阿里云云安全acp认证知识点之如何预防黑洞

如何预防黑洞

只有当DDoS攻击的峰值带宽超过了资产的DDoS的防御能力时，才会导致资产发生黑洞。资产的DDoS防御能力越大，则其被DDoS攻击导致触发黑洞的可能就越低。因此，只有提升资产的DDoS防御能力（即黑洞阈值），才可以从根本上预防黑洞。

您可以通过以下方式提升资产的DDoS防御能力：

1、使用免费的DDoS防护服务：

阿里云公网IP资产默认具有不超过5 Gbps的免费DDoS防御能力（DDoS基础防护能力）。公网IP资产的DDoS基础防护能力与资产所在地域及规格有关，具体信息，请参见DDoS基础防护黑洞阈值。

在上述DDoS基础防护能力以外，阿里云支持基于安全信誉的动态黑洞阈值加成。您可以通过维护您的安全信誉（例如，减少资产暴露面等），获取更多免费加成的DDoS防御能力。

安全信誉联盟综合多方面因素考量来计算动态黑洞阈值，帮助信誉好的用户提升首次被DDoS攻击的防护量。动态黑洞阈值会随着信誉分变化而调整，不承诺固定的防护量。

2、部署商用版DDoS防御方案：

购买DDoS原生防护，获取全力防护的防御能力，且无需修改您的业务IP。

购买DDoS高防服务，获取最高可达Tbps级别的防御能力，需将流量切换至DDoS高防。DDoS高防服务明确承诺防护量和防御效果。

是否可以通过访问控制策略（ACL）屏蔽DDoS攻击及预防黑洞？

不可以。ACL只能在服务器边缘生效，无法阻挡从大量“僵尸”网络汇集的DDoS攻击流量，通过互联网一级级传递到云网络，并抵达服务器边缘。DDoS攻击流量抵达服务器边缘时，其规模已远超服务器ACL的处置能力。因此，要防御DDoS攻击，需要尽可能在上层网络边界部署防护策略。

对抗DDoS攻击的关键是通过足够大的网络带宽，并结合流量分析和过滤手段，将其中的攻击流量清洗掉。如果依赖将服务器带宽扩容到与攻击等规模的带宽，并部署清洗集群进行流量清洗，将会产生单一客户无法承担的带宽和服务器成本。如果不同客户分别在目的端建设DDoS清洗设施，则进一步加剧了攻防成本的不对等。

因此，经济有效的DDoS防御方式是由云服务供应商集中建设大容量的网络带宽并在上层网络部署清洗设施，以近源方式清洗DDoS攻击流量，同时通过SaaS服务的形式将DDoS防御服务提供给有需求的客户采购，使清洗资源可以复用，从而降低单客户防御DDoS的成本。

点击下方图片可购买阿里云云安全acp认证网络课程，个性化服务，为你的升职加薪之路助力！！！