阿里云云安全acp認證知識點之如何預(yù)防黑洞

如何預(yù)防黑洞

只有當(dāng)DDoS攻擊的峰值帶寬超過了資產(chǎn)的DDoS的防御能力時，才會導(dǎo)致資產(chǎn)發(fā)生黑洞。資產(chǎn)的DDoS防御能力越大，則其被DDoS攻擊導(dǎo)致觸發(fā)黑洞的可能就越低。因此，只有提升資產(chǎn)的DDoS防御能力（即黑洞閾值），才可以從根本上預(yù)防黑洞。

您可以通過以下方式提升資產(chǎn)的DDoS防御能力：

1、使用免費的DDoS防護服務(wù)：

阿里云公網(wǎng)IP資產(chǎn)默認具有不超過5 Gbps的免費DDoS防御能力（DDoS基礎(chǔ)防護能力）。公網(wǎng)IP資產(chǎn)的DDoS基礎(chǔ)防護能力與資產(chǎn)所在地域及規(guī)格有關(guān)，具體信息，請參見DDoS基礎(chǔ)防護黑洞閾值。

在上述DDoS基礎(chǔ)防護能力以外，阿里云支持基于安全信譽的動態(tài)黑洞閾值加成。您可以通過維護您的安全信譽（例如，減少資產(chǎn)暴露面等），獲取更多免費加成的DDoS防御能力。

安全信譽聯(lián)盟綜合多方面因素考量來計算動態(tài)黑洞閾值，幫助信譽好的用戶提升首次被DDoS攻擊的防護量。動態(tài)黑洞閾值會隨著信譽分變化而調(diào)整，不承諾固定的防護量。

2、部署商用版DDoS防御方案：

購買DDoS原生防護，獲取全力防護的防御能力，且無需修改您的業(yè)務(wù)IP。

購買DDoS高防服務(wù)，獲取最高可達Tbps級別的防御能力，需將流量切換至DDoS高防。DDoS高防服務(wù)明確承諾防護量和防御效果。

是否可以通過訪問控制策略（ACL）屏蔽DDoS攻擊及預(yù)防黑洞？

不可以。ACL只能在服務(wù)器邊緣生效，無法阻擋從大量“僵尸”網(wǎng)絡(luò)匯集的DDoS攻擊流量，通過互聯(lián)網(wǎng)一級級傳遞到云網(wǎng)絡(luò)，并抵達服務(wù)器邊緣。DDoS攻擊流量抵達服務(wù)器邊緣時，其規(guī)模已遠超服務(wù)器ACL的處置能力。因此，要防御DDoS攻擊，需要盡可能在上層網(wǎng)絡(luò)邊界部署防護策略。

對抗DDoS攻擊的關(guān)鍵是通過足夠大的網(wǎng)絡(luò)帶寬，并結(jié)合流量分析和過濾手段，將其中的攻擊流量清洗掉。如果依賴將服務(wù)器帶寬擴容到與攻擊等規(guī)模的帶寬，并部署清洗集群進行流量清洗，將會產(chǎn)生單一客戶無法承擔(dān)的帶寬和服務(wù)器成本。如果不同客戶分別在目的端建設(shè)DDoS清洗設(shè)施，則進一步加劇了攻防成本的不對等。

因此，經(jīng)濟有效的DDoS防御方式是由云服務(wù)供應(yīng)商集中建設(shè)大容量的網(wǎng)絡(luò)帶寬并在上層網(wǎng)絡(luò)部署清洗設(shè)施，以近源方式清洗DDoS攻擊流量，同時通過SaaS服務(wù)的形式將DDoS防御服務(wù)提供給有需求的客戶采購，使清洗資源可以復(fù)用，從而降低單客戶防御DDoS的成本。

點擊下方圖片可購買阿里云云安全acp認證網(wǎng)絡(luò)課程，個性化服務(wù)，為你的升職加薪之路助力！??！