本文列举了DDoS基础防护产品相关的常见问题。
我的ECS服务器被20 Mbps的流量攻击了,DDoS基础防护怎么不防护?
DDoS基础防护是公共的DDoS防护服务,不对很小的流量攻击(小于100 MB)进行防护。如果云服务带宽低于系统可设置的最低清洗阈值,而攻击流量大于带宽小于清洗阈值,可能造成系统被攻击但不触发清洗动作。建议您优化服务器性能、安装云锁等主机防火墙或者购买DDoS高防服务应对小于100 MB的流量攻击。关于如何购买DDoS高防服务,请参见购买DDoS高防实例。
为什么使用DDoS基础防护时,黑洞不能立即取消?
通常DDoS攻击会持续一段时间,不会在黑洞后立即停止,攻击持续时间不定,阿里云安全团队会根据智能算法分析的结果,自动生成黑洞时长。黑洞时长一般在30分钟到24小时,极少数情况下,如果DDoS攻击频繁,阿里云可能会延长黑洞时长。
黑洞产生在运营商网络上,会将去往目的IP的流量在尽可能源头的地方丢弃,防止DDoS攻击导致整体网络和客户所有业务不可用。如果在攻击未停止的情况下解除黑洞,被攻击IP将会再次进入黑洞,同时在解除黑洞至再次黑洞的这段时间内,攻击流量将会影响到云上其他租户。此外,运营商黑洞操作在运营商骨干网上,解除次数和频率都有限制,因此不能为您立即解除黑洞,请您理解。
解除黑洞并不能防御攻击,频繁的黑洞路由翻滚也会影响网络稳定。解决DDoS攻击导致黑洞和业务不可用的最佳方案是提高防御带宽,采用商业防护。比如购买阿里云的DDoS原生防护、DDoS高防服务,或者选择第三方DDoS防护服务。更多信息,请参见什么是DDoS原生防护和什么是DDoS高防。
是否可以通过访问控制策略(ACL)屏蔽DDoS攻击及预防黑洞?
不可以。ACL只能在服务器边缘生效,无法阻挡从大量“僵尸”网络汇集的DDoS攻击流量,通过互联网一级级传递到云网络,并抵达服务器边缘。DDoS攻击流量抵达服务器边缘时,其规模已远超服务器ACL的处置能力。因此,要防御DDoS攻击,需要在上层网络边界部署防护策略。
对抗DDoS攻击的关键是通过足够大的网络带宽,并结合流量分析和过滤手段,将其中的攻击流量清洗掉。如果依赖将服务器带宽扩容到与攻击等规模的带宽,并部署清洗集群进行流量清洗,将会产生单一客户无法承担的带宽和服务器成本。如果不同客户分别在目的端建设DDoS清洗设施,则进一步加剧了攻防成本的不对等。
因此,经济有效的DDoS防御方式是由云服务供应商集中建设大容量的网络带宽并在上层网络部署清洗设施,以近源方式清洗DDoS攻击流量,同时通过SaaS服务的形式将DDoS防御服务提供给有需求的客户采购,使清洗资源可以复用,从而降低单客户防御DDoS的成本。
为什么云监控、云产品流量监控中的流量数据和DDoS防护的流量监控数据有差异?
一般情况下,DDoS防护的流量监控数据大于您在云监控或具体云产品数据页面看到的流量数据。
假设您的ECS实例遭受了DDoS攻击,触发流量清洗,您收到DDoS基础防护的清洗通知,触发清洗时的流量为2.5 Gbps。但是,您在云监控中查询发现,流量清洗时ECS实例的弹性公网IP上的网络流入带宽约为1.2 Gbps。
出现上述情况,主要有以下几个原因:
DDoS防护的流量监控数据来自流量清洗前,而云监控中的流量数据来自流量清洗后。
DDoS防护的流量监控数据对应全部业务请求流量(包含攻击流量),而云监控中的流量数据只包含正常转发流量。
监控颗粒度不同。DDoS防护的监控颗粒度更精细,在判断攻击时,监控颗粒度是秒级。云监控的EIP流量图则是分钟级别的数据。
监控位置不同。DDoS防护在互联网和阿里云网络边界监控流量,而EIP的流量数据采集自转发设备。
ECS、SLB、EIP、NAT等所有公网IaaS产品都可能会遇到上述问题。