公网IP遭受DDoS攻击为什么被封堵?为什么不封堵发起DDoS攻击的攻击者的源IP?
同一资源池内的公网 IP 共享资源池公网带宽,当 IP 遭受的 DDoS 攻击峰值,或其公网业务入向流量速率超出平台分配的基础 DDoS 防护阈值时,会大量挤占公共带宽资源,影响自身及同资源池其他 IP 的网络稳定。
为保障资源池整体网络安全、避免波及其他租户 IP,系统会在骨干网对该受害 IP 执行封堵,阻断其公网通信,使攻击流量无法进入资源池公网入口,释放被占用的超额带宽资源。
由于 DDoS 攻击源通常分布广泛且大量使用虚假源 IP,同时骨干网不支持对大量攻击源进行封堵操作,因此封堵目的 IP 是当前业界通用的标准处置方式。
如何计算我的公网IP的DDoS防护阈值(DDoS封禁阈值)?
一般情况下,IP免费的基础DDoS防护阈值为5Gbps。对于少部分带宽极小的IP或云池,基础DDoS防护阈值会降低至2Gbps甚至更低。
IP被DDoS封堵后,该如何响应?
收到 DDoS 封堵通知后,您可先结合自身业务场景评估防护需求:若业务因竞争、业务价值较高等原因,存在遭受大流量 DDoS 攻击的风险,建议您及时购买并配置 DDoS 高防产品。
天翼云及主流云厂商均提供 DDoS 高防类服务,具备业务 IP 隐藏、大流量攻击清洗、攻击源分析等能力,您可选用天翼云或其他第三方DDoS高防产品防护您在天翼云的业务IP。以天翼云举例,如天翼云“DDoS高防IP”、天翼云“DDoS高防(边缘云版)”等。
业务 IP 接入高防防护后,高防 IP 将替代业务 IP 暴露在公网,攻击者仅能对高防 IP 发起攻击;攻击流量会在高防节点完成清洗,仅正常业务流量回注至业务 IP,该流量通常不会超出 IP的DDoS防护阈值,可避免触发 平台的DDoS封堵规则。
需注意:若业务 IP 曾暴露在公网并遭遇过攻击,可能已被攻击者记录,即使配置高防仍存在被直接攻击的风险,流量过大时仍可能触发封堵。因此建议在部署高防的同时,更换业务 IP 并限制仅高防 IP 可访问,实现业务 IP 彻底隐藏。具体购买与配置流程可咨询对应 DDoS 高防产品厂商。
完成天翼云或第三方 DDoS 高防产品的配置后,您可通过天翼云工单系统提交工单,申请对该 IP 提前解封。
其他问题
其他常见问题,请点击问题跳转查看。
