DDoS原生防護(hù)代播模式攻擊時(shí)自動啟用配置
本文介紹了使用DDoS原生防護(hù)代播模式自動防御大流量DDoS攻擊的最佳實(shí)踐,適用于已經(jīng)開通了DDoS原生防護(hù)代播模式的用戶在阿里云IP資產(chǎn)受到攻擊時(shí),通過API接口自動啟用DDoS原生防護(hù)代播模式的場景。
前提條件
已購買DDoS原生防護(hù)實(shí)例。更多信息,請參見購買DDoS原生防護(hù)實(shí)例。
已聯(lián)系銷售人員購買了DDoS原生防護(hù)代播版實(shí)例。
已在云監(jiān)控服務(wù)中創(chuàng)建了報(bào)警聯(lián)系人和聯(lián)系人組。更多信息,請參見創(chuàng)建報(bào)警聯(lián)系人或報(bào)警聯(lián)系組。
背景信息
DDoS原生防護(hù)代播版可以為海外云下IDC、小型運(yùn)營商、阿里云海外客戶以及有自己BGP網(wǎng)絡(luò)的客戶提供阿里云的DDoS防護(hù),且防護(hù)過程不需要改變原有業(yè)務(wù)IP地址和網(wǎng)絡(luò)架構(gòu)。下圖描述了DDoS原生防護(hù)代播版的防護(hù)原理。
原理說明:
正常流量或小流量攻擊:流量直接訪問阿里云DDoS原生防護(hù)本地機(jī)房,無額外延遲增加,可以防御小流量攻擊。
發(fā)生DDoS攻擊時(shí):清洗中心宣告路由,流量由全球清洗中心分布式清洗,延遲略有增加,但防護(hù)能力可以增加到Tbps級別。
本文將指導(dǎo)您使用云監(jiān)控的報(bào)警功能設(shè)置報(bào)警規(guī)則,監(jiān)控DDoS原生防護(hù)本地機(jī)房的DDoS攻擊;如果發(fā)生DDoS攻擊,通過API接口調(diào)用開啟DDoS原生防護(hù)代播實(shí)例的牽引防護(hù),并在攻擊結(jié)束后,停止?fàn)恳雷o(hù)。
本文中所有用到API請求參數(shù)示例的地方,全部使用<參數(shù)描述>
表示,例如要求傳入原生防護(hù)代播版實(shí)例ID的地方,表示為InstanceId=<yourOnDemandInstanceId>
。
具體操作中,請使用真實(shí)的參數(shù)值替換<參數(shù)描述>
,例如您需要聯(lián)系銷售人員獲取您的原生防護(hù)代播實(shí)例的ID(InstanceId),并替換<yourOnDemandInstanceId>
。
操作步驟
通過云監(jiān)控設(shè)置DDoS原生防護(hù)黑洞事件的報(bào)警通知,監(jiān)控DDoS原生防護(hù)本地清洗中心的黑洞、清洗事件。
登錄云監(jiān)控控制臺。
在左側(cè)導(dǎo)航欄,選擇 。
單擊事件報(bào)警規(guī)則頁簽后,單擊創(chuàng)建報(bào)警規(guī)則,在創(chuàng)建/修改事件報(bào)警頁面配置以下事件報(bào)警參數(shù)。
產(chǎn)品類型選擇DDoS原生防護(hù),事件類型選擇DDoS攻擊,事件等級選擇嚴(yán)重,事件名稱選擇黑洞和清洗,資源范圍選擇全部資源。其他參數(shù)的詳細(xì)解釋,請參見創(chuàng)建系統(tǒng)事件報(bào)警規(guī)則。
單擊確定。
成功創(chuàng)建報(bào)警規(guī)則后,報(bào)警規(guī)則自動生效,一旦DDoS原生防護(hù)實(shí)例上發(fā)生DDoS攻擊,報(bào)警規(guī)則中指定的聯(lián)系人組會第一時(shí)間收到報(bào)警通知。
發(fā)生DDoS攻擊(即收到黑洞、清洗事件報(bào)警通知)時(shí),調(diào)用ModifyOnDemaondDefenseStatus接口開啟DDoS原生防護(hù)代播實(shí)例的流量牽引防護(hù),將流量牽引至阿里云全球Anycast清洗中心。
您需要傳入以下請求參數(shù):
?Action=ModifyOnDemaondDefenseStatus &DdosRegionId=<yourInstanceRegionId> &DefenseStatus=Defense &InstanceId=<yourOnDemandInstanceId>
可選:解除DDoS原生防護(hù)企業(yè)版實(shí)例的黑洞狀態(tài)。
如果DDoS原生防護(hù)企業(yè)版實(shí)例未觸發(fā)黑洞狀態(tài),請忽略該步驟。
如果DDoS原生防護(hù)企業(yè)版實(shí)例處于黑洞狀態(tài),您可以在開啟流量牽引防護(hù)約10秒以后,調(diào)用DeleteBlackhole - 為被防護(hù)IP解除黑洞狀態(tài)接口解除DDoS原生防護(hù)企業(yè)版實(shí)例的黑洞狀態(tài)。
您需要傳入以下請求參數(shù):
?Action=DeleteBlackhole &InstanceId=<yourOnDemandInstanceId> &Ip=<yourOnDemandInstanceIp>
調(diào)用DescribeTopTraffic接口查詢DDoS攻擊是否結(jié)束。
您需要傳入以下請求參數(shù):
?Action=DescribeTopTraffic &Ipnet=<onDemandInstanceIpnetToQuery> &InstanceId=<yourOnDemandInstanceId> &StartTime=<startTimeToQuery> &EndTime=<endTimeToQuery>
如果返回的AttackBps(攻擊流量大小,單位:Kbps)小于300000,并持續(xù)30分鐘以上,則表示DDoS攻擊已經(jīng)結(jié)束。
確認(rèn)DDoS攻擊事件結(jié)束后,在業(yè)務(wù)低峰時(shí)段調(diào)用ModifyOnDemaondDefenseStatus接口停止DDoS原生防護(hù)代播實(shí)例的流量牽引防護(hù)。
說明建議您在業(yè)務(wù)低峰時(shí)段調(diào)用停止?fàn)恳@樣可以減少流量切換帶來的影響。
您需要傳入以下請求參數(shù):
?Action=ModifyOnDemaondDefenseStatus &DdosRegionId=<yourDdosRegionId> &DefenseStatus=UnDefense &InstanceId=<yourOnDemandInstanceId>