本文介绍了设置DDoS原生防护黑洞、清洗事件报警通知的方法。通过为DDoS原生防护开启事件报警,您能够及时获知DDoS原生防护实例上的DDoS攻击事件,并在发生故障时第一时间发现问题,缩短故障处理时间,以便尽快恢复业务。

报警方式说明

DDoS原生防护目前支持以下报警方式:
  • 消息中心报警

    消息中心是阿里云账号提供的消息通知服务,支持配置与阿里云服务相关的各类消息通知。您可以通过消息中心,开启云盾安全信息通知,使阿里云在您的资产上发生安全事件时,通过站内信、邮件、短信、语音等方式,向您指定的消息接收人发送报警通知。

  • 云监控报警
    云监控(CloudMonitor) 是一项针对阿里云资源和互联网应用进行监控的服务。云监控支持监控DDoS原生防护实例上的DDoS攻击事件,具体包括:
    • 黑洞事件:表示DDoS攻击流量的峰值带宽超过了服务器的DDoS防御能力(即黑洞阈值),导致服务器IP进入黑洞。
    • 清洗事件:表示DDoS攻击流量超过清洗阈值,触发流量清洗。
    您可以通过云监控的报警服务功能,为DDoS原生防护设置事件报警规则,使云监控在DDoS原生防护实例上检测发现DDoS攻击事件时,通过短信、邮件、钉钉等方式向您指定的报警联系人发送报警通知,以便您在第一时间知晓攻击事件并及时进行处理。
  • 日志分析服务报警

    DDoS原生防护企业版支持基于流量日志进行防护分析。您为企业版实例开启防护分析后,即可使DDoS原生防护采集防护对象的业务流量及防护日志,供您进行查询与分析。您可以在查询与分析日志的基础上,通过条件组合等方式对需要关注的业务指标自定义报警规则,使DDoS原生防护在业务指标异常时,及时向您发送报警。

    关于如何配置日志服务告警,请参见快速设置日志告警

下表从多个维度对比了不同报警方式,方便您根据需要进行选择。
对比项 消息中心报警 云监控报警 日志分析服务报警
支持的原生防护实例版本 企业版和基础版(即免费提供的DDoS基础防护) 仅企业版 仅企业版,且必须已开启防护分析功能
使用场景 通用告警,仅需要知晓被攻击 通用告警,通过简单过滤条件,过滤需要通知的重点事件 企业级告警,支持自定义组合条件、报警方式、通知方式、通知内容,并基于过滤条件生成统计报表
配置复杂度 简易 适中 复杂
灵活性

支持在事件开始、结束时告警

目前支持在事件开始、结束时告警

支持在事件开始、结束时告警,按流量阈值告警,多种条件组合告警

通知方式
  • 站内信
  • 短信
  • 邮件
  • 语音(仅在IP进入黑洞时支持)
  • 短信
  • 邮件
  • 语音
  • Webhook
  • 短信
  • 邮件
  • 语音
  • Webhook
可靠与实时性 可靠性极高,告警时差在5分钟以内 可靠性较高,告警时差为5~10分钟 可靠性较高,告警时差为5~10分钟

配置云监控报警(仅企业版实例)

如果您已购买DDoS原生防护企业版实例,请参照以下步骤,通过云监控配置DDoS攻击事件报警;如果您使用DDoS原生防护基础版,由于基础版暂不支持配置云监控告警,推荐您配置消息中心报警

  1. 登录云监控控制台
  2. 可选:创建报警联系人。如果已有联系人,请跳过此步骤。
    1. 在左侧导航栏,选择报警服务 > 报警联系人
    2. 报警联系人页签,单击新建联系人
    3. 设置报警联系人面板,填写联系人信息并完成滑块验证,单击确认
  3. 可选:创建报警联系组。如果已有联系人组,请跳过此步骤。
    说明 报警通知的接收对象必须是联系人组,您可以在联系人组中添加一个或多个联系人。
    1. 在左侧导航栏,选择报警服务 > 报警联系人
    2. 报警联系组页签,单击新建联系组
    3. 新建联系组面板,设置组名,从已有联系人中选择并添加联系人到当前组,单击确认
  4. 在左侧导航栏,选择报警服务 > 报警规则
  5. 单击事件报警页签,然后单击创建事件报警
  6. 创建/修改事件报警面板,完成以下事件报警配置,并单击确定
    创建时间报警(中国站)
    类型 配置项 说明
    基本信息 报警规则名称 为报警规则命名。
    事件报警规则 事件类型 选择系统事件
    产品类型 选择DDoS原生防护,表示DDoS原生防护企业版实例。
    事件类型 要通知的事件类型,可选项:DDoS攻击
    事件等级 要通知的事件等级。可选项:严重警告信息
    注意 所有DDoS告警事件均为严重等级,该参数必须包含严重
    事件名称 要通知的事件。可选项:黑洞清洗
    资源范围 选择全部资源
    报警方式 报警通知 选中报警通知,并设置联系人组通知方式
    • 联系人组:选择一个已有联系人组。
    • 通知方式:选择Warning(短息+邮箱+钉钉机器人)或者Info(邮箱+钉钉机器人)方式。

    单击添加操作,可以设置多个联系人组和通知方式。

    消息服务队列 无需设置。
    函数计算 无需设置。
    URL回调 无需设置。
    日志服务 无需设置。
成功创建报警规则后,您可以在规则列表中查看新建的规则。新建的报警规则默认启用。当DDoS原生防护企业版实例上发生DDoS攻击事件(黑洞、清洗)时,阿里云将向报警通知联系人组中设置的联系人发送报警通知。事件报警规则

配置消息中心报警(基础版、企业版实例)

参照以下步骤,通过消息中心配置DDoS攻击事件报警。

  1. 登录消息中心控制台
  2. 在左侧导航栏,选择消息接收管理 > 基本接收管理
  3. 基本接收管理页面,选中云盾安全信息通知,并根据需要选择通知方式。云盾安全消息通知【中国站】
    支持以下通知方式:
    • 站内信:表示将相关通知发送到阿里云控制台顶部菜单栏右上角的站内消息(单击消息图标可以查看站内消息)。
    • 邮箱:表示以邮件方式,将相关通知发送到您设置的消息接收人的邮箱地址。
    • 短信:表示以短信方式,将相关通知发送到您设置的消息接收人的手机号码。
  4. 单击添加消息接收人
  5. 修改消息接收人对话框,设置消息接收人及其联系方式,并单击保存
  6. 开启语音报警通知。
    1. 在左侧导航栏,选择消息接收管理 > 语音接收管理
    2. 语音接收管理页面,为DDoS黑洞通知开启语音消息通知。DDoS黑洞通知
    3. 单击DDoS黑洞通知操作列下的修改
    4. 修改消息接收人对话框,修改语音消息的消息接收人,并单击保存

完成消息接收配置后,当您的DDoS原生防护实例上发生DDoS攻击事件时,阿里云会向您设置的消息接收人发送相关通知。