可以不开放十分钟后自动解封,必须要用户手动解封,这样就有点掌握主动权的意思了。
虽然最终还是跪了,但是可以改变攻击者一个指令就可以连续攻击几天的问题,两个IP就可以把攻击者折腾得不知道攻击哪边好,让攻击者把有限的流量,丢进无限的黑洞里。
当然,这是针对那种流量几十秒内慢慢递增的攻击方式,突发流量的话没有什么好办法。
-------------------------
回 3楼(ivmmff) 的帖子
是的,5G/s 流量黑洞是个天花板,可以称之为大黑洞。
5G/s 以下的流量可以称作小黑洞,给用户自定义。小黑洞的时间可以很短。
-------------------------
回 3楼(ivmmff) 的帖子
不过我已经想到基于现有API实现这个想法的可能了,我这几天抽时间实现一下。
-------------------------
起得早,实验了一下我的想法,实证完全可行,但是发现代码量不小,最重要的是关键的API没有开放,云盾流量实时统计这个API没有,所以还是暂时放弃用API完全实现的想法。既然代码无法实现,我说一下我的思路:利用阿里云VPC可以随时解绑和绑定IP的这个功能 + 云盾攻击流量统计 + 后端系统组成一套小黑洞系统,在5G/s流量之前,就自己黑洞掉,免得掉入150分钟黑洞的坑。需要注意的是,VPC的IP解绑跟BGP路由的黑洞的广播是不一样的,就算在VPC解绑了IP,攻击流量还是会到阿里云的数据中心,虽然没有进入云盾实例的流量统计,但流量还是到了阿里云的数据中心,多少有些不完美,这是两种完全不同的处理方式,阿里云有躺枪的可能,但还是减少了流量清洗的压力。从长远来看,是值得的。而黑洞就不一样了,流量在进入运营商骨干网后就被直接丢弃了,黑洞时间过长和不可控是一个遗憾。甘瓜苦蒂,天下物无全美。阿里云的安全团队是我见过最接地气的团队了,但资源这种东西,是要用钱堆出来的,所以大家也不要过分苛求。
-------------------------
回 17楼(无所谓已) 的帖子
您不能这么简单的算,虽然目前的价格我也认为很不合理,但您指出一个IP 14.4 是明显偏低了的。
首先,ESN需要一个庞大的检活集群,检测一个IP是否黑洞,因为据我所知是这么实现的。
其次,ESN需要有一个DNS系统,这个系统需要达到秒级切换的要求。
还有很多,虽然看起来只是简单的IP切换,但背后的技术实现也不简单。
-------------------------
刚才听到云栖大会上,阿里云总监说的,即将调整黑洞阙值,我很欣慰。
-------------------------
回 21楼(安全百晓生) 的帖子
其实还可以开放黑洞和解封的API,只要没有超过防护流量,想什么时候黑就什么时候黑,那就更厉害了。黑洞一次成本大概有多少?BGP黑洞居然也有成本这个我真没想到,不过也可以给API调用方自己付费就行了。
-------------------------
回 24楼(lslqtz) 的帖子
这个阿里云也有API,我也想过,但这个基本没有什么用。
1、切换IP对服务体验有损失,黑洞了再重连,对于一些客户损失很大。
2、这是占阿里云的便宜,我也是后来才了解到的,运营商给阿里云的黑洞总数有限,阿里云可以随时在代码加判断,如果IP黑洞直接不给你换,辛辛苦苦写完代码,到头白忙一场。
3、安全网络就是这么干的,而且安全网络跟高防用的是同一套清洗系统,比你自己写一套切换系统然后用基础防御强多了。
-------------------------
回 25楼(lslqtz) 的帖子
价格不合理,换商家就是了,何必吊死在阿里云身上,阿里云也没有强买强卖嘛,而且DDoS防御是一个多维度的战场,远远不是多少防御多少流量能够一言以蔽之的。
我要提问