开发者社区> 问答> 正文

给阿里云黑洞的一点建议。

又看到有用户进黑洞了。
在此有点个人想法,不知是否妥当。还请管理人员给予反馈。
本人做网络17年了,从未遇到过大规模流量攻击,实在惭愧。
估计是没什么太招摇的项目吧,个人签名中2个是TMALL,一个是网站。
扯远了,虽然没经历过,但是可以想像被拉进黑洞的无奈。


个人建议:
阿里云能不能先不要直接把超量ECS拉进黑洞清洗。
建议阿里云提供一个配置,让用户自己添加若干个“例外端口”,在遇到流量攻击超标时,封禁例外端口外的所有端口(80端口不能例外)。
如果还不能有效阻断攻击,再拉进黑洞清洗也不迟,这样至少能让ECS其他一些业务的正常工作,也便于用户管理ECS。

展开
收起
banian 2014-05-26 22:44:52 25272 0
11 条回答
写回答
取消 提交回答
  • 学习
    2014-05-29 03:49:22
    赞同 展开评论 打赏
  • Re给阿里云黑洞的一点建议。
    嘛是黑洞 还有 宽带不是独享吗 自己被攻击 不会影响别人吧
    2014-05-28 22:52:36
    赞同 展开评论 打赏
  • 回 19楼(sonla) 的帖子
    嘿嘿 说得好,可以防御些小骚扰, 如果对方太恨你,那就没办法了。
    有小门槛也不错了。

    -------------------------

    回 22楼(banian) 的帖子
    高富帅~
    2014-05-28 20:59:31
    赞同 展开评论 打赏
  • Re给阿里云黑洞的一点建议。
    我现在觉得是 进黑洞的时间太长了 2.5小时 一天能有几个2.5小时? 有些攻击者,他看到你网站打不开了,就会停止攻击。所以,2.5小时黑洞时间太长, 建议黑洞时间30分钟-1小时,如果解封后还有攻击,那可以继续黑洞30分钟-1小时。
    2014-05-28 18:39:35
    赞同 展开评论 打赏
  • 引用第1楼dns2008于2014-05-26 22:54发表的  :
    我是这样认为的,也不知道对不对,按楼主说的,那直接封来自80端口的流量得了,用户还是可以远程上去?但实际上应该不行,进黑洞就应该是访问这个IP的所有流量全部断开,包括3389,22远程。

    进黑洞其实就是空路由了,如果按你说的只封一些端口,还允许用户例外某些端口,那实际上流量还是存在的, 重要的是阿里云要用自身的流量去帮你挡掉恶意的攻击流量(或多或少会影响到其他用户的网络稳定),事实上阿里云也是这样做的,但只为你防5G,超出就进黑洞,因为 阿里云不愿意一直为一个客户浪费带宽资源,甚至影响到其他用户的稳定。如果进空路由就不一样了,等于把流量引入黑洞了(清洗设备),也不会影响其他用户,更不会占用阿里云的带宽,这才是重要的原因吧。



    回复很专业。
    2014-05-27 10:29:29
    赞同 展开评论 打赏
  • 说好的无视攻击呢

    楼主天猫店不错
    2014-05-27 10:19:53
    赞同 展开评论 打赏
  • 楼主建议不错,给楼主加分了。
    2014-05-27 08:27:53
    赞同 展开评论 打赏
  • Re给阿里云黑洞的一点建议。
    其实lz的意思就是希望在攻击的时候我们能及时备份数据转移

    进了黑洞就真成瞎子了
    2014-05-26 23:56:36
    赞同 展开评论 打赏
  • 回 2楼(banian) 的帖子
      
    我的理解和二楼一样  ddos 攻击一点取巧的办法没有 只能用带宽死扛
    或者联系上级的运营商 在主干网拦截
    但是这个一般很难做到   电信 联通这些运营商一般也不会处理这个事情
    只要很大的流量到达阿里云机房   肯定会影响机房网络
    这个时候  要么你使劲的增加带宽  和对方死扛   要么就直接舍弃对这个ip的所有流量 也就是进入黑洞了
    这个时候 再清洗已经没什么意义了   大部分的流量都是攻击流量  对方的目的就是把你的带宽都侵占
    我个人觉得可以这样    就是数据同步在多个机房来轮询  前边尽量用cdn  尽量隐藏后端的ip
      一个后端ip被攻击了  切换到另外的服务器
    或者阿里云的话 可以后端rds  前段多配置几台服务器  加上cdn 最后在阿里云北京 杭州 青岛机房都有冗余   一个点被攻击了 赶紧切换
    或者利用阿里云的按量付费  攻击的时候临时开启多个服务器 攻击过去以后 再释放
    总之一旦被有组织的攻击  很麻烦的
    我最多被攻击过一次7g流量 也是云盾扛不住了 直接进入黑洞了
    还好是凌晨三点 没怎么影响用户  要是白天遇见 我估计也是束手无策了
    2014-05-26 23:15:26
    赞同 展开评论 打赏
  • 引用第1楼dns2008于2014-05-26 22:54发表的  :
    我是这样认为的,也不知道对不对,按楼主说的,那直接封来自80端口的流量得了,用户还是可以远程上去?但实际上应该不行,进黑洞就应该是访问这个IP的所有流量全部断开,包括3389,22远程。

