當您的OSS儲存空間(Bucket)遭受攻擊或通過Bucket分享違法內容,OSS會自動將Bucket切入沙箱。沙箱中的Bucket仍可以正常響應請求,但服務品質將被降級,具體表現為網路可用性受影響,例如請求逾時等。OSS切入沙箱後,您的應用可能會有明顯感知。
注意事項
對於被攻擊的Bucket,OSS會將其切入沙箱。如果您的Bucket遭受攻擊,您需要自行承擔因攻擊而產生的全額費用。
如果您的使用者通過您的Bucket分享涉黃、涉政、涉恐等違法內容,也會導致您的Bucket被切入沙箱。情節嚴重者,將被追究法律責任。
針對攻擊的預防措施
為防止您的Bucket因DDoS和CC攻擊等原因被切入沙箱,您可以配置OSS高防或者配置ECS反向 Proxy並綁定高防IP。這兩種方案的優劣勢說明請參見下表。
方案名稱 | 說明 | 優勢 | 劣勢 |
方案一:配置OSS高防 | OSS高防是OSS結合DDoS高防推出的DDoS攻擊代理防護服務。為Bucket配置OSS高防後,在Bucket遭受大流量攻擊時,OSS高防會將攻擊流量牽引至高防叢集進行清洗,並將正常訪問流量回源到目標Bucket,確保業務的正常進行。 |
| 防護Bucket的數量有限:每個地區僅可以建立一個高防OSS執行個體,每個執行個體最多隻能綁定同一地區下的10個Bucket。 |
方案二:配置ECS反向 Proxy並綁定高防IP | 基於安全考慮,Bucket預設網域名稱解析的IP地址是隨機變化的。如果您期望使用固定IP地址訪問,推薦使用ECS搭建反向 Proxy的方式訪問OSS。ECS上的EIP可以綁定高防IP以抵禦DDoS攻擊和CC攻擊。 | 適合通過固定IP地址訪問OSS的情境。 |
|
兩種方案實現步驟如下:
方案一:配置OSS高防
通過OSS控制台為Bucket配置OSS高防的步驟如下:
建立高防OSS執行個體。
綁定Bucket。
綁定Bucket後,表明高防OSS執行個體已對Bucket外網網域名稱開始實施保護。
OSS高防僅支援防護Bucket外網網域名稱(例如
oss-cn-hangzhou.aliyuncs.com),不支援防護以下網域名稱類型,例如:傳輸加速網域名稱(
oss-accelerate.aliyuncs.com和oss-accelerate-overseas.aliyuncs.com)存取點網域名稱(例如
ap-01-3b00521f653d2b3223680ec39dbbe2****-ossalias.oss-cn-hangzhou.aliyuncs.com)對象FC存取點網域名稱(例如
fc-ap-01-3b00521f653d2b3223680ec39dbbe2****-opapalias.oss-cn-hangzhou.aliyuncs.com)通過IPv6協議訪問的Endpoint(例如
cn-hangzhou.oss.aliyuncs.com)Amazon S3Endpoint(例如
s3.oss-cn-hongkong.aliyuncs.com)。
更多資訊,請參見OSS高防。
方案二:配置ECS反向 Proxy並綁定高防IP
配置ECS反向 Proxy並綁定高防IP的步驟如下:
配置ECS反向 Proxy。
建立一個CentOS或Ubuntu的ECS執行個體。具體操作,請參見建立ECS執行個體。
重要如果Bucket有較大的網路流量或訪問請求,請提高ECS硬體設定或者搭建ECS叢集。
配置以ECS反向 Proxy的方式訪問OSS。具體操作,請參見配置OSS反向 Proxy。
綁定高防IP。
