如何防止OSS被攻击恶意刷流量导致Bucket切入沙箱
概述
本文主要介绍为防止阿里云对象存储OSS出现被恶意刷流量,或者因DDoS和CC攻击等原因被切入沙箱的情况,如何防护OSS遭受攻击,提高服务质量。
详细信息
当您的OSS Bucket遭受DDoS和CC等攻击后,OSS会自动将Bucket切入沙箱。沙箱中的Bucket仍可以正常响应请求,但服务质量将被降级,您的应用可能会有明显感知。为防止您的Bucket因攻击原因被切入沙箱等盗刷流量的情况,可以按照以下方案添加预防措施:
说明:若您的Bucket被切入沙箱,请参见OSS沙箱,进行处理。
OSS高防
OSS高防是OSS结合DDoS高防推出的DDoS攻击代理防护服务。当受保护的存储空间(Bucket)遭受大流量攻击时,OSS高防会将攻击流量牵引至高防集群进行清洗,并将正常访问流量回源到目标Bucket,确保业务的正常进行。您只需在OSS管理控制台进行简单的配置即可开启Bucket的高防保护。具体配置方式,请参见配置OSS高防。OSS高防配置完成后,进入沙箱的Bucket会自动从沙箱中切换至您的原生IP或者高防IP。
高防IP防护
参考如下步骤,通过高防IP防护OSS。更多信息请参见修改DNS解析接入网站业务。
- 登录OSS管理控制台,开启Bucket的自定义域名,详情请参见自定义域名,但是不要在DNS中添加CNAME解析到Bucket域名。
- 登录云盾DDoS防护管理控制台,配置高防IP,将自定义域名作为被防护的网站,Bucket域名作为高防IP的源站域名。
- 登录云解析DNS控制台,配置DNS解析,为自定义域名添加一条CNAME记录,指向高防IP提供的CNAME地址。
WAF防护
参考以下步骤,通过WAF防护OSS。更多信息请参见WAF使用教程。
- 登录Web应用防火墙控制台,配置Web应用防火墙,将自定义域名作为网站域名,Bucket域名作为WAF的回源域名,详情请参见网站接入。
配置ECS反向代理并绑定高防IP
请按照以下步骤配置ECS反向代理并绑定高防IP:
- 配置ECS反向代理。
- 绑定高防IP。
适用于
- 对象存储OSS