    进黑洞其实就是空路由了,如果按你说的只封一些端口,还允许用户例外某些端口,那实际上流量还是存在的,重要的是阿里云要用自身的流量去帮你挡(或多或小会影响到其他用户的网络稳定),如果进空路由就不一样了,等于把流量引入黑洞了(清洗设备),也不会影响其他用户,更不会占用阿里云的带宽,这才是重要的。

    我明白你的意思,所以需要用户自定义添加“例外端口” 我是从来不用3389和22端口的。 我肯定会修改,数据库端口都改,从不用默认。至少可以大大降低无聊的常规端口扫描。
    我的意思也并不是说封禁了其他端口就这样算了。 是在封禁其他端口后,几秒攻击流量依然超标的话,则进黑洞。 这几秒不会影响到整体系统的。

    -------------------------

    引用第3楼dns2008于2014-05-26 23:06发表的  :

    嗯,我也明白你的意思,我上面说的3389和22只是表示一下远程端口,事实上略懂点的人肯定都是会改掉。


    你说的“ 在封禁其他端口后,几秒攻击流量依然超标的话,则进黑洞”,我也明白你的意思,可能是因为你没被攻击过,不是很清楚流量攻击的方式,我之前一个客户的IP被攻击,机房先是拔线了,原理和你说的封掉某些端口是一样的,只是拔线等于所有端口也无网络了,但攻击流量仍然存在,最后把机房带宽耗尽,电信技术在启用了备份带宽后,封掉了这个IP并做了空路由指向才恢复正常。所以我才会说,封掉一些端口根本是无法挡住流量攻击的,当然,阿里也会帮你防5G,在这范围内不会受影响,一但超出才会进黑洞的。

    常规的流量攻击还是懂得,也被攻击过,5G流量只能防御一些入门级攻击,
    我主要是做网络开发,不搞网络安全,快20年的工作经历,即便不会也学到到不少了。先后任职于UT斯达康做通信,新浪做即时通讯,微软做企业OA。
    常规攻击无非和用户正常访问基本没有区别,DDOS、CC攻击一般走的80端口,TCP、UDP、ICMP等协议。
    阿里云防御5G其实很并不会对系统造成影响,毕竟不是长时间的。 常规防御都是在10G以上的。
    如果能几秒内阻断攻击,何乐不为,并没额外损失。

    -------------------------

    回 4楼(小猪猪) 的帖子
    如果阻断有效的话,不存在大规模消耗带宽了。 而且只是短时间几秒常识阻断,攻击依然不减再进黑洞。

    -------------------------

    回 3楼(dns2008) 的帖子
    你的举例也是一种情况,封端口并不是很好的一个办法,有些情况和拔网线一样,还是有用的。
    若能有效,就可以不用拉进黑洞,减少客户损失,无效就进黑洞。  

    -------------------------

    Re:Re:回 3楼(dns2008) 的帖子
    引用第8楼dns2008于2014-05-26 23:52发表的 Re:回 3楼(dns2008) 的帖子 :

    可是这个用户的的案例: http://bbs.aliyun.com/read/159389.html?spm=5176.7189909.0.0.l54xyS,都隔几个小时了,仍然有攻击,再次进黑洞,更不要说你说的几秒间隔了,我不是质疑你的资历,并且也没有这个意思,你是开发,我是技术,咱就是技术讨论一下,嘿嘿~~~

    你还是没明白我的意思,我不是说几秒间隔,我的意思是,封端口有效的话,就不想要进黑洞,在封端口无效后,再进黑洞,这就不是间隔的问题。这个用户的例子是进黑洞后,出来又是全部端口开放了。
    有些攻击封端口的确是无用的,需要过滤ICMP。有些封端口是有用的,那么我们可以留出几秒的时间来判断下,如果无效,则选择常规的路由过滤方法。 我也没怀疑你技术问题。这只是讨论。 也有可能我说的不对,每个人的能力总是有限的,我虽然摸爬了这么多年,越到后面也越觉得自己要学的太多。

