如何防止OSS被攻击恶意刷流量导致Bucket切入沙箱

概述

本文主要介绍为防止阿里云对象存储OSS出现被恶意刷流量,或者因DDoS和CC攻击等原因被切入沙箱的情况,如何防护OSS遭受攻击,提高服务质量。

详细信息

当您的OSS Bucket遭受DDoS和CC等攻击后,OSS会自动将Bucket切入沙箱。沙箱中的Bucket仍可以正常响应请求,但服务质量将被降级,您的应用可能会有明显感知。为防止您的Bucket因攻击原因被切入沙箱等盗刷流量的情况,可以按照以下方案添加预防措施:

说明:若您的Bucket被切入沙箱,请参见OSS沙箱,进行处理。

OSS高防

OSS高防是OSS结合DDoS高防推出的DDoS攻击代理防护服务。当受保护的存储空间(Bucket)遭受大流量攻击时,OSS高防会将攻击流量牵引至高防集群进行清洗,并将正常访问流量回源到目标Bucket,确保业务的正常进行。您只需在OSS管理控制台进行简单的配置即可开启Bucket的高防保护。具体配置方式,请参见配置OSS高防。OSS高防配置完成后,进入沙箱的Bucket会自动从沙箱中切换至您的原生IP或者高防IP。

高防IP防护

参考如下步骤,通过高防IP防护OSS。更多信息请参见修改DNS解析接入网站业务

  1. 登录OSS管理控制台开启Bucket的自定义域名,详情请参见自定义域名,但是不要在DNS中添加CNAME解析到Bucket域名。
  2. 登录云盾DDoS防护管理控制台,配置高防IP,将自定义域名作为被防护的网站,Bucket域名作为高防IP的源站域名。
  3. 登录云解析DNS控制台配置DNS解析,为自定义域名添加一条CNAME记录,指向高防IP提供的CNAME地址。

WAF防护

参考以下步骤,通过WAF防护OSS。更多信息请参见WAF使用教程

  1. 登录OSS管理控制台开启Bucket的自定义域名,详情请参见自定义域名,但是不要在DNS中添加CNAME解析到Bucket域名。
  2. 登录Web应用防火墙控制台,配置Web应用防火墙,将自定义域名作为网站域名,Bucket域名作为WAF的回源域名,详情请参见网站接入
  3. 在左侧导航栏,单击资产中心>网站接入
  4. 域名列表中定位到已添加的域名,将光标悬置在域名上,查看并复制域名对应的WAF CNAME地址。
  5. 登录云解析DNS控制台配置DNS解析,为自定义域名添加一条CNAME记录,指向WAF提供的CNAME地址,详情请参见修改域名DNS

配置ECS反向代理并绑定高防IP

请按照以下步骤配置ECS反向代理并绑定高防IP:

  1. 配置ECS反向代理。
    1. 创建一个CentOS或Ubuntu的ECS实例。具体步骤,请参见创建ECS实例
      注意如果Bucket有较大的网络流量或访问请求,请提高ECS硬件配置或者搭建ECS集群。
    2. 配置以ECS反向代理的方式访问OSS。具体步骤,请参见配置OSS反向代理
  2. 绑定高防IP。
    1. 结合业务情况购买合适的高防IP。购买页面,请参见高防IP
    2. 绑定高防IP。其中,网站填写您ECS绑定的域名。服务器地址选择源站IP,并填写ECS的外网IP地址。其他参数的配置说明,请参见添加网站3

适用于

  • 对象存储OSS
阿里云首页 相关技术圈