添加至DDoS防护包的防护列表的业务IP遭受瞬时超大流量DDoS攻击时仍可能被黑洞,需要对被黑洞的IP快速执行黑洞解除操作恢复业务,保障业务稳定性。针对这一场景,企业版DDoS防护包提供黑洞自动化响应和快速解除的解决方案。

前提条件

DDoS防护包黑洞自动化响应和快速解除解决方案需要调用DDoS防护包的API接口,因此该解决方案仅支持企业版DDoS防护包实例。在部署黑洞自动解除方案前,确认您的业务IP已添加至企业版DDoS防护包实例进行防护

背景信息

DDoS防护包提供黑洞解除功能,而手动解除黑洞可能存在延迟和不确定性。如果您的业务对于稳定性和连续性有较高的要求,您可以通过以下方案实现黑洞自动化响应和快速解除:
  1. 通过云监控的事件告警功能监控DDoS防护包实例的黑洞事件。
  2. 通过自定义消息的消费机制,调用DDoS防护包的黑洞解除API接口(DeleteBlackhole)自动解除被黑洞的业务IP。
说明 只有已添加为DDoS防护包实例的防护对象IP触发黑洞策略时,才会触发云监控的黑洞事件报警的消息推送。对于不在DDoS防护包实例的防护对象列表中的IP触发的黑洞事件将不会被推送。

由于黑洞解除涉及阿里云后台系统的风控管理策略,解除黑洞操作可能失败(解除失败时不会扣减您的剩余黑洞解除次数)。如果出现未能成功解除的情况,请您耐心等待一段时间后再次尝试。

强烈建议您在执行黑洞解除操作前查看平台自动解封时间,如果您可以接受该自动解封时间,请您耐心等待。

通过类似的方法,您还可以实现当DDoS攻击事件发生时自动调用云解析的API接口将相关域名的DNS解析切换至DDoS高防实例等。

操作步骤

  1. 登录云监控控制台,定位到事件监控 > 报警规则页面。
  2. 单击创建事件报警,为DDoS防护包创建黑洞事件报警。


  3. 在所创建的事件报警中,根据您想要使用的消息消费机制,选择事件报警消息的推送渠道,单击确定
    云监控支持多种渠道供您实现事件消息的消费:
    • 消息服务队列
    • 函数计算
    • URL回调
    • 日志服务


    事件报警创建完成后,当DDoS防护包实例中已防护的IP被黑洞时,云监控将自动报警并将以下消息实时推送至您所选择的消费渠道。

    消息示例

    {    
        "action": "add", //动作。其中,add表示事件开始;del表示事件结束。    
        "bps": 0, //触发事件的流量bps,单位:Mbps。    
        "pps": 0, //触发事件的包速率,单位:pps。    
        "instanceId": "ddosbgp-cn-78v17******", //DDoS防护包实例ID。    
        "ip": "47.*.*.*", //发生事件的IP。    
        "regionId": "cn-hangzhou", //DDoS防护包实例所在的地域。    
        "time": 1564104493000, //触发事件的时间,时间格式为毫秒时间戳。    
        "type": "blackhole"  //事件类型。其中,defense表示清洗事件;blackhole表示黑洞事件。
    }
  4. 定义消息消费机制,对事件消息进行处理并结合DeleteBlackhole API接口实现黑洞自动解除。