开发者社区> 问答> 正文

想到一个折衷的黑洞方案

  阿里云默认最高防御是5G/s,解封时间是150分钟。
  既然 5G/s 是阿里云的天花板,可以考虑一下给用户设置自定义5G/s以下的黑洞阙值,并且对自定义黑洞阙值的解封时间放宽,比如10分钟。
  
  这样,在防护总量不变的情况下,可以大幅度减少攻击流量的慢慢增加,然后进150分钟黑洞的窘境,对阿里云数据中心的清洗压力也会小很多。


  当然,原来的超过 5G/s 流量黑洞的策略不需要改变,主要目的就是判断流量到设定的阙值后是不是有可能递增,有可能的话就短时间黑洞一下,这样折腾一下子,对攻击者的自动化水平和资源调度也是不小的考验。

展开
收起
碧血微剑 2015-10-10 18:29:30 8490 0
8 条回答
写回答
取消 提交回答
  • Re想到一个折衷的黑洞方案
    阿里云50打一天的多了去了 你有什么办法 自己加个CDN吧
    高防也坑 一个云60g高防 外面租用一个月1500 阿里云一个月30万 云又有什么用呢  价格下不来 也只能是针对企业用户 个人根本没钱买 附几张图 个人打码


    -------------------------

    回 16楼碧血微剑的帖子
    我觉得比起独立服务器的租用托管价格,这几个价格都算不上合理。

    -------------------------

    回 27楼碧血微剑的帖子
    无所谓啦,反正我没钱买。
    2016-02-24 20:58:09
    赞同 展开评论 打赏
  • 安全从业者。

    你好!非常感谢您提出的宝贵意见,阿里云云盾现在已经推出了类似的功能,根据安全信誉和流量情况动态计算黑洞解除时间。
    相信现在很多客户都能感受到黑洞时长变短了,不再是2.5小时,而是动态变化的。大部分客户的黑洞时长都会小于40分钟,甚至只有20分钟或更短。
    现阶段,云盾防御DDoS还是很需要黑洞的解决方案,因为运营商收取的带宽成本很高,而且运营商不区分攻击和正常流量(其实黑洞的成本也比较高,相对而言带宽的成本更高)。


    阿里云黑洞策略: https://help.aliyun.com/knowledge_detail/5975212.html
    黑洞触发阈值: https://help.aliyun.com/knowledge_detail/7599488.html
    为了解决大部分用户偶尔被攻击的问题,我们特别推出了安全信誉联盟,根据用户信誉免费提升黑洞阈值,降低黑洞时长。
    加入安全信誉联盟: https://yundun.console.aliyun.com/#/buyService/ddos
    安全信誉联盟介绍: https://help.aliyun.com/knowledge_detail/7602991.html
    2016-01-25 11:02:29
    赞同 展开评论 打赏
  • Re想到一个折衷的黑洞方案
    没有黑洞的解决方案就不行吗?
    2016-01-19 13:49:29
    赞同 展开评论 打赏
  • 回16楼碧血微剑的帖子
    那么我只能理解我们付的是调度费用。但是根据SLB IP来计费一个IP一个月的占用费用也就14.4。。他这100一个IP。。。
    2015-10-14 08:40:52
    赞同 展开评论 打赏
  • Re想到一个折衷的黑洞方案
    你可以关注一下云盾正在公测的「弹性安全网络」,应该能解决你的问题。下周的云栖大会会正式发布,同时会改名为「极速盾」。

    另外黑洞阈值被卡死的问题我们在明年3月前会争取缓解主要矛盾。
    2015-10-11 14:36:44
    赞同 展开评论 打赏
  • Re想到一个折衷的黑洞方案
    150分钟实在太操蛋了,现在攻击的人知道阿里云的规则,几分钟就把你打挂了,代价很小。

    -------------------------

    Re想到一个折衷的黑洞方案
    人家打你就掐着5G的流量来打的,1打就挂150分钟,烦死了。

    -------------------------

    回8楼ivmmff的帖子
    我反正每次都是150分钟,哪有10~30分钟的黑洞?
    2015-10-10 20:48:03
    赞同 展开评论 打赏
  • 解决方案工程师,负责为企业规划上云迁移方案和云上架构设计,在网站建设开发和云计算领域有多年经验,专注于Linux平台的系统维护以及应用部署。致力于以场景化的方式让云计算,用更加通俗易懂的方式让更多人体验云计算,让云端的计算更质朴的落地。
    你的意思是让用户自定义黑洞发生的流量么?

