从 11 月 8 日凌晨开始,LeanCloud 华北节点云引擎外网 IP 遭受了多次的 DDoS 攻击,导致不少应用托管在云引擎上面的网站访问受到严重影响。根据初步统计,截止今天下午 4 点整,我们一共遭受了 23 次攻击,这些攻击行为短则 10 秒,长则 30 分钟,其攻击带宽的峰值最高达到 20Gbps,导致我们 23 个出口 IP 被封堵。下午 4 点以后,攻击也还在陆陆续续发生,但流量已渐渐走弱。
在遭受攻击的时候,我们采取了多种措施进行补救,包括启用高防系统进行流量清洗、更换公网 IP、将部分商用版应用圈定到特定 IP 池进行保护,等等。但是从技术上来说,这些都属于事后补救措施,并且是一场「魔高一尺道高一丈」的持续竞赛。今天的攻击大多是 NTP 反射攻击,我们无法区分来源,也无法知晓攻击的矛头对准的是哪一个云引擎域名以及用户(或者就是我们自己)。公有云的云引擎服务,不管是宿主机还是出口 IP,都是通过共享资源池的方式来动态部署的,这样不可避免导致应用之间互相影响。所以如果业务上对于云引擎域名的访问健壮性有较高要求,建议大家通过独立部署的方式来进行隔离,以保障业务稳定。
云引擎独立部署有多种方式:
- 给云引擎实例配置独立的入口 IP,由于很多网络攻击的目的地都是特定 IP,所以只要不是自己的应用被攻击,都不会导致访问出现故障。我们会按照「100元 / IP / 月」的单价收取 IP 租用费用。
- 将云引擎实例部署到独立的宿主机上。这样可以隔绝云引擎实例之间的互相影响,得到更好的稳定性。独立部署宿主机的最小容量为「6 核心 + 12G 内存」,支持根据应用规模进行按比例扩容。
开发者可以组合使用这些方式,如果有需要,可以通过工单或者邮件随时联系我们。
