又看到有用户进黑洞了。
在此有点个人想法,不知是否妥当。还请管理人员给予反馈。
本人做网络17年了,从未遇到过大规模流量攻击,实在惭愧。
估计是没什么太招摇的项目吧,个人签名中2个是TMALL,一个是网站。
扯远了,虽然没经历过,但是可以想像被拉进黑洞的无奈。
个人建议:
阿里云能不能先不要直接把超量ECS拉进黑洞清洗。
建议阿里云提供一个配置,让用户自己添加若干个“例外端口”,在遇到流量攻击超标时,封禁例外端口外的所有端口(80端口不能例外)。
如果还不能有效阻断攻击,再拉进黑洞清洗也不迟,这样至少能让ECS其他一些业务的正常工作,也便于用户管理ECS。
-------------------------
引用第1楼dns2008于2014-05-26 22:54发表的 :
我是这样认为的,也不知道对不对,按楼主说的,那直接封来自80端口的流量得了,用户还是可以远程上去?但实际上应该不行,进黑洞就应该是访问这个IP的所有流量全部断开,包括3389,22远程。
进黑洞其实就是空路由了,如果按你说的只封一些端口,还允许用户例外某些端口,那实际上流量还是存在的, 重要的是阿里云要用自身的流量去帮你挡掉恶意的攻击流量(或多或少会影响到其他用户的网络稳定),事实上阿里云也是这样做的,但只为你防5G,超出就进黑洞,因为 阿里云不愿意一直为一个客户浪费带宽资源,甚至影响到其他用户的稳定。如果进空路由就不一样了,等于把流量引入黑洞了(清洗设备),也不会影响其他用户,更不会占用阿里云的带宽,这才是重要的原因吧。
引用第1楼dns2008于2014-05-26 22:54发表的 :
我是这样认为的,也不知道对不对,按楼主说的,那直接封来自80端口的流量得了,用户还是可以远程上去?但实际上应该不行,进黑洞就应该是访问这个IP的所有流量全部断开,包括3389,22远程。
进黑洞其实就是空路由了,如果按你说的只封一些端口,还允许用户例外某些端口,那实际上流量还是存在的,重要的是阿里云要用自身的流量去帮你挡(或多或小会影响到其他用户的网络稳定),如果进空路由就不一样了,等于把流量引入黑洞了(清洗设备),也不会影响其他用户,更不会占用阿里云的带宽,这才是重要的。
-------------------------
引用第3楼dns2008于2014-05-26 23:06发表的 :
嗯,我也明白你的意思,我上面说的3389和22只是表示一下远程端口,事实上略懂点的人肯定都是会改掉。
你说的“ 在封禁其他端口后,几秒攻击流量依然超标的话,则进黑洞”,我也明白你的意思,可能是因为你没被攻击过,不是很清楚流量攻击的方式,我之前一个客户的IP被攻击,机房先是拔线了,原理和你说的封掉某些端口是一样的,只是拔线等于所有端口也无网络了,但攻击流量仍然存在,最后把机房带宽耗尽,电信技术在启用了备份带宽后,封掉了这个IP并做了空路由指向才恢复正常。所以我才会说,封掉一些端口根本是无法挡住流量攻击的,当然,阿里也会帮你防5G,在这范围内不会受影响,一但超出才会进黑洞的。
-------------------------
-------------------------
-------------------------
引用第8楼dns2008于2014-05-26 23:52发表的 Re:回 3楼(dns2008) 的帖子 :
可是这个用户的的案例: http://bbs.aliyun.com/read/159389.html?spm=5176.7189909.0.0.l54xyS,都隔几个小时了,仍然有攻击,再次进黑洞,更不要说你说的几秒间隔了,我不是质疑你的资历,并且也没有这个意思,你是开发,我是技术,咱就是技术讨论一下,嘿嘿~~~
-------------------------
不讨论了,我想假设我这个建议很合理的话,阿里云也未必会去做。
好比是磁盘问题,阿里云在用户反应强烈的情况下都没去做,或者说不打算马上做。
睡觉去了。
-------------------------
引用第15楼zhendingfu于2014-05-27 10:19发表的 :
说好的无视攻击呢
楼主天猫店不错
-------------------------
引用第2楼banian于2014-05-26 22:57发表的 :
我明白你的意思,所以需要用户自定义添加“例外端口” 我是从来不用3389和22端口的。 我肯定会修改,数据库端口都改,从不用默认。至少可以大大降低无聊的常规端口扫描。
我的意思也并不是说封禁了其他端口就这样算了。 是在封禁其他端口后,几秒攻击流量依然超标的话,则进黑洞。 这几秒不会影响到整体系统的。
-------------------------
引用第7楼banian于2014-05-26 23:42发表的 回 3楼(dns2008) 的帖子 :
你的举例也是一种情况,封端口并不是很好的一个办法,有些情况和拔网线一样,还是有用的。
若能有效,就可以不用拉进黑洞,减少客户损失,无效就进黑洞。
-------------------------
现在明白你的意思了,经我手处理或是参与处理过最高大于60G的流量攻击,阿里云的舒云在微博上曾说过阿里云在今年最大的攻击量是74G,但就目前我经手的大于5G的流量攻击案例来看,没有一个是大于5G流量封端口能恢复正常流量的,也许是有这种情况的存在,但我还真的没有遇到过这么“客气又幸运”的攻击……所以我才觉得都大于5G了,就算再做你说的这种判断,恢复正常的机率也有点低,当然,你的初衷是好的,希望多个判断减小进黑洞的情况,至于是否可行,还是请阿里云的人员来总结一下看看~
-------------------------
哇。。。。。阿里人员回复了,3Q
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。