想到一个折衷的黑洞方案
阿里云默认最高防御是5G/s,解封时间是150分钟。
既然 5G/s 是阿里云的天花板,可以考虑一下给用户设置自定义5G/s以下的黑洞阙值,并且对自定义黑洞阙值的解封时间放宽,比如10分钟。
这样,在防护总量不变的情况下,可以大幅度减少攻击流量的慢慢增加,然后进150分钟黑洞的窘境,对阿里云数据中心的清洗压力也会小很多。
当然,原来的超过 5G/s 流量黑洞的策略不需要改变,主要目的就是判断流量到设定的阙值后是不是有可能递增,有可能的话就短时间黑洞一下,这样折腾一下子,对攻击者的自动化水平和资源调度也是不小的考验。
写回答
-
Re想到一个折衷的黑洞方案阿里云50打一天的多了去了 你有什么办法 自己加个CDN吧
高防也坑 一个云60g高防 外面租用一个月1500 阿里云一个月30万 云又有什么用呢 价格下不来 也只能是针对企业用户 个人根本没钱买 附几张图 个人打码
-------------------------
回 16楼碧血微剑的帖子我觉得比起独立服务器的租用托管价格,这几个价格都算不上合理。-------------------------
回 27楼碧血微剑的帖子无所谓啦,反正我没钱买。2016-02-24 20:58:09赞同 展开评论 打赏 -
安全从业者。
你好!非常感谢您提出的宝贵意见,阿里云云盾现在已经推出了类似的功能,根据安全信誉和流量情况动态计算黑洞解除时间。
相信现在很多客户都能感受到黑洞时长变短了,不再是2.5小时,而是动态变化的。大部分客户的黑洞时长都会小于40分钟,甚至只有20分钟或更短。
现阶段,云盾防御DDoS还是很需要黑洞的解决方案,因为运营商收取的带宽成本很高,而且运营商不区分攻击和正常流量(其实黑洞的成本也比较高,相对而言带宽的成本更高)。
阿里云黑洞策略: https://help.aliyun.com/knowledge_detail/5975212.html
黑洞触发阈值: https://help.aliyun.com/knowledge_detail/7599488.html。
为了解决大部分用户偶尔被攻击的问题,我们特别推出了安全信誉联盟,根据用户信誉免费提升黑洞阈值,降低黑洞时长。
加入安全信誉联盟: https://yundun.console.aliyun.com/#/buyService/ddos
安全信誉联盟介绍: https://help.aliyun.com/knowledge_detail/7602991.html2016-01-25 11:02:29赞同 展开评论 打赏 -
-
回16楼碧血微剑的帖子那么我只能理解我们付的是调度费用。但是根据SLB IP来计费一个IP一个月的占用费用也就14.4。。他这100一个IP。。。2015-10-14 08:40:52赞同 展开评论 打赏 -
Re想到一个折衷的黑洞方案你可以关注一下云盾正在公测的「弹性安全网络」,应该能解决你的问题。下周的云栖大会会正式发布,同时会改名为「极速盾」。
另外黑洞阈值被卡死的问题我们在明年3月前会争取缓解主要矛盾。2015-10-11 14:36:44赞同 展开评论 打赏 -
Re想到一个折衷的黑洞方案150分钟实在太操蛋了,现在攻击的人知道阿里云的规则,几分钟就把你打挂了,代价很小。
-------------------------
Re想到一个折衷的黑洞方案人家打你就掐着5G的流量来打的,1打就挂150分钟,烦死了。-------------------------
回8楼ivmmff的帖子我反正每次都是150分钟,哪有10~30分钟的黑洞?2015-10-10 20:48:03赞同 展开评论 打赏 -
解决方案工程师,负责为企业规划上云迁移方案和云上架构设计,在网站建设开发和云计算领域有多年经验,专注于Linux平台的系统维护以及应用部署。致力于以场景化的方式让云计算,用更加通俗易懂的方式让更多人体验云计算,让云端的计算更质朴的落地。你的意思是让用户自定义黑洞发生的流量么?-------------------------
回 5楼(碧血微剑) 的帖子祝你成功
