黑洞自动解除最佳实践

已经添加到DDoS原生防护进行防护的公网IP资产遭受瞬时超大流量DDoS攻击时仍可能被黑洞,需要对被黑洞的IP快速执行黑洞解除操作恢复业务,保障业务稳定性。针对该场景,DDoS原生防护提供了黑洞自动化响应和快速解除的解决方案。

前提条件

黑洞自动化响应和快速解除解决方案需要调用DDoS原生防护的API接口,目前该解决方案仅支持DDoS原生防护实例。在部署黑洞自动解除方案前,请确认您的业务IP已添加至DDoS原生防护实例进行防护。更多信息,请参见防护对象

背景信息

DDoS原生防护提供黑洞解除功能,您可以在DDoS原生防护控制台手动解除黑洞,具体操作,请参见解除黑洞。由于手动解除黑洞存在延迟和不确定性,如果您的业务对于稳定性和连续性有较高的要求,您可以通过以下方案实现黑洞自动化响应和快速解除:

  1. 通过云监控的事件告警功能监控DDoS原生防护实例的黑洞事件。

    说明

    只有已添加为DDoS原生防护实例的防护对象IP触发黑洞策略时,才会触发云监控的黑洞事件报警的消息推送。对于不在DDoS原生防护实例的防护对象列表中的IP触发的黑洞事件将不会被推送。

  2. 通过自定义消息的消费机制,调用DDoS原生防护的黑洞解除API接口(DeleteBlackhole - 为被防护IP解除黑洞状态)自动解除被黑洞的业务IP。

通过类似方法,您还可以实现在DDoS攻击事件发生时自动调用云解析的API接口将相关域名的DNS解析切换至DDoS高防实例等。

操作步骤

  1. 登录云监控控制台

  2. 在左侧导航栏,选择事件中心 > 系统事件

  3. 事件监控页签,单击另存为报警,在创建/修改事件报警面板为DDoS原生防护创建黑洞事件报警规则。

    产品类型选择DDoS原生防护事件类型选择DDoS攻击事件等级选择严重事件名称选择黑洞,并选择事件报警消息的推送渠道。其他配置项的详细说明,请参见创建系统事件报警规则

    事件报警创建完成后,当DDoS原生防护实例中已防护的IP被黑洞时,云监控将自动报警并将以下消息实时推送至您所选择的消费渠道。 消息示例:

    {    
        "action": "add", //事件状态。add表示事件开始,del表示事件结束。    
        "bps": 0, //触发该事件的流量大小,单位:Mbps。    
        "pps": 0, //触发该事件的包速率,单位:pps。    
        "instanceId": "ddosbgp-cn-78v17******", //DDoS原生防护实例ID。    
        "ip": "47.*.*.*", //发生事件的IP。    
        "regionId": "cn-hangzhou", //DDoS原生防护实例所在的地域。    
        "time": 1564104493000, //触发事件的时间,格式为毫秒时间戳。    
        "type": "blackhole"  //事件类型。defense表示清洗事件,blackhole表示黑洞事件。
    }
  4. 定义消息消费机制,对事件消息进行处理并结合DeleteBlackhole - 为被防护IP解除黑洞状态接口实现黑洞自动解除。