已經添加到DDoS原生防護進行防護的公網IP資產遭受瞬時超大流量DDoS攻擊時仍可能被黑洞,需要對被黑洞的IP快速執行黑洞解除操作恢復業務,保障業務穩定性。針對該場景,DDoS原生防護提供了黑洞自動化響應和快速解除的解決方案。
前提條件
黑洞自動化響應和快速解除解決方案需要調用DDoS原生防護的API接口,目前該解決方案僅支持DDoS原生防護實例。在部署黑洞自動解除方案前,請確認您的業務IP已添加至DDoS原生防護實例進行防護。更多信息,請參見防護對象。
背景信息
DDoS原生防護提供黑洞解除功能,您可以在DDoS原生防護控制臺手動解除黑洞,具體操作,請參見解除黑洞。由于手動解除黑洞存在延遲和不確定性,如果您的業務對于穩定性和連續性有較高的要求,您可以通過以下方案實現黑洞自動化響應和快速解除:
通過云監控的事件告警功能監控DDoS原生防護實例的黑洞事件。
說明只有已添加為DDoS原生防護實例的防護對象IP觸發黑洞策略時,才會觸發云監控的黑洞事件報警的消息推送。對于不在DDoS原生防護實例的防護對象列表中的IP觸發的黑洞事件將不會被推送。
通過自定義消息的消費機制,調用DDoS原生防護的黑洞解除API接口(DeleteBlackhole - 為被防護IP解除黑洞狀態)自動解除被黑洞的業務IP。
通過類似方法,您還可以實現在DDoS攻擊事件發生時自動調用云解析的API接口將相關域名的DNS解析切換至DDoS高防實例等。
操作步驟
登錄云監控控制臺。
在左側導航欄,選擇。
在事件監控頁簽,單擊另存為報警,在創建/修改事件報警面板為DDoS原生防護創建黑洞事件報警規則。
產品類型選擇DDoS原生防護,事件類型選擇DDoS攻擊,事件等級選擇嚴重,事件名稱選擇黑洞,并選擇事件報警消息的推送渠道。其他配置項的詳細說明,請參見創建系統事件報警規則。
事件報警創建完成后,當DDoS原生防護實例中已防護的IP被黑洞時,云監控將自動報警并將以下消息實時推送至您所選擇的消費渠道。 消息示例:
{ "action": "add", //事件狀態。add表示事件開始,del表示事件結束。 "bps": 0, //觸發該事件的流量大小,單位:Mbps。 "pps": 0, //觸發該事件的包速率,單位:pps。 "instanceId": "ddosbgp-cn-78v17******", //DDoS原生防護實例ID。 "ip": "47.*.*.*", //發生事件的IP。 "regionId": "cn-hangzhou", //DDoS原生防護實例所在的地域。 "time": 1564104493000, //觸發事件的時間,格式為毫秒時間戳。 "type": "blackhole" //事件類型。defense表示清洗事件,blackhole表示黑洞事件。 }定義消息消費機制,對事件消息進行處理并結合DeleteBlackhole - 為被防護IP解除黑洞狀態接口實現黑洞自動解除。