全部產品
Search

搜尋本產品

    Anti-DDoS:常見問題

    文件中心

    Anti-DDoS:常見問題

    更新時間:Nov 13, 2025

    本文列舉了DDoS原生防護產品相關的常見問題。

    DDoS原生防護的全力防護和DDoS高防的彈性防護的計費模式有什麼區別?

    • DDoS原生防護提供基本概念能力。當遭受攻擊時,自動調度該DDoS原生防護執行個體所在地區的阿里雲最大DDoS防護能力提供全力防護。全力防護服務包含在原生防護執行個體套餐中,不額外產生彈性防護費用。

    • DDoS高防(中國內地)服務的彈性防護計費按照當日彈性頻寬的流量峰值進行計費。更多資訊,請參見彈性防護頻寬計費方式

    DDoS原生防護所防護的IP被黑洞了該怎麼辦?

    DDoS原生防護支援黑洞解除功能。

    • 如果防護對象處於黑洞中狀態,您可以使用手動解除黑洞功能,具體操作請參見解除黑洞

    • 您還可以參見黑洞自動解除最佳實務,實現已防護IP的黑洞自動化響應和快速解除。

    購買時選錯了DDoS原生防護執行個體的地區該怎麼辦?

    如果您想要防護的IP與所購買的DDoS原生防護執行個體的地區不一致,請聯絡技術支援人員申請退款,然後重新購買新的DDoS原生防護執行個體。

    添加防護IP時,DDoS原生防護執行個體的防護IP容量已佔滿該怎麼辦?

    如果您想要防護的IP數量超過了您購買的DDoS原生防護執行個體的保護IP數量(即防護IP容量),您可以選擇擴充當前執行個體的保護IP數量或者重新購買新的DDoS原生防護執行個體,相關操作請參見升級執行個體規格購買DDoS原生防護執行個體

    添加防護IP時收到“IP不屬於你”的錯誤提示該怎麼辦?

    請按照以下步驟進行排查:

    1. 檢查您所輸入的IP地址,確認輸入的IP地址正確無誤。

    2. 檢查您想要添加的防護IP對應的雲產品所屬的地區,確認該地區與您所購買的DDoS原生防護執行個體的所屬地區一致。

    3. 如果您想要添加的防護IP是WAF IP,檢查該WAF執行個體的所屬地區,確認DDoS原生防護支援該地區。關於DDoS原生防護支援的地區,請參見什麼是DDoS原生防護

    4. 如果您想要添加的防護IP類型是IPv6,請檢查是否已開通公網頻寬。如何為ECS開通IPv6公網頻寬,請參見IPv6通訊

    開通多帳號統一管理後,已在成員帳號下防護的公網IP資產,如何改為使用管理帳號進行防護?

    由於一個公網IP資產僅支援使用一個執行個體進行防護,您需要先在成員帳號下把該防護對象刪除,再在管理帳號下添加該防護對象。如何刪除、添加防護對象,請參見防護對象

    業務需要Web應用防護和DDoS防護,還要支援IPv6,如何??

    建議使用如下方案:

    1. 將網站接入WAF,一鍵開啟IPv6防護功能。具體操作,請參見接入概述

      為網站防禦IPv6環境下發起的攻擊,協助來源站點實現對IPv6協議請求的安全防護,開啟IPv6安全防護功能後,WAF自動實現雙路解析。

    2. 購買DDoS防護原生防護執行個體,將WAF執行個體IP地址綁定到DDoS原生防護執行個體。具體操作,請參見防護對象

      業務遭受DDoS攻擊時,自動觸發流量清洗,攻擊流量被丟棄,只有正常的業務流量被轉寄到來源站點伺服器。

    接入DDoS原生防護的業務,哪些情況下需要增加DDoS高防?

    DDoS原生防護直接提升阿里雲ECS、SLB、WAF、EIP等公網IP資源DDoS攻擊防禦能力,相比DDoS高防,優勢是不需要更換IP,沒有四層連接埠、七層網域名稱數限制,部署簡易,只需要綁定防護IP地址即可使用,支援IPv6。

    但是,局限性是DDoS原生防護主要提供三層和四層流量型攻擊的防禦服務,全力防護能力受限於機房網路的整體水位。當攻擊流量超過機房網路整體防護水位或被CC攻擊情況下,DDoS原生防護可能無法滿足安全防護需求,需要升級使用DDoS高防服務,提升安全防護能力。

    您也可以組合使用DDoS原生防護和DDoS高防,通過DDoS高防流量調度器聯動規則實現階梯防護,保證正常業務流暢體驗的前提下增強DDoS防護能力。當DDoS攻擊不超過DDoS原生防護的防禦能力時,業務流量預設解析到雲產品,不增加業務延遲,當攻擊過大觸發黑洞時,高防流量調度器將流量切換到DDoS高防,防禦大流量的攻擊,此時存在約20 ms的業務延時,攻擊停止後,根據流量調度器設定的切換延遲時間,等待一段時間後業務流量回切到雲產品。

    DDoS防護增強型EIP(原生高防EIP)有哪些核心技術優勢?適合哪些業務情境?

    針對DDoS攻擊的防護,阿里雲提供DDoS原生防護、DDoS高防等解決方案。DDoS高防可防禦T級DDoS攻擊,但會產生一定的業務延遲,DDoS原生防護適合多IP、多網域名稱、多連接埠、大業務頻寬、低業務延遲需求,但防禦能力相對有限。

    DDoS防護增強型EIP採用透明接入,通過網路邊緣的高防中心清洗流量,再通過EIP和共用頻寬到達伺服器,可同時滿足原生防護低時延、全資產接入和DDoS高防的T級DDoS防禦。

    DDoS防護增強型EIP適合需要同時滿足DDoS高防大流量防禦和DDoS原生防護低時延需求的客戶,業務特點包括全資產、多連接埠、低時延、大流量攻擊的業務情境。例如,精品遊戲和遊戲分銷商等行業情境。

    什麼是流量清洗?DDoS原生防護如何進行流量清洗?

    流量清洗是DDoS防護的第一道防線,旨在精準識別並過濾惡意攻擊流量。

    • 工作原理:系統對流經您資產的公網流量進行7x24小時的即時監控與智能分析。當AI智能分析檢測到DDoS攻擊,且請求流量達到您設定的BPS或PPS清洗閾值時,DDoS防護會觸發流量清洗。

    • 防禦效果:它能將DDoS攻擊流量從您的正常業務流量中精準剝離並丟棄,保障合法使用者的訪問請求不受影響,實現業務在攻擊下的持續可用。您可以根據業務特性靈活設定或取消清洗閾值,以在防護靈敏度和業務穩定性之間取得最佳平衡。

    更多內容,請參見設定流量清洗閾值取消流量清洗

    什麼是黑洞?DDoS原生防護如何處理黑洞?

    黑洞處理是一種在遭遇超大規模攻擊時的極限保護措施,旨在保護阿里雲整體網路基礎設施的穩定。

    • 觸發條件:當針對您單一公網IP的攻擊流量洪峰,超出了該IP所在叢集的防禦能力上限(即黑洞閾值)時,為避免該攻擊影響到其他使用者資產,系統將自動觸發黑洞策略。

    • 處理方式:該IP的所有公網入口流量(包括正常訪問和攻擊流量)將被暫時屏蔽,如同掉入“黑洞”,在一段時間內無法從公網訪問。這是一種必要的“熔斷”機制。攻擊減弱或停止後,您可以通過DDoS原生防護控制台手動申請解除黑洞,迅速恢複資產的公網服務能力。

    更多內容,請參見阿里雲黑洞策略解除黑洞