等,少數情況下可能會更久。黑洞自動解除時間主要受以下因素影響:
攻擊是否持續。如果攻擊一直持續,黑洞自動解除時間會延長,黑洞自動解除時間從延長時刻開始重新計算。
攻擊是否頻繁。如果某使用者是首次被攻擊,黑洞自動解除時間會自動縮短;反之,頻繁被攻擊的使用者被持續攻擊的機率較大,黑洞自動解除時間會延長。
針對個別黑洞過於頻繁的使用者,阿里雲保留延長黑洞自動解除時間和降低黑洞閾值的權利,具體黑洞自動解除時間和黑洞閾值以控制台顯示為準。
手動解除
手動解除黑洞不代表可以防禦DDoS攻擊,只能換取時間來部署防禦方案。手動解除黑洞後,如果DDoS攻擊沒有結束,資產仍可能再次被攻擊進入黑洞。
下表描述了不同DDoS防護服務支援的手動解除黑洞的方法。
DDoS防護服務 | 手動解除黑洞方法 | 說明 |
DDoS基礎防護 | 不支援手動解除。 警告 如果您頻繁更換或釋放被攻擊的ECS地址、EIP地址、SLB地址、輕量伺服器等雲上資產,對整體雲租戶產生擴散影響,可能會引起平台限制措施。 | 無。 |
DDoS原生防護 |
| 每月有可用次數限制,一般不少於防護IP數規格。 |
DDoS高防(中國內地) |
|
|
DDoS高防(非中國內地) | 暫不支援手動解除黑洞。 | 無。 |
常見問題
相關文檔
查看黑洞閾值。
查看黑洞詳情。
黑洞中的伺服器,如何轉移檔案或更改配置。