    -------------------------

    不讨论了,我想假设我这个建议很合理的话,阿里云也未必会去做。
    好比是磁盘问题,阿里云在用户反应强烈的情况下都没去做,或者说不打算马上做。

    睡觉去了。  

    -------------------------

    引用第15楼zhendingfu于2014-05-27 10:19发表的  :
    说好的无视攻击呢

    楼主天猫店不错

    谢谢
    http://baicaowei.tmall.com/p/rd955790.htm?spm=a1z10.1.w5003-5769205826.4.ClV8Gs&scene=taobao_shop
    这个上次搞的活动,亏了200多万,现在坚果类淡季了。
    2014-05-26 22:57:48
    赞同 展开评论 打赏
  • 我是这样认为的,也不知道对不对,按楼主说的,那直接封来自80端口的流量得了,用户还是可以远程上去?但实际上应该不行,进黑洞就应该是访问这个IP的所有流量全部断开,包括3389,22远程。

    进黑洞其实就是空路由了,如果按你说的只封一些端口,还允许用户例外某些端口,那实际上流量还是存在的, 重要的是阿里云要用自身的流量去帮你挡掉恶意的攻击流量(或多或少会影响到其他用户的网络稳定),事实上阿里云也是这样做的,但只为你防5G,超出就进黑洞,因为 阿里云不愿意一直为一个客户浪费带宽资源,甚至影响到其他用户的稳定。如果进空路由就不一样了,等于把流量引入黑洞了(清洗设备),也不会影响其他用户,更不会占用阿里云的带宽,这才是重要的原因吧。

    -------------------------

    引用第2楼banian于2014-05-26 22:57发表的  :

    我明白你的意思,所以需要用户自定义添加“例外端口” 我是从来不用3389和22端口的。 我肯定会修改,数据库端口都改,从不用默认。至少可以大大降低无聊的常规端口扫描。
    我的意思也并不是说封禁了其他端口就这样算了。 是在封禁其他端口后,几秒攻击流量依然超标的话,则进黑洞。 这几秒不会影响到整体系统的。


    嗯,我也明白你的意思,我上面说的3389和22只是表示一下远程端口,事实上略懂点的人肯定都是会改掉。


    你说的“ 在封禁其他端口后,几秒攻击流量依然超标的话,则进黑洞”,我也明白你的意思,可能是因为你没被攻击过,不是很清楚流量攻击的方式,我之前一个客户的IP被攻击,机房先是拔线了,原理和你说的封掉某些端口是一样的,只是拔线等于所有端口也无网络了,但攻击流量仍然存在,最后把机房带宽耗尽,电信技术在启用了备份带宽后,封掉了这个IP并做了空路由指向才恢复正常。所以我才会说,封掉一些端口根本是无法挡住流量攻击的,当然,阿里也会帮你防5G,在这范围内不会受影响,一但超出才会进黑洞的。

    -------------------------

    Re:回 3楼(dns2008) 的帖子
    引用第7楼banian于2014-05-26 23:42发表的 回 3楼(dns2008) 的帖子 :
    你的举例也是一种情况,封端口并不是很好的一个办法,有些情况和拔网线一样,还是有用的。
    若能有效,就可以不用拉进黑洞,减少客户损失,无效就进黑洞。  

    可是这个用户的的案例: http://bbs.aliyun.com/read/159389.html?spm=5176.7189909.0.0.l54xyS,都隔几个小时了,仍然有攻击,再次进黑洞,更不要说你说的几秒间隔了,我不是质疑你的资历,并且也没有这个意思,你是开发,我是技术,咱就是技术讨论一下,嘿嘿~~~

    -------------------------

    现在明白你的意思了,经我手处理或是参与处理过最高大于60G的流量攻击,阿里云的舒云在微博上曾说过阿里云在今年最大的攻击量是74G,但就目前我经手的大于5G的流量攻击案例来看,没有一个是大于5G流量封端口能恢复正常流量的,也许是有这种情况的存在,但我还真的没有遇到过这么“客气又幸运”的攻击……所以我才觉得都大于5G了,就算再做你说的这种判断,恢复正常的机率也有点低,当然,你的初衷是好的,希望多个判断减小进黑洞的情况,至于是否可行,还是请阿里云的人员来总结一下看看~

    -------------------------

    哇。。。。。阿里人员回复了,3Q

    2014-05-26 22:54:11
    赞同 展开评论 打赏
滑动查看更多
问答分类:
问答地址:
问答排行榜
最热
最新

相关电子书

更多
低代码开发师(初级)实战教程 立即下载
冬季实战营第三期:MySQL数据库进阶实战 立即下载
阿里巴巴DevOps 最佳实践手册 立即下载