【最佳实践】用户Bucket如何防御DDOS攻击?

最新推荐文章于 2024-09-11 11:53:23 发布
最新推荐文章于 2024-09-11 11:53:23 发布
阅读量252 收藏
点赞数
文章标签: 运维
原文链接:https://yq.aliyun.com/articles/668005
版权

第一章:OSS沙箱说明

  阿里云OSS不承担网络攻击的防护义务。用户账号下的Bucket遭受攻击后,OSS会自动将用户的Bucket切入到沙箱。沙箱中的Bucket仍然可以正常响应请求,但是用户有可能明显感受到该Bucket服务质量的下降。

:沙箱介绍:沙箱介绍

第二章:借助于高防IP,OSS抵御DDOS攻击

2.1 方案1:绑定域名+高防IP方式防御DDOS攻击

如果您的业务有可能遭受DDOS攻击,可以按照如下方式进行配置。
image

  1. 绑定OSS自定义域名: 配置参考:[绑定自定义域名];
  2. 购买高防IP,并将高防IP绑定到第一步设置的自定义域名。配置参考:[设置高防IP];
    注意:请根据业务实际情况,购买对应的弹性防护带宽;

image

   - “防护网站”:填写用户自定义的域名;
   - “协议类型”:根据实际访问请求方式,合理配置;
   - “源站IP/域名”:此处填写OSS的默认域名;

2.2 方案2:ECS反向代理+高防IP方式抵御DDOS攻击

因安全因素,Bucket默认域名解析的IP是会发生随机变化。对于期望使用固定IP方式访问的客户来说。推荐使用通过ECS搭建反向代理方式进行访问。因此,ECS上的EIP可以绑定高防IP以抵御DDOS攻击和CC攻击。具体可以按照如下方式进行配置:
image

  1. ECS反向代理方式访问OSS:详细配置可参考:[OSS反向代理访问方式配置];

    建议ECS部署在与OSS同一个region内;
  2. 将ECS绑定高防IP:[ECS绑定高防IP];
  3. ECS上的EIP绑定自定义域名;

image

1.“防护域名”:此处填写用户自定义的域名;
2.“协议类型”:此处根据实际需求,选择对应的访问方式。OSS默认提供的是Restful API访问方式;
3.“源站IP/域名”:此处填写ECS上的公网IP;

2.3方案优劣势分析

方案名称方案1:绑定域名+高防IP方式方案2:ECS反向代理+高防IP方式
优势配置简单--支持控制台图形化设置1.解决方案具有通用性--能够为已进入沙箱和未进入沙箱的Bucket提供防护能力;
2.适合于通过固定IP访问OSS的场景;
劣势应用场景有局限性--只能针对未进入沙箱的Bucket提供防护1.配置复杂。需要用户自定搭建nginx反向代理;
2.方案成本高--需要额外购买ECS搭建反向代理;

第三章:已进入沙箱的Bucket如何进行防护?

场景1. 若用户账号下的Bucket曾多次遭受攻击。那么,该用户后续新建的Bucket默认也会进入沙箱。此时,针对新建Bucket的安全访问措施如下:

 1.购买DDOS防护产品;
 2.通过工单系统提交“新建Bucket默认不进入沙箱申请”;
 3.申请通过后,按照“2.1章节 绑定域名+高防IP方式防御DDOS攻击”;

场景2. 针对已经进入沙箱的Bucket。阿里云不提供迁出服务。因此,针对已经进入沙箱的Bucket,建议按照方式2配置安全防护措施;

