阿里云云安全acp認(rèn)證知識點(diǎn)之如何預(yù)防黑洞

如何預(yù)防黑洞

只有當(dāng)DDoS攻擊的峰值帶寬超過了資產(chǎn)的DDoS的防御能力時(shí)，才會導(dǎo)致資產(chǎn)發(fā)生黑洞。資產(chǎn)的DDoS防御能力越大，則其被DDoS攻擊導(dǎo)致觸發(fā)黑洞的可能就越低。因此，只有提升資產(chǎn)的DDoS防御能力（即黑洞閾值），才可以從根本上預(yù)防黑洞。

您可以通過以下方式提升資產(chǎn)的DDoS防御能力：

1、使用免費(fèi)的DDoS防護(hù)服務(wù)：

阿里云公網(wǎng)IP資產(chǎn)默認(rèn)具有不超過5 Gbps的免費(fèi)DDoS防御能力（DDoS基礎(chǔ)防護(hù)能力）。公網(wǎng)IP資產(chǎn)的DDoS基礎(chǔ)防護(hù)能力與資產(chǎn)所在地域及規(guī)格有關(guān)，具體信息，請參見DDoS基礎(chǔ)防護(hù)黑洞閾值。

在上述DDoS基礎(chǔ)防護(hù)能力以外，阿里云支持基于安全信譽(yù)的動(dòng)態(tài)黑洞閾值加成。您可以通過維護(hù)您的安全信譽(yù)（例如，減少資產(chǎn)暴露面等），獲取更多免費(fèi)加成的DDoS防御能力。

安全信譽(yù)聯(lián)盟綜合多方面因素考量來計(jì)算動(dòng)態(tài)黑洞閾值，幫助信譽(yù)好的用戶提升首次被DDoS攻擊的防護(hù)量。動(dòng)態(tài)黑洞閾值會隨著信譽(yù)分變化而調(diào)整，不承諾固定的防護(hù)量。

2、部署商用版DDoS防御方案：

購買DDoS原生防護(hù)，獲取全力防護(hù)的防御能力，且無需修改您的業(yè)務(wù)IP。

購買DDoS高防服務(wù)，獲取最高可達(dá)Tbps級別的防御能力，需將流量切換至DDoS高防。DDoS高防服務(wù)明確承諾防護(hù)量和防御效果。

是否可以通過訪問控制策略（ACL）屏蔽DDoS攻擊及預(yù)防黑洞？

不可以。ACL只能在服務(wù)器邊緣生效，無法阻擋從大量“僵尸”網(wǎng)絡(luò)匯集的DDoS攻擊流量，通過互聯(lián)網(wǎng)一級級傳遞到云網(wǎng)絡(luò)，并抵達(dá)服務(wù)器邊緣。DDoS攻擊流量抵達(dá)服務(wù)器邊緣時(shí)，其規(guī)模已遠(yuǎn)超服務(wù)器ACL的處置能力。因此，要防御DDoS攻擊，需要盡可能在上層網(wǎng)絡(luò)邊界部署防護(hù)策略。

對抗DDoS攻擊的關(guān)鍵是通過足夠大的網(wǎng)絡(luò)帶寬，并結(jié)合流量分析和過濾手段，將其中的攻擊流量清洗掉。如果依賴將服務(wù)器帶寬擴(kuò)容到與攻擊等規(guī)模的帶寬，并部署清洗集群進(jìn)行流量清洗，將會產(chǎn)生單一客戶無法承擔(dān)的帶寬和服務(wù)器成本。如果不同客戶分別在目的端建設(shè)DDoS清洗設(shè)施，則進(jìn)一步加劇了攻防成本的不對等。

因此，經(jīng)濟(jì)有效的DDoS防御方式是由云服務(wù)供應(yīng)商集中建設(shè)大容量的網(wǎng)絡(luò)帶寬并在上層網(wǎng)絡(luò)部署清洗設(shè)施，以近源方式清洗DDoS攻擊流量，同時(shí)通過SaaS服務(wù)的形式將DDoS防御服務(wù)提供給有需求的客戶采購，使清洗資源可以復(fù)用，從而降低單客戶防御DDoS的成本。

點(diǎn)擊下方圖片可購買阿里云云安全acp認(rèn)證網(wǎng)絡(luò)課程，個(gè)性化服務(wù)，為你的升職加薪之路助力?。。?/span>