建议:云盾-态势感知对网站前端反代服务器IP误封
前段时间,我管理的一台阿里云服务器被DDOS,之后我在其他IDC处购买了高防服务器,接下来就开始不间断的断网,源站无法访问,结果多次检查,才发现高防服务器的IP被态势感知系统拦截了,结果记录测试,态势感知系统拦截IP的时间为60分钟。下面我详细说明是什么情况和暂时解决方法,以及我对阿里云的建议。
阿里云的服务器被DDOS后,我在其他IDC购买了高防服务器,更换了阿里云的弹性IP(PS:建议大家购买专有网络下的服务器,方便更换IP),在高防服务器上设置Nginx反向代理阿里云服务器上的源站,可能有人问为什么不把网站搬移到高防服务器,是因为很多API绑定了阿里云服务器的IP和特定软件环境,限制了我不能转移阿里云服务器。使用Nginx反代阿里云服务器上的源站后,为了安全起见我设置安全组,阿里云服务器只能由前端高防服务器访问,其他IP不能入网访问。接下来,网站正常访问,我们暂时忽略其他IDC是否给DDOS防御的问题,我们现在谈下Nginx出现不定时的502错误,阿里云源站无法访问,前几次找的前端高防服务器服务商,让他们加白名单或其他操作,可能是巧合吧,在一小时左右,网站正常了,我就把问题方默认为是高防服务器那边的网络问题了。
但是,接下来一天可能出现多次的502错误,从包括阿里云安全组设置全部ip全部端口允许访问,都不能解决502错误,从前端服务器上无法访问阿里云服务器,但可以ping通,我就去阿里云后台查看,是否存在拦截,默认控制台看不到态势感知里的拦截情况,我在云盾里一个一个检查,最后发现态势感知里出现了高防服务器的IP,显示了拦截攻击时间,我才恍然大悟,我发了工单,我自己手动关闭了态势感知,目前从前端高防服务器上web访问阿里云服务器,正常了。
为什么阿里云的态势感知系统会把前端服务器的IP拦截掉?是因为有人通过注入工具,或者扫描器正在注入攻击我的网站,数据从前端高防服务器转发来了,态势感知系统发现有恶意访问或注入访问,就会记录或封禁这个IP一段时间,一定情况下可以避免阿里云服务器遭到攻击。但这个会误杀反向代理到阿里云服务器正常访问。
在此我有一个建议,我在态势感知系统里面有发现IP白名单,另外我在当前服务器所属的网络安全组里已经设置前端高防服务器的IP为网络放行状态。希望阿里云能对态势感知免费版增加IP白名单或检查“攻击”IP是否存在安全组放行IP状态,这样可以更好的使用阿里云服务器。
最后,希望阿里云能越来越好,越好越完善!
收起
原文链接:https://developer.aliyun.com/ask/239631