本文介绍云数据库 OceanBase 支持的 DDoS 防护能力说明。
背景信息
当用户使用外网连接和访问 OceanBase 数据库的时候,因为开通了公网,可能会遭受 DDoS 攻击。OceanBase 使用的网络服务商提供了流量清洗和黑洞处理功能,这些功能完全由系统自动触发和执行:当 OceanBase 的安全监控系统检测到数据库实例可能正在遭受 DDoS 攻击时,会首先启用流量清洗机制,过滤掉恶意流量,如果流量清洗机制无法有效抵御攻击,或者攻击强度达到了预设的黑洞阈值,系统将自动启动黑洞处理。
建议用户通过内网访问 OceanBase 数据库实例,可以使 OceanBase 数据库实例免受 DDoS 攻击的风险。如果必须开启公网访问,建议配置访问控制列表,可减少被攻击的可能。
流量清洗
当来自互联网的攻击流量较大的时候,将会触发 DDos 防护功能自动对攻击流量进行清洗。
满足以下任一条件即触发流量清洗:
公网带宽达到 6144M BPS(Bits Per Second)
每秒发包达到 发包 1536K PPS(Package Per Second)
最大连接数(Max Connection):定义了一个 CLB 实例能够承载的最大连接数量。当实例上的连接超过规格定义的最大连接数时,新建连接请求将被丢弃。
每秒新建连接数 CPS(Connection Per Second):定义了新建连接的速率。当新建连接的速率超过规格定义的每秒新建连接数时,新建连接请求将被丢弃。
每秒查询数 QPS(Query Per Second):是七层监听特有的概念,指的是每秒可以完成的 HTTP(S) 的查询(请求)的数量。当请求速率超过规格所定义的每秒查询数时,新建连接请求将被丢弃。
黑洞处置说明
当来自互联网的攻击流量非常大时,为保护整个集群的安全,流量将会被黑洞处理,即所有入流量全部被丢弃。
黑洞触发条件如下:
BPS(Bits Per Second)达到 2 Gbps。
流量清洗无效。
黑洞结束条件如下:
默认黑洞自动解除时间是 2.5 小时。实际黑洞自动解除时间根据资产被攻击频率有差异,从 30 分钟到 24 小时不等。
黑洞自动解除时间主要受以下因素影响:
攻击是否持续。如果攻击一直持续,黑洞自动解除时间会延长,黑洞自动解除时间从延长时刻开始重新计算。
攻击是否频繁。如果某用户是首次被攻击,黑洞自动解除时间会自动缩短;反之,频繁被攻击的用户被持续攻击的概率较大,黑洞自动解除时间会延长。