阿里云服务器被攻击了怎么办？

前几天，从知乎找过来了一个客户，他的情况是这样的，已经购买了阿里云的30G高防包，但效果并不是那么理想，价格也是非常昂贵，还是经常处于被打死拉进黑洞的状态，阿里客服那边的意思是让他上吞金兽，客户也承担不起，也确实，一天几W的消费，基本上都扛不住，所以他通过知乎联系到了我们小蚁云安全，了解过他们的情况后我这边马上给客户出了一个方案，首先这个客户也是之前不懂这行，才花了高价没解决问题，、

众所周知，ddos攻击就是流量攻击，而对抗他的方法就是资源对抗，所以一般来说高防IP就是常见的防御ddos的方法，那么什么是高防IP呢？这里小蚁云安全就给各位老板们讲讲：

新式高防技术，替身式防御，具备4Tbps高抗D+流量清洗功能，无视DDoS,CC攻击，不用迁移数据，隐藏源服务器IP，只需将网站解析记录修改为小蚁DDoS高防IP，将攻击引流至小蚁集群替身高防服务器，是攻击的IP过滤清洗拦截攻击源，正常访问的到源服务器，保证网站快速访问或服务器稳定可用，接入半小时后，即可正式享受高防服务。

以上就是高防IP的介绍，那么他的原理是什么呢？

用户购买高防IP，把域名解析到高防IP上（web业务只要把域名指向高防IP即可，非web业务，把业务IP换成高防IP即可）。同时在高防IP上设置转发规则，所有公网流量都会走高防IP，通过端口协议转发的方式，将用户的访问通过高防IP转发到源站IP。

在这一过程中，将恶意攻击流量在高防IP上进行清洗过滤后，把正常访问流量返回给源站IP，确保源站IP能正常稳定访问的安全防护。

通常在租用服务器后，服务商会提供一个IP给用户用于防御和管理。如果IP出现异常流量，机房中的硬件防火墙，就会对恶意流量进行识别，并进行过滤和清洗，帮助用户防御恶意流量。

在IP防御不了的情况下，会暂时对该IP进行屏蔽，这时会造成服务器不能正常访问，业务无法正常开展。

为什么人家会攻击呢？

1行业竞争

这是经济市场无法避免的现象，中国有句老话叫同行是冤家，从实体行业上升至互联网大环境，总会有不计手段的对手。这种行业内的恶性竞争可能导致网站被蓄意攻击，云服务器瘫痪，目的一般很清晰，瞄准的是用户资源。

2网络黑客

每天都有数以万计的服务器被黑客攻击，常见的手段比如DDoS攻击，成本和门槛都非常低，却对运营者造成非常大的困扰。黑客的目的很难说，有可能为了炫技，或者是为了账号信息然后植入各种广告程序等等。

3程序漏洞

很多Web系统采用的是开源框架，WordPress、Structs2等等，这些框架常常被爆出安全漏洞，以及我们所选用的 *** 作系统，不管是Windows还是Linux，如果发现漏洞补丁不及时更新的话，迟早会被利用攻击

很多互联网中小型企业运维人员都有被网络攻击过的经历，服务器一旦遭到DDOS攻击就有可能被服务器提供商黑洞处理，就相当于有人打你就把你关进大牢，别人是打不到你了，但你的正常朋友也不能找你玩了。黑洞持续时间一般为2小时，被攻击的频率越高被黑洞就越久。这里乔妹Q493885555就来说说什么是服务器黑洞？什么情况下服务器提供商会触发黑洞策略？

什么是服务器黑洞？

服务商的黑洞不是指我们常说的宇宙黑洞，是指服务器受攻击流量超过本机房黑洞阈值时，机房会屏蔽服务器的外网访问。而且运营商对黑洞解除时间和频率都有严格的限制，所以黑洞状态无法人工解除，只能耐心等到攻击结束后系统自动解封。

服务商为什么需要黑洞策略？

一般企业在服务商的服务器不是独立服务器，是共享的虚拟服务器。DDOS攻击对其中一个目标发起攻击时，不仅仅对目标造成影响，也会对整个云网络造成严重影响。所以服务商为了避免波及其他用户，就会把被攻击的目标进行黑洞处理。

服务商为什么不帮用户抵御 DDoS 攻击？

服务商并不是完全不进行防御的，一般都有1-2G的防御能力，当攻击流量超出阈值时就会触发黑洞策略。因为DDoS防御是需要成本的，攻击流量越大成本越高，其中最大的成本就是带宽费用。带宽是服务商向电信、联通、移动等运营商购买，运营商计算带宽费用时不会把DDoS攻击流量清洗掉，而是直接收取机房的带宽费用。

黑洞需要多久才会自动解除？

服务商一般默认的黑洞时长是25小时，黑洞期间不支持解封。实际黑洞时长视攻击情况而定，从30分钟到24小时不等。黑洞时长主要受以下因素影响：

攻击是否持续。如果攻击一直持续，黑洞时间会延长，黑洞时间从延长时刻开始重新计算。

攻击是否频繁，如果某用户是首次被攻击，黑洞时间会自动缩短；反之，频繁被攻击的用户被持续攻击的概率较大，黑洞时间会自动延长。

服务器黑洞清洗是什么意思

服务器默认提供DDoS攻击防御功能。当网络流量超过清洗阈值时，机房会开始对攻击流量进行清洗，并尽可能保障您的业务可用；当网络流量超过d性防护阈值时，则会触发黑洞机制，服务器的外网访问将被暂时屏蔽。

清洗是指将流量从原始网络路径中重定向到清洗设备上，通过清洗设备对该IP的流量成分进行正常和异常判断，丢弃异常流量，并对最终到达服务器的流量实施限流，减轻攻击对服务器造成的损害，但对流量中正常的部分可能造成损伤。

如何避免触发黑洞策略？

为了避免服务器IP遭受的攻击流量超出阈值而触发黑洞，企业可以通过接入专业的高防IP服务来防御DDOS攻击，高防IP服务可以在服务器IP遭到DDOS攻击时自动切换成高防IP，对流量进行清洗，隐藏源IP地址，保障服务器的正常稳定运行。

小蚁云安全乔妹Q493885555

>登录实例不需要服务器开启3389远程桌面端口。但如果使用远程桌面，那么必须开启3389端口（当然也可以更换成别的端口号）。如果很少需要进入服务器做某些 *** 作，最好是关闭3389，这样服务器更安全。当服务器被攻击进入黑洞状态的时候，依然可以使用登录实例。

我们这边的服务器如果被打死，一般国内的20分钟就恢复，如果再被黑客攻击解封时间就会翻倍叠加40分钟、80分钟。如果是香港服务器被攻击的话，解封时间要24小时。 不过50G的基础防御没有那么容易被打死。

---