-------------------------
回 7楼(dantes.wx) 的帖子这个不会,一般小型攻击停止后 10~30 分钟内就会解除黑洞的2015-10-10 19:08:06赞同 展开评论 打赏 -
可以不开放十分钟后自动解封,必须要用户手动解封,这样就有点掌握主动权的意思了。
虽然最终还是跪了,但是可以改变攻击者一个指令就可以连续攻击几天的问题,两个IP就可以把攻击者折腾得不知道攻击哪边好,让攻击者把有限的流量,丢进无限的黑洞里。
当然,这是针对那种流量几十秒内慢慢递增的攻击方式,突发流量的话没有什么好办法。-------------------------
回 3楼(ivmmff) 的帖子是的,5G/s 流量黑洞是个天花板,可以称之为大黑洞。
5G/s 以下的流量可以称作小黑洞,给用户自定义。小黑洞的时间可以很短。-------------------------
回 3楼(ivmmff) 的帖子不过我已经想到基于现有API实现这个想法的可能了,我这几天抽时间实现一下。-------------------------
起得早,实验了一下我的想法,实证完全可行,但是发现代码量不小,最重要的是关键的API没有开放,云盾流量实时统计这个API没有,所以还是暂时放弃用API完全实现的想法。
既然代码无法实现,我说一下我的思路:
利用阿里云VPC可以随时解绑和绑定IP的这个功能 + 云盾攻击流量统计 + 后端系统组成一套小黑洞系统,在5G/s流量之前,就自己黑洞掉,免得掉入150分钟黑洞的坑。
需要注意的是,VPC的IP解绑跟BGP路由的黑洞的广播是不一样的,就算在VPC解绑了IP,攻击流量还是会到阿里云的数据中心,虽然没有进入云盾实例的流量统计,但流量还是到了阿里云的数据中心,多少有些不完美,这是两种完全不同的处理方式,阿里云有躺枪的可能,但还是减少了流量清洗的压力。从长远来看,是值得的。而黑洞就不一样了,流量在进入运营商骨干网后就被直接丢弃了,黑洞时间过长和不可控是一个遗憾。
甘瓜苦蒂,天下物无全美。阿里云的安全团队是我见过最接地气的团队了,但资源这种东西,是要用钱堆出来的,所以大家也不要过分苛求。-------------------------
回 17楼(无所谓已) 的帖子您不能这么简单的算,虽然目前的价格我也认为很不合理,但您指出一个IP 14.4 是明显偏低了的。
首先,ESN需要一个庞大的检活集群,检测一个IP是否黑洞,因为据我所知是这么实现的。
其次,ESN需要有一个DNS系统,这个系统需要达到秒级切换的要求。
还有很多,虽然看起来只是简单的IP切换,但背后的技术实现也不简单。-------------------------
刚才听到云栖大会上,阿里云总监说的,即将调整黑洞阙值,我很欣慰。
-------------------------
回 21楼(安全百晓生) 的帖子其实还可以开放黑洞和解封的API,只要没有超过防护流量,想什么时候黑就什么时候黑,那就更厉害了。黑洞一次成本大概有多少?BGP黑洞居然也有成本这个我真没想到,不过也可以给API调用方自己付费就行了。-------------------------
回 24楼(lslqtz) 的帖子这个阿里云也有API,我也想过,但这个基本没有什么用。
1、切换IP对服务体验有损失,黑洞了再重连,对于一些客户损失很大。
2、这是占阿里云的便宜,我也是后来才了解到的,运营商给阿里云的黑洞总数有限,阿里云可以随时在代码加判断,如果IP黑洞直接不给你换,辛辛苦苦写完代码,到头白忙一场。
3、安全网络就是这么干的,而且安全网络跟高防用的是同一套清洗系统,比你自己写一套切换系统然后用基础防御强多了。-------------------------
回 25楼(lslqtz) 的帖子价格不合理,换商家就是了,何必吊死在阿里云身上,阿里云也没有强买强卖嘛,而且DDoS防御是一个多维度的战场,远远不是多少防御多少流量能够一言以蔽之的。2015-10-10 18:36:59赞同 展开评论 打赏
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
