什麼是黑洞

當Web Application Firewall(WAF)遭受到大流量的DDoS攻擊時,如果流量太大超過了阿里雲免費提供的DDoS防護能力,就會進入黑洞。此時,您會在Web Application Firewall管理主控台的訊息地區收到提示資訊。

當 WAF IP被黑洞後,所有到WAF的流量(不論是正常訪問還是攻擊)都會被丟棄。 這意味著您當前WAF防護下的所有網域名稱在黑洞期間都無法訪問
说明 黑洞後,只能等待黑洞時間結束之後,系統自動解除黑洞狀態。預設的黑洞時間為150分鐘。Web Application Firewall的黑洞閾值與您的ECS所在地區的預設閾值相同。

關於黑洞和黑洞策略的詳情,請參考阿里雲黑洞策略

WAF 被黑洞了怎麼辦

預設情況下,每個WAF執行個體分配給您一個獨享的IP,一旦這個WAF IP被黑洞,所有WAF執行個體上配置的網域名稱都無法訪問。 為了避免這種“連坐”情況的發生,您可以為重要的網域名稱單獨購買額外的獨享IP,以防該重要網域名稱受其他被DDoS攻擊的網域名稱牽連。
说明 解決大流量 DDoS 攻擊的根本辦法是使用 高防IP服務對您的網域名稱進行防護。 如果您已採用高防IP結合WAF的部署架構,但WAF仍然被黑洞,請提交工單聯絡支援人員團隊協助處理。

WAF 黑洞常見問題

WAF 被黑洞了,是否能馬上給我解除?

由於黑洞是阿里雲向電訊廠商購買的服務,而電訊廠商對黑洞解除時間和頻率都有嚴格的限制,所以黑洞狀態無法人工解除,需耐心等待系統自動解鎖。

事實上,即使立刻解除黑洞,如果 WAF 仍在遭受大量 DDoS 攻擊,還是會再次觸發黑洞。

WAF 配置了多個網域名稱,如何查看是哪個網域名稱被攻擊的?

一般情況下,駭客會解析某個 WAF 已防護的網域名稱,在擷取您 WAF 執行個體的 IP 後,對其發起 DDoS 攻擊。然而,大流量的 DDoS 攻擊都是針對 WAF IP,從攻擊流量中無法得知具體哪個網域名稱被攻擊。

您可以使用網域名稱拆分來獲知哪個網域名稱被攻擊。例如,您可以將部分網域名稱解析到 WAF,部分網域名稱解析到其他地方(ECS 來源站點、CDN 或 SLB 等),如果拆分之後 WAF 不再被黑洞,則說明駭客的目的在拆分出去的部分網域名稱中。但是,這種方式操作比較複雜,且可能導致來源站點等其它資產的暴露,從而引發更大的安全問題。因此,除非在必要情況下,不建議您通過這種方式來判斷哪個網域名稱被攻擊。

能否協助更換 WAF 的 IP,這樣就不會被黑洞了?

更換 WAF IP 無法解決實際問題。如果駭客針對您的網域名稱進行攻擊,即使更換了 WAF IP,駭客只需要 ping 您的網域名稱就能擷取到更換後的 IP,並且繼續發起 DDoS 攻擊。

DDoS 攻擊和 CC 攻擊有什麼區別?WAF 為什麼不能防禦 DDoS 攻擊?

大流量的 DDoS 攻擊主要是針對 IP 的四層攻擊;而 CC 是七層攻擊(例如 HTTP GET/POST Flood)。

WAF 可以防護 CC 攻擊;但對於大流量的 DDoS 攻擊,由於需要通過足夠大的頻寬資源把所有流量都硬抗下來再進行清洗,只能通過高防 IP 服務來防護。