当您的OSS存储空间(Bucket)遭受攻击或通过Bucket分享违法内容,OSS会自动将Bucket切入沙箱。沙箱中的Bucket仍可以正常响应请求,但服务质量将被降级,具体表现为网络可用性受影响,例如请求超时等。OSS切入沙箱后,您的应用可能会有明显感知。
注意事项
对于被攻击的Bucket,OSS会将其切入沙箱。如果您的Bucket遭受攻击,您需要自行承担因攻击而产生的全额费用。
如果您的用户通过您的Bucket分享涉黄、涉政、涉恐等违法内容,也会导致您的Bucket被切入沙箱。情节严重者,将被追究法律责任。
针对攻击的预防措施
为防止您的Bucket因DDoS和CC攻击等原因被切入沙箱,您可以配置OSS高防或者配置ECS反向代理并绑定高防IP。这两种方案的优劣势说明请参见下表。
方案名称 | 说明 | 优势 | 劣势 |
方案一:配置OSS高防 | OSS高防是OSS结合DDoS高防推出的DDoS攻击代理防护服务。为Bucket配置OSS高防后,在Bucket遭受大流量攻击时,OSS高防会将攻击流量牵引至高防集群进行清洗,并将正常访问流量回源到目标Bucket,确保业务的正常进行。 |
| 防护Bucket的数量有限:每个地域仅可以创建一个高防OSS实例,每个实例最多只能绑定同一地域下的10个Bucket。 |
方案二:配置ECS反向代理并绑定高防IP | 基于安全考虑,Bucket默认域名解析的IP地址是随机变化的。如果您期望使用固定IP地址访问,推荐使用ECS搭建反向代理的方式访问OSS。ECS上的EIP可以绑定高防IP以抵御DDoS攻击和CC攻击。 | 适合通过固定IP地址访问OSS的场景。 |
|
两种方案实现步骤如下:
方案一:配置OSS高防
通过OSS控制台为Bucket配置OSS高防的步骤如下:
创建高防OSS实例。
绑定Bucket。
绑定Bucket后,表明高防OSS实例已对Bucket外网域名开始实施保护。
OSS高防仅支持防护Bucket外网域名(例如
oss-cn-hangzhou.aliyuncs.com
),不支持防护以下域名类型,例如:传输加速域名(
oss-accelerate.aliyuncs.com
和oss-accelerate-overseas.aliyuncs.com
)接入点域名(例如
ap-01-3b00521f653d2b3223680ec39dbbe2****-ossalias.oss-cn-hangzhou.aliyuncs.com
)对象FC接入点域名(例如
fc-ap-01-3b00521f653d2b3223680ec39dbbe2****-opapalias.oss-cn-hangzhou.aliyuncs.com
)通过IPv6协议访问的Endpoint(例如
cn-hangzhou.oss.aliyuncs.com
)Amazon S3Endpoint(例如
s3.oss-cn-hongkong.aliyuncs.com
)。
更多信息,请参见OSS高防。
方案二:配置ECS反向代理并绑定高防IP
配置ECS反向代理并绑定高防IP的步骤如下: