开发者社区> 陈鹏飞Figo Chen> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

【最佳实践】用户Bucket如何防御DDOS攻击?

简介: 第一章:OSS沙箱说明   阿里云OSS不承担网络攻击的防护义务。如果用户的Bucket正在遭受攻击或者有受攻击的风险,OSS会自动将被攻击的Bucket切入到沙箱。沙箱中的Bucket仍然可以正常响应请求,但是用户有可能明显感受到该Bucket服务质量的下降。
+关注继续查看

第一章:OSS沙箱说明

  阿里云OSS不承担网络攻击的防护义务。用户账号下的Bucket遭受攻击后,OSS会自动将用户的Bucket切入到沙箱。沙箱中的Bucket仍然可以正常响应请求,但是用户有可能明显感受到该Bucket服务质量的下降。

:沙箱介绍:沙箱介绍

第二章:借助于高防IP,OSS抵御DDOS攻击

2.1 方案1:绑定域名+高防IP方式防御DDOS攻击

如果您的业务有可能遭受DDOS攻击,可以按照如下方式进行配置。
image

  1. 绑定OSS自定义域名: 配置参考:[绑定自定义域名];
  2. 购买高防IP,并将高防IP绑定到第一步设置的自定义域名。配置参考:[设置高防IP];
    注意:请根据业务实际情况,购买对应的弹性防护带宽;

image

   - “防护网站”:填写用户自定义的域名;
   - “协议类型”:根据实际访问请求方式,合理配置;
   - “源站IP/域名”:此处填写OSS的默认域名;

2.2 方案2:ECS反向代理+高防IP方式抵御DDOS攻击

因安全因素,Bucket默认域名解析的IP是会发生随机变化。对于期望使用固定IP方式访问的客户来说。推荐使用通过ECS搭建反向代理方式进行访问。因此,ECS上的EIP可以绑定高防IP以抵御DDOS攻击和CC攻击。具体可以按照如下方式进行配置:
image

  1. ECS反向代理方式访问OSS:详细配置可参考:[OSS反向代理访问方式配置];

    建议ECS部署在与OSS同一个region内;
  2. 将ECS绑定高防IP:[ECS绑定高防IP];
  3. ECS上的EIP绑定自定义域名;

image

1.“防护域名”:此处填写用户自定义的域名;
2.“协议类型”:此处根据实际需求,选择对应的访问方式。OSS默认提供的是Restful API访问方式;
3.“源站IP/域名”:此处填写ECS上的公网IP;

2.3方案优劣势分析

方案名称 方案1:绑定域名+高防IP方式 方案2:ECS反向代理+高防IP方式
优势 配置简单--支持控制台图形化设置 1.解决方案具有通用性--能够为已进入沙箱和未进入沙箱的Bucket提供防护能力;
2.适合于通过固定IP访问OSS的场景;
劣势 应用场景有局限性--只能针对未进入沙箱的Bucket提供防护 1.配置复杂。需要用户自定搭建nginx反向代理;
2.方案成本高--需要额外购买ECS搭建反向代理;

第三章:已进入沙箱的Bucket如何进行防护?

场景1. 若用户账号下的Bucket曾多次遭受攻击。那么,该用户后续新建的Bucket默认也会进入沙箱。此时,针对新建Bucket的安全访问措施如下:

 1.购买DDOS防护产品;
 2.通过工单系统提交“新建Bucket默认不进入沙箱申请”;
 3.申请通过后,按照“2.1章节 绑定域名+高防IP方式防御DDOS攻击”;

场景2. 针对已经进入沙箱的Bucket。阿里云不提供迁出服务。因此,针对已经进入沙箱的Bucket,建议按照方式2配置安全防护措施;

【注意】:建议在Bucket所在的Region搭建ECS,并且proxy_pass 填写bucket内网域名地址;

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
使用Redis实现一个轻量级的搜索引擎
场景 大家如果是做后端开发的,想必都实现过列表查询的接口,当然有的查询条件很简单,一条 SQL 就搞定了,但有的查询条件极其复杂,再加上库表中设计的各种不合理,导致查询接口特别难写,然后加班什么的就不用说了(不知各位有没有这种感受呢~)。 下面以一个例子开始,这是某购物网站的搜索条件,如果让你实现这样的一个搜索接口,你会如何实现?(当然你说借助搜索引擎,像 Elasticsearch 之类的,你完全可以实现。但我这里想说的是,如果要你自己实现呢?)
29 0
一文了解如何有效的防护DDoS攻击
一文了解如何有效的防护DDoS攻击
96 0
一文了解如何有效的防护DDoS攻击
网络攻击日益频发,如何防护DDos攻击
358 0
对 SolarWinds 事件更深的思考:如何防御供应链攻击
消灭企业安全体系中“隐秘的角落”
2182 0
DDOS攻击及其防御方法
随着互联网发展越来越成熟,互联网行业也逐渐正规化。但是互联网的多样化及发展速度,使得网络安全方面变得极为复杂,同行之间经常出现恶意的竞争,甚至使用恶意的流量攻击,来抢占市场份额,扰乱市场秩序。今天墨者安全就跟大家分享一下什么是恶意流量攻击及其防御方法。
1795 0
IPv6时代如何防御DDoS攻击?
我们都知道现行版本的IP协议是IPv4协议,但由于最开始设计的时候没有考虑到互联网发展如此迅速,导致网络IP地址即将枯竭不够用了,于是推出IPv6协议用于代替IPv4协议,IPv6协议号称可以为全世界的每一粒沙子分配一个IP地址,完全不用再担心网络IP地址不够用了。
2364 0
DDOS攻击 防御方案
https://blog.csdn.net/weixin_37202689/article/details/72843355 一、DDOS认识     分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。
1889 0
桶排序bucket sort
桶排序 (Bucket sort)或所谓的箱排序的原理是将数组分到有限数量的桶子里,然后对每个桶子再分别排序(有可能再使用别的排序算法或是以递归方式继续使用桶排序进行排序),最后将各个桶中的数据有序的合并起来。
837 0
通过调整tcp参数来防范DDOS攻击
通过调整tcp参数来防范DDOS攻击 虚拟主机服务商在运营过程中可能会受到黑客攻击,常见的攻击方式有SYN,DDOS等。通过更换IP,查找被攻击的站点可能避开攻击,但是中断服务的时间比较长。
1050 0
30
文章
0
问答
来源圈子
更多
阿里云存储基于飞天盘古2.0分布式存储系统,产品包括对象存储OSS、块存储Block Storage、共享文件存储NAS、表格存储、日志存储与分析、归档存储及混合云存储等,充分满足用户数据存储和迁移上云需求,连续三年跻身全球云存储魔力象限四强。
+ 订阅
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载