本文列舉了DDoS高防(中國內地、非中國內地)服務相關的常見問題。
問題總覽
產品計費與規格
接入與配置
功能與協議支援
防護與安全機制
產品計費與規格
DDoS高防執行個體到期後會怎樣?
以DDoS高防(中國內地)為例:
到期後7天內:執行個體的防護能力降至5Gbps基礎黑洞閾值。當業務流量或攻擊流量超過5Gbps時,IP將被黑洞。
到期後7-30天內:執行個體將停止轉寄所有業務流量。在此期間續約,服務可恢複。
到期後30天及以後:執行個體資源將被徹底釋放,配置丟失且無法恢複。
更多資訊,請參見DDoS高防(中國內地)計費說明。
DDoS高防支援的防護連接埠數和網域名稱數有什麼限制?
防護連接埠數:
中國內地執行個體:預設50個,可按需擴充至1500個。
非中國內地執行個體:預設5個,可按需擴充至1500個。
防護網域名稱數:
中國內地執行個體:預設50個,可按需擴充至200個。
非中國內地執行個體:預設10個,可按需擴充至200個。
接入與配置
如何擷取DDoS高防的回源IP地址?需要手動添加到白名單嗎?
擷取回源IP:您可以在DDoS高防控制台的網域名稱接入或相關頁面查看最新的回源IP位址區段。
添加白名單:需要手動添加。DDoS高防不會自動修改您的來源站點安全性原則。如果您的來源站點伺服器部署了防火牆、安全性群組或第三方安全軟體,您必須將DDoS高防的回源IP網段添加至白名單,否則所有經過高防轉寄的正常訪問流量將被來源站點攔截。
說明更多資訊,請參見允許存取DDoS高防回源IP。
DDoS高防的來源站點IP可以填寫內網IP嗎?修改來源站點IP有延遲嗎?
來源站點IP類型:不可以。DDoS高防通過公網與您的來源站點通訊,因此來源站點IP必須是公網IP。
修改延遲:有。修改來源站點IP後,配置在全網節點同步生效約需5分鐘。建議您在業務低峰期進行此項操作,以避免對業務造成影響。
說明更多資訊,請參見固定公網IP。
DDoS高防如何?負載平衡、健全狀態檢查與會話保持?
負載平衡:當您配置多個來源站點IP時:
網站業務(七層):支援輪詢、IPHash、最少時間三種策略。
非網站業務(四層):預設為輪詢策略,不支援修改。
健全狀態檢查:支援。網站業務預設開啟,非網站業務預設關閉但可手動開啟。高防會探測來源站點服務的可用性,並自動剔除異常的來源站點IP。
會話保持:僅在純連接埠轉寄接入時配置生效,開啟應用程式層防護增強時,配置不生效。開啟後,高防能在一定時間內將來自同一用戶端IP的請求持續轉寄到同一台後端伺服器。具體操作,請參見配置會話保持。
說明若用戶端網路環境變化(如Wi-Fi切至4G),其公網IP會改變,導致會話保持失效。
DDoS高防能否與CDN或DCDN聯動使用?如何配置?
可以,但強烈不推薦直接串聯。正確的做法是使用DDoS高防提供的智能聯動方案,它能兼顧加速與防護效果。
直接串聯方式:
流量先到CDN/DCDN再到高防:CDN/DCDN節點被攻擊後可能進入沙箱,導致流量無法到達高防,使防護失效。
流量先到高防再到CDN/DCDN:高防回源會增加時延,影響CDN/DCDN的加速效果。
聯動方案:使用DDoS高防增強功能套餐提供的流量調度器功能與CDN/DCDN聯動。
工作原理:將網域名稱解析至流量調度器產生的CNAME。正常時期,流量走CDN/DCDN以實現加速;當攻擊發生時,流量自動切換到DDoS高防進行清洗,攻擊結束後再切回。
優勢:兼顧了日常訪問的加速體驗和被攻擊時的業務可用性。
功能與協議支援
DDoS高防支援哪些常見協議?
IPv6:DDoS高防(中國內地)支援,非中國內地暫不支援。
WebSocket:支援。更多資訊,請參見DDoS高防WebSocket配置。
NTLM認證:不支援。經DDoS高防轉寄的請求可能無法通過來源站點的NTLM認證,建議改用DDoS原生防護產品。
GRPC:不支援。
SSE:支援。
DDoS高防的預設連線逾時時間是多久?
四層TCP串連:900秒。
七層HTTP/HTTPS串連:120秒。
DDoS高防如何支援HTTPS?
