本文介紹云數據庫 OceanBase 支持的 DDoS 防護能力說明。
背景信息
當用戶使用外網連接和訪問 OceanBase 數據庫的時候,因為開通了公網,可能會遭受 DDoS 攻擊。OceanBase 使用的網絡服務商提供了流量清洗和黑洞處理功能,這些功能完全由系統自動觸發和執行:當 OceanBase 的安全監控系統檢測到數據庫實例可能正在遭受 DDoS 攻擊時,會首先啟用流量清洗機制,過濾掉惡意流量,如果流量清洗機制無法有效抵御攻擊,或者攻擊強度達到了預設的黑洞閾值,系統將自動啟動黑洞處理。
建議用戶通過內網訪問 OceanBase 數據庫實例,可以使 OceanBase 數據庫實例免受 DDoS 攻擊的風險。如果必須開啟公網訪問,建議配置訪問控制列表,可減少被攻擊的可能。
流量清洗
當來自互聯網的攻擊流量較大的時候,將會觸發 DDos 防護功能自動對攻擊流量進行清洗。
滿足以下任一條件即觸發流量清洗:
公網帶寬達到 6144M BPS(Bits Per Second)
每秒發包達到 發包 1536K PPS(Package Per Second)
最大連接數(Max Connection):定義了一個 CLB 實例能夠承載的最大連接數量。當實例上的連接超過規格定義的最大連接數時,新建連接請求將被丟棄。
每秒新建連接數 CPS(Connection Per Second):定義了新建連接的速率。當新建連接的速率超過規格定義的每秒新建連接數時,新建連接請求將被丟棄。
每秒查詢數 QPS(Query Per Second):是七層監聽特有的概念,指的是每秒可以完成的 HTTP(S) 的查詢(請求)的數量。當請求速率超過規格所定義的每秒查詢數時,新建連接請求將被丟棄。
黑洞處置說明
當來自互聯網的攻擊流量非常大時,為保護整個集群的安全,流量將會被黑洞處理,即所有入流量全部被丟棄。
黑洞觸發條件如下:
BPS(Bits Per Second)達到 2 Gbps。
流量清洗無效。
黑洞結束條件如下:
默認黑洞自動解除時間是 2.5 小時。實際黑洞自動解除時間根據資產被攻擊頻率有差異,從 30 分鐘到 24 小時不等。
黑洞自動解除時間主要受以下因素影響:
攻擊是否持續。如果攻擊一直持續,黑洞自動解除時間會延長,黑洞自動解除時間從延長時刻開始重新計算。
攻擊是否頻繁。如果某用戶是首次被攻擊,黑洞自動解除時間會自動縮短;反之,頻繁被攻擊的用戶被持續攻擊的概率較大,黑洞自動解除時間會延長。