【注意】:建议在Bucket所在的Region搭建ECS,并且proxy_pass 填写bucket内网域名地址;
weixin_34418883
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
阿里云ecs遭到频繁的ddos攻击始末
weixin_30402343的博客
06-14 401
苦逼熬夜近俩月的时间搞出来个小东东,还指望它能给自己捞点~ 结果刚上线没多久就遭到竞争对手疯狂的ddos攻击。 可怜的阿里云默认只能抗住5G的攻击,超出的直接黑洞,也是很无奈,然而能免费抗5G这在国内已经没有几家可以做到了。 一旦被黑洞就面临30分钟-2.5小时的无法访问,这样对网站的用户体验来说是很糟糕的。 于是乎不停的寻找破解之法,当然以牙还牙,给对方一个警告还是要有的。 当然对方也是弱鸡...
OSS防止恶意被刷
xiangzaixiansheng的博客
10-09 7257
OSS和CDN都是一些常用的通过流量计费的,如果被恶意刷新将会造成一些不必要的财产损失。本文主要记录一些关于阿里云的oss的防刷措施。首先我们分两种情况来排查:1、恶意referer访问2、恶意ip库脚本刷新。
4EVERLAND Bucket更新 - 6 个可操作的新功能,可提供安全可靠的增强用户体验
weixin_48203940的博客
05-18 178
4EVERLAND 社区, 众所周知,我们一直在寻找改进产品的方法,Bucket 也不例外。我们刚刚对 Bucket 进行了一些令人兴奋的改进,希望与您分享⚡️ 。 与往常一样,用户输入驱动着我们发布的功能。我们永远感谢您对 Bucket 的支持和反馈。我们一直在倾听并努力为您带来一些很棒的新体验。 � 通过Bucket更新的新功能,您将享受更加用户友好的体验。我们为您提供了一种比之前更智能的上传操作方法,快让我们我们深入了解新功能。 Bucket 有什么很酷的更新吗? 答案...
DDoS 攻击是什么? 如何防止DDos攻击
一行真人
05-13 636
DDoS 攻击是什么? 如何防止DDos攻击? 关于DDOS攻击 分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。 通常,攻击者将攻击程序通过代理程序安装在网络上的各个“肉鸡”上,代理程序收到指令时就发动攻击。 github生气收集4510 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-kCcQkCwg-
“BlastDoor”沙箱安全系统,以防止利用信息应用进行的攻击
htt325523的博客
03-14 132
1月29日消息 iOS 14 为 iPhone 和 iPad 增加了一个新的 “BlastDoor”沙箱安全系统,以防止利用信息应用进行的攻击。苹果并没有分享具体信息,但谷歌 Project Zero 的安全研究员 Samuel Groß 今天对其进行了解释。 Groß 将 BlastDoor 描述为一个严密的沙箱服务,负责解析 iMessages 中所有不受信任的数据。沙箱是一种与操作系统分开执行代码的安全服务,而这个服务是在信息应用中运行的。 BlastDoor 会在安全的环境中查看所有传入的消息,并
车联网上云最佳实践(七)
weixin_33739523的博客
08-31 587
使用阿里云带来的价值1、 节约成本自建机房往往需要投入的大量人力成本,时间成本,资金成本。而且传统IDC不仅成本很高,而且网络还不稳定,数据存储安全性低,需要投入大量运维人员维护。如果随着用户量不断增加,带宽和服务器存储都需要扩容,严重制约了产品迭代速度。阿里云不但帮助企业减少IT基础设施的投入,还提升了业务部署效率。从前面的云数据库RDS和自建数...
云计算网络安全:威胁、防御最佳实践指南
[云计算网络安全:威胁、防御最佳实践指南](https://www.cdnetworks.com/wp-content/uploads/2018/12/New-Cyber-Security-Challenges-Organizations-Face-in-2017.jpg) # 1. 云计算网络安全概述 云计算网络安全是...
bucket4j-基于令牌桶算法的Java速率限制库
08-07
6. **应用场景**:Bucket4j适用于各种场景,如API接口的调用限制、防止DDoS攻击、控制后台任务的执行频率、保护数据库连接池等。通过有效的限流,可以提升系统的整体可用性和稳定性。 总之,Bucket4j是一个强大的...