HTTPS雙向認證:支援。詳細介紹,請參見使用DDoS高防部署HTTPS雙向認證。
網域名稱接入(七層):您需在DDoS高防控制台上傳服務端認證和用戶端CA認證,由高防節點完成對用戶端認證的驗證。
連接埠接入(四層):高防作為透明傳輸通道,雙向認證流程完全由您的來源站點伺服器處理。
SSL協議與加密套件:支援TLS1.0至1.3版本,並支援包括
ECDHE-ECDSA-AES128-GCM-SHA256在內的多種主流和傳統加密套件,可以在控制台自訂TLS安全性原則。更多資訊,請參見自訂伺服器HTTPS認證的TLS安全性原則。
SNI相容性問題:若老版本瀏覽器或部分安卓用戶端無法訪問您的HTTPS網站,很可能是因為它們不支援SNI(伺服器名稱指示)。DDoS高防通過SNI承載多網域名稱HTTPS業務,不相容的用戶端無法完成TLS握手。關於SNI認證可能引發的問題,請參見SNI可能引發的HTTPS訪問異常。
防護與安全機制
DDoS高防的業務頻寬是什麼,超限了怎麼辦?
業務頻寬:指接入高防防護的正常業務流量,系統取入方向和出方向流量的較大值作為計量標準,單位為Mbps。
超量影響:如果您的實際業務流量超過了所購執行個體的業務頻寬規格,將觸發流量限速,會造成業務訪問卡頓、響應緩慢或出現間歇性串連失敗或隨機丟包。處理步驟如下:
確認頻寬使用方式 在DDoS高防控制台的執行個體管理頁面,監控執行個體的頻寬圖表,確認是否超出規格。
緊急升級執行個體
目的:立即提升業務頻寬上限,恢複業務效能。
操作:
登入DDoS高防控制台。
在執行個體管理頁面,找到目標執行個體,單擊操作列的升級執行個體。
在業務頻寬配置項選擇更高的規格,完成支付。
生效時間:配置變更將在3-5分鐘內全網生效。
如何處理黑洞狀態?DDoS高防執行個體支援手動解除黑洞嗎?
當攻擊流量超出執行個體的防護能力上限時,為保護阿里雲機房整體穩定,執行個體IP將被黑洞,導致所有業務中斷。所有通過該高防執行個體的業務完全不可訪問。處理步驟如下:
評估攻擊態勢 登入DDoS高防控制台,在安全總覽頁面查看攻擊流量的峰值和趨勢,確認攻擊是否已停止或減弱。
執行黑洞解除
DDoS高防(中國內地)執行個體
目的:在確認攻擊流量已回落至執行個體防護能力範圍內後,手動恢複業務訪問。
前提:每個阿里雲帳號每天共有五次手動解除黑洞的機會,每日零點重設。
操作:關於手動解除黑洞的具體操作,請參見解除黑洞。
登入DDoS高防控制台,在。頁面中找到並選中需要解鎖的執行個體。
定位到該執行個體下方的解除黑洞地區,直接單擊解鎖按鈕即可完成手動操作。
DDoS高防(非中國內地)執行個體
限制:暫不支援手動解除黑洞狀態。
建議:
保險版執行個體:若因當月進階防護次數耗盡而進入黑洞,建議立即升級執行個體至無憂版。升級後,黑洞狀態將自動解除。
無憂版執行個體:提供不設上限的進階防護,正常情況下不會因超出防護能力而黑洞。如遇黑洞,請提交工單。
為什麼未達到流量清洗閾值,安全總覽仍然出現清洗流量?
是正常現象。DDoS高防會自動過濾所有流入流量中的畸形網路包(如SYN小包、標誌位異常等不符合TCP協議規範的資料包)。這些被攔截的畸形包會計入“清洗流量”。因此,即使業務未遭受大規模攻擊,也可能產生少量的清洗流量記錄。
DDoS高防是否支援屏蔽境外IP訪問?
支援。DDoS高防提供“地區封鎖”功能,您可以根據業務需求,按國家或地區設定存取控制策略,實現對境外IP的精準封鎖或允許存取。
上傳HTTPS認證和密鑰到是否安全?高防會解密HTTPS流量並記錄訪問請求的內容嗎?
密鑰安全:非常安全。DDoS高防使用專用的認證伺服器(Key Server)儲存和管理憑證與密鑰。該服務依託於阿里雲密鑰管理系統KMS,通過了ISO27001、SOC1/2/3、PCI DSS等多項國際權威認證,確保密鑰安全。阿里雲同等水平的安全合規資質。詳細內容,請參見阿里雲信任中心。
流量隱私:不會記錄全量內容。DDoS高防僅在即時檢測時解密HTTPS流量,不會記錄全量的請求或響應內容,僅在發現攻擊時記錄部分攻擊特徵(payload)用於報表分析。
說明使用DDoS高防防護HTTPS業務時,也可以選擇雙認證方案,即在DDoS高防上使用一套認證及密鑰,在來源站點伺服器上使用另一套認證及密鑰(兩套認證及密鑰必須都是合法的),以便將上傳到DDoS高防的認證及密鑰與來源站點伺服器的認證及密鑰分開管理。
高防叢集的開放連接埠有風險嗎?
不會。高防叢集對外開放的連接埠僅用於流量接入和轉寄。業務流量只會通過您在控制台為網域名稱或連接埠配置的指定連接埠進行轉寄。任何未配置接入高防的來源站點服務連接埠,其訪問請求都不會被轉寄到您的來源站點,因此不會帶來額外的安全風險。