云计算之路-阿里云上：9:55-10:08因流量攻击被进黑洞，造成主站不能正常访问

在宇宙中有黑洞，在阿里云上也有。

2015年6月25日 9:52-10:08 期间，由于遭受大流量的攻击，主站被阿里云云盾打入黑洞，造成主站不能正常访问，给大家带来了很大的麻烦！在这里我们表示深深的歉意，望大家能够谅解！

整个事情发生的过程是这样的：

9:52，收到阿里云的通知短信：

【阿里云】尊敬的用户：您的IP正遭受外部流量攻击，已启动云盾DDoS基础防护的免费套餐。当攻击流量超过免费套餐的阈值时，服务器所有访问将被屏蔽。为避免影响云服务器正常使用，请登录官网购买DDoS高防IP服务，轻松解决DDoS攻击困扰。

这时攻击流量不是很大，云盾正常进行清洗，网站正常访问未受影响。

上云盾控制台查看，触发清洗是由于入网报文速率达到 609535 个/秒。

9:55，突然发现主站不能访问！同时收到阿里云的通知短信：

【阿里云】尊敬的用户：您的IP受到攻击流量已超过云盾DDoS基础防护的带宽峰值，服务器的所有访问已被屏蔽，2.5小时后将自动解除。您可登录官网购买DDoS高防IP服务，轻松解决DDoS流量攻击困扰，保障服务器的正常运行。

也收到了阿里云的通知邮件：

阿里云盾黑洞开始通知

尊敬的用户：
 
    您的云服务器当前受到大流量攻击，已被流量屏蔽，2.5小时后自动解除。

疯掉了！竟然进黑洞了，要被屏蔽2.5小时。

紧接着，我们立即采取了这样的行动：

1）立即更改DNS解析，将主站解析到另外一台SLB。虽然DNS解析完全生效需要一定的时间，但至少可以让新访问或者DNS缓存已更新的用户能正常访问。幸好主站使用了2个SLB，只需要更改DNS解析就行了，不然购买SLB加上挂服务器需要一些时间。这样的措施让大部分用户在5分钟内能恢复正常访问，减少了故障影响。

2）联系阿里云，争取能帮我们临时解除屏蔽。攻击可能只是短时间，强行屏蔽2.5小时实在太残忍。

10:08，阿里云解除屏蔽，将主站被攻击IP从黑洞中救了出来之后，主站所有访问恢复正常。

出黑洞之后，由于“连接数超过清洗阈值”，继续被云盾清洗，但网站访问不受影响。

10:52，云盾清洗也结束了。

上云盾控制台查看，9:55触发进黑洞的攻击流量是25G。

整个“攻击->清洗->黑洞”的过程在云盾控制台也有清楚的记录：