    -------------------------

    回 5楼(碧血微剑) 的帖子
    祝你成功

    -------------------------

    回 7楼(dantes.wx) 的帖子
    这个不会,一般小型攻击停止后 10~30 分钟内就会解除黑洞的
    2015-10-10 19:08:06
    赞同 展开评论 打赏
  • 可以不开放十分钟后自动解封,必须要用户手动解封,这样就有点掌握主动权的意思了。

    虽然最终还是跪了,但是可以改变攻击者一个指令就可以连续攻击几天的问题,两个IP就可以把攻击者折腾得不知道攻击哪边好,让攻击者把有限的流量,丢进无限的黑洞里。

    当然,这是针对那种流量几十秒内慢慢递增的攻击方式,突发流量的话没有什么好办法。

    -------------------------

    回 3楼(ivmmff) 的帖子
    是的,5G/s 流量黑洞是个天花板,可以称之为大黑洞。
    5G/s 以下的流量可以称作小黑洞,给用户自定义。小黑洞的时间可以很短。

    -------------------------

    回 3楼(ivmmff) 的帖子
    不过我已经想到基于现有API实现这个想法的可能了,我这几天抽时间实现一下。

    -------------------------

    起得早,实验了一下我的想法,实证完全可行,但是发现代码量不小,最重要的是关键的API没有开放,云盾流量实时统计这个API没有,所以还是暂时放弃用API完全实现的想法。

    既然代码无法实现,我说一下我的思路:

    利用阿里云VPC可以随时解绑和绑定IP的这个功能 + 云盾攻击流量统计 + 后端系统组成一套小黑洞系统,在5G/s流量之前,就自己黑洞掉,免得掉入150分钟黑洞的坑。

    需要注意的是,VPC的IP解绑跟BGP路由的黑洞的广播是不一样的,就算在VPC解绑了IP,攻击流量还是会到阿里云的数据中心,虽然没有进入云盾实例的流量统计,但流量还是到了阿里云的数据中心,多少有些不完美,这是两种完全不同的处理方式,阿里云有躺枪的可能,但还是减少了流量清洗的压力。从长远来看,是值得的。而黑洞就不一样了,流量在进入运营商骨干网后就被直接丢弃了,黑洞时间过长和不可控是一个遗憾。

    甘瓜苦蒂,天下物无全美。阿里云的安全团队是我见过最接地气的团队了,但资源这种东西,是要用钱堆出来的,所以大家也不要过分苛求。

    -------------------------

    回 17楼(无所谓已) 的帖子
    您不能这么简单的算,虽然目前的价格我也认为很不合理,但您指出一个IP 14.4 是明显偏低了的。

    首先,ESN需要一个庞大的检活集群,检测一个IP是否黑洞,因为据我所知是这么实现的。
    其次,ESN需要有一个DNS系统,这个系统需要达到秒级切换的要求。

    还有很多,虽然看起来只是简单的IP切换,但背后的技术实现也不简单。

    -------------------------

    刚才听到云栖大会上,阿里云总监说的,即将调整黑洞阙值,我很欣慰。

    -------------------------

    回 21楼(安全百晓生) 的帖子
    其实还可以开放黑洞和解封的API,只要没有超过防护流量,想什么时候黑就什么时候黑,那就更厉害了。黑洞一次成本大概有多少?BGP黑洞居然也有成本这个我真没想到,不过也可以给API调用方自己付费就行了。

    -------------------------

    回 24楼(lslqtz) 的帖子
    这个阿里云也有API,我也想过,但这个基本没有什么用。

    1、切换IP对服务体验有损失,黑洞了再重连,对于一些客户损失很大。
    2、这是占阿里云的便宜,我也是后来才了解到的,运营商给阿里云的黑洞总数有限,阿里云可以随时在代码加判断,如果IP黑洞直接不给你换,辛辛苦苦写完代码,到头白忙一场。
    3、安全网络就是这么干的,而且安全网络跟高防用的是同一套清洗系统,比你自己写一套切换系统然后用基础防御强多了。

    -------------------------

    回 25楼(lslqtz) 的帖子
    价格不合理,换商家就是了,何必吊死在阿里云身上,阿里云也没有强买强卖嘛,而且DDoS防御是一个多维度的战场,远远不是多少防御多少流量能够一言以蔽之的。
    2015-10-10 18:36:59
    赞同 展开评论 打赏
滑动查看更多
问答分类:
问答地址:
问答排行榜
最热
最新

相关电子书

更多
一起来试验保险箱的脆弱面 立即下载
一起来试验 保险箱的脆弱面 立即下载
改善弱网络-探索移动互联网下弱网络处理方式 立即下载