云安全技术及最佳实践
随着云计算的普及和应用范围的增加,云安全显得尤为重要,因为用户的数据和业务都存储在云上,一旦出现安全漏洞可能会导致重大损失。 ## 1.2 云安全与传统安全的区别 传统安全主要是防火墙、入侵检测系统等网络安全...
RESTful API设计指南及最佳实践
# 1. 理解RESTful API 在本章中,我们将深入探讨RESTful API的概念及其特点和优势。 ## 1.1 什么是RESTful API REST(Representational State Transfer)即表现层状态转移,是一种软件架构风格,用于构建分布式...
RESTful API设计与实现最佳实践
# 1. RESTful API的概念和原则 ### 1.1 什么是RESTful API RESTful API(Representational State Transfer:表征状态转移)是一种设计风格,用于建立可伸缩的网络服务。...RESTful API的核心思想是将系统中的资源抽象...
阿里云 OSS 如何设置防盗链, 上个月图床流量耗费50G+,请求次数10W+,什么鬼?
weixin_34090562的博客
05-18 2704
欢迎关注个人微信公众号: 小哈学Java, 优质文章第一时间获取!! 个人网站: www.exception.site/essay/how-t… 目录 一、背景 二、背后有啥猫腻 三、什么是盗链? 四、为什么会被盗链? 五、OSS 设置防盗链 六、验证一下效果 七、另外一些应对手段 一、背景 小哈前天陆续接到三个电话,但都因为忙于工作、下雨天等各种因素导致没接上,电话均来自杭州,心理一想,估计...
如果云服务器遭受到DDOS攻击该怎么防御?
热门推荐
m0_55512894的博客
02-24 1万+
相信很多大型网站遭遇到DDoS攻击,导致网站无法访问而又难以解决,包括小编的个人博客也曾接受过DDOS的“洗礼”,对此感同身受。所以,本文我们一起来了解下DDOS攻击并分享一些在一定程度范围内的应对方案。 关于DDOS攻击 分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。 通常,攻击...
基于“BucketShock”漏洞的远程管理工具
weixin_47208161的博客
12-10 327
背景和启发难点和收益工具介绍被控端:服务端:Q&A工具的重要性项目github地址:背景和启发Lucian(中文名卢锡安)是一款开源的跨平台网站管理工具,它主要面向于合法授权的渗...
【FFMPEG】Install FFmpeg CUDA gltransition in Ubuntu
RockWang的博客
09-05 480
FFMPEG gltranlations CUDA
如何解析域名到网站?
最新发布
聚名网
09-11 320
用户通过输入易于记忆的域名来访问网站,而背后则是复杂的域名解析机制将域名转换为服务器的IP地址,使得浏览器能够找到并加载目标网站。顶级域名服务器:顶级域名服务器会返回负责该域名的权威DNS服务器的地址。返回结果:一旦本地DNS服务器获得了IP地址,它会将该信息缓存一段时间(TTL,生存时间),然后将结果返回给用户的浏览器。用户输入域名:当用户在浏览器中输入一个域名并按下回车键时,浏览器会检查本地缓存,查看是否已经存储了该域名的IP地址。权威DNS服务器:存储特定域名的DNS记录,提供最终的IP地址。
mycat双主高可用架构部署-mycat安装
龙哥·三年风水从2011年开始做IT工作,从ps画图到前端开发->后端开发->框架开发->业务架构设计及开发->业务需求整理、开发->技术经理->技术总监
09-08 940
mycat双主高可用架构部署-mycat安装
linux运维常见命令行
wendao76的专栏
09-09 1673
linux常用命令行,用户管理,文件管理, 磁盘管理, 网络管里,进程管理等等
bitbucket接口获取用户权限
12-14
Bitbucket是一个提供代码托管服务的平台,它提供了一些API接口来获取和管理用户的权限。 获取用户权限的接口可以使用Bitbucket的REST API。通过发送HTTP请求,我们可以获取指定用户的权限信息。 首先,我们可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值