当阿里云公网IP资产遭受大流量DDoS攻击且攻击流量的峰值带宽(bps)超过了资产的DDoS防御能力时,为避免DDoS攻击对资产产生更大损害,同时也避免单个IP被DDoS攻击而影响网络上其他资产正常运行,阿里云黑洞策略会暂时屏蔽IP资产的互联网入方向流量。本文介绍如何处理和预防黑洞。

如何预防黑洞?

只有当DDoS攻击的峰值带宽超过了资产的DDoS的防御能力时,才会导致资产发生黑洞。资产的DDoS防御能力越大,则其被DDoS攻击导致触发黑洞的可能就越低。因此,只有提升资产的DDoS防御能力(即黑洞阈值),才可以从根本上预防黑洞。

您可以通过以下方式提升资产的DDoS防御能力:
防护方案 说明
使用免费的DDoS防护服务

阿里云公网IP资产默认具有不超过5 Gbps的免费DDoS防御能力(DDoS基础防护能力)。公网IP资产的DDoS基础防护能力与资产所在地域及规格有关,具体信息,请参见DDoS基础防护黑洞阈值

说明 阿里云支持安全信誉防护联盟计划,您可以通过维护安全信誉(例如,减少资产暴露面等),获取更多免费加成的DDoS防御能力。动态黑洞阈值会随着信誉分变化而调整,不承诺固定的防护量。更多信息,请参见安全信誉防护联盟
部署商用版DDoS防御方案
  • 购买DDoS原生防护,获取全力防护的防御能力,且无需修改您的业务IP。
  • 购买DDoS高防服务,获取最高可达Tbps级别的防御能力,需将流量切换至DDoS高防。DDoS高防服务明确承诺防护量和防御效果。
说明 关于DDoS防御方案选型的更多信息,请参见如何选择DDoS防护产品

如何解除黑洞?

黑洞期间,阿里云会持续监测DDoS攻击的状态,并在攻击结束后的一段时间,自动为资产解除黑洞,恢复资产的互联网访问。如果您在资产黑洞期间急需恢复业务,可以通过阿里云DDoS防护服务提供的黑洞解除功能手动解除黑洞。

自动解除

如果阿里云监测到针对该资产的攻击已经停止,将会在攻击停止后的一段时间(即黑洞自动解除时间),自动为资产解除黑洞,恢复资产的互联网访问。

您可以在流量安全产品控制台资产中心页面,在页面上方选择地域后,查看当前资产的黑洞自动解除时间。具体操作,请参见查看黑洞时长黑洞时长
默认黑洞自动解除时间是2.5小时。实际黑洞自动解除时间根据资产被攻击频率有差异,从30分钟到24小时不等,少数情况下可能会更久。黑洞自动解除时间主要受以下因素影响:
  • 攻击是否持续。如果攻击一直持续,黑洞自动解除时间会延长,黑洞自动解除时间从延长时刻开始重新计算。
  • 攻击是否频繁。如果某用户是首次被攻击,黑洞自动解除时间会自动缩短;反之,频繁被攻击的用户被持续攻击的概率较大,黑洞自动解除时间会延长。
说明 针对个别黑洞过于频繁的用户,阿里云保留延长黑洞自动解除时间和降低黑洞阈值的权利,具体黑洞自动解除时间和黑洞阈值以控制台显示为准。

手动解除

手动解除黑洞不代表可以防御DDoS攻击,只能换取时间来部署防御方案。手动解除黑洞后,如果DDoS攻击没有结束,资产仍可能再次被攻击进入黑洞。

下表描述了不同DDoS防护服务支持的手动解除黑洞的方法。
DDoS防护服务 手动解除黑洞方法 说明
DDoS原生防护基础版(即未购买任何DDoS防护服务) 流量安全产品控制台总览页面,单击实时攻击态势区域的立即处理,为黑洞中IP解除黑洞。
警告 如果您频繁更换或释放被攻击的ECS地址、EIP地址、SLB地址、轻量服务器,会对整体云租户产生扩散影响,可能会引起平台限制措施。
每月有可用次数限制,具体以立即处理面板中的提示为准。
DDoS原生防护企业版 每月有可用次数限制,一般不少于防护IP数规格。
DDoS高防(新BGP)
  • 进入黑洞状态2分钟后才能进行解除黑洞操作。
  • 每天最多可解除黑洞5次。
DDoS高防(国际) 暂不支持手动解除黑洞。 无。

常见问题

为什么不能立即解除黑洞?

通常DDoS攻击会持续一段时间,不会在黑洞后立即停止,攻击持续时间不定,阿里云安全团队会根据智能算法分析的结果,自动生成黑洞时长。

由于黑洞是在运营商网络部分生效,被攻击的阿里云IP在运营商侧进入黑洞后,阿里云无法监控到攻击流量是否停止。如果在攻击未停止的情况下解除黑洞,被攻击IP将会再次进入黑洞,同时在解除黑洞至再次黑洞生效的这段时间内,攻击流量将会影响到云内其他客户。此外,运营商黑洞是阿里云向运营商购买的服务,解除次数和频率都有限制,因此不能为您立即解除黑洞,请您理解。如需获取更高的DDoS攻击防护能力,请购买DDoS防护产品。更多信息,请参见什么是DDoS原生防护什么是DDoS高防(新BGP&国际)

是否可以通过访问控制策略(ACL)屏蔽DDoS攻击及预防黑洞?

不可以。ACL只能在服务器边缘生效,无法阻挡从大量“僵尸”网络汇集的DDoS攻击流量,通过互联网一级级传递到云网络,并抵达服务器边缘。DDoS攻击流量抵达服务器边缘时,其规模已远超服务器ACL的处置能力。因此,要防御DDoS攻击,需要尽可能在上层网络边界部署防护策略。

对抗DDoS攻击的关键是通过足够大的网络带宽,并结合流量分析和过滤手段,将其中的攻击流量清洗掉。如果依赖将服务器带宽扩容到与攻击等规模的带宽,并部署清洗集群进行流量清洗,将会产生单一客户无法承担的带宽和服务器成本。如果不同客户分别在目的端建设DDoS清洗设施,则进一步加剧了攻防成本的不对等。

因此,经济有效的DDoS防御方式是由云服务供应商集中建设大容量的网络带宽并在上层网络部署清洗设施,以近源方式清洗DDoS攻击流量,同时通过SaaS服务的形式将DDoS防御服务提供给有需求的客户采购,使清洗资源可以复用,从而降低单客户防御DDoS的成本。

相关文档