什麼是黑洞
關於黑洞和黑洞策略的詳情,請參考阿里雲黑洞策略。
WAF 被黑洞了怎麼辦
WAF 黑洞常見問題
WAF 被黑洞了,是否能馬上給我解除?
由於黑洞是阿里雲向電訊廠商購買的服務,而電訊廠商對黑洞解除時間和頻率都有嚴格的限制,所以黑洞狀態無法人工解除,需耐心等待系統自動解鎖。
事實上,即使立刻解除黑洞,如果 WAF 仍在遭受大量 DDoS 攻擊,還是會再次觸發黑洞。
WAF 配置了多個網域名稱,如何查看是哪個網域名稱被攻擊的?
一般情況下,駭客會解析某個 WAF 已防護的網域名稱,在擷取您 WAF 執行個體的 IP 後,對其發起 DDoS 攻擊。然而,大流量的 DDoS 攻擊都是針對 WAF IP,從攻擊流量中無法得知具體哪個網域名稱被攻擊。
您可以使用網域名稱拆分來獲知哪個網域名稱被攻擊。例如,您可以將部分網域名稱解析到 WAF,部分網域名稱解析到其他地方(ECS 來源站點、CDN 或 SLB 等),如果拆分之後 WAF 不再被黑洞,則說明駭客的目的在拆分出去的部分網域名稱中。但是,這種方式操作比較複雜,且可能導致來源站點等其它資產的暴露,從而引發更大的安全問題。因此,除非在必要情況下,不建議您通過這種方式來判斷哪個網域名稱被攻擊。
能否協助更換 WAF 的 IP,這樣就不會被黑洞了?
更換 WAF IP 無法解決實際問題。如果駭客針對您的網域名稱進行攻擊,即使更換了 WAF IP,駭客只需要 ping 您的網域名稱就能擷取到更換後的 IP,並且繼續發起 DDoS 攻擊。
DDoS 攻擊和 CC 攻擊有什麼區別?WAF 為什麼不能防禦 DDoS 攻擊?
大流量的 DDoS 攻擊主要是針對 IP 的四層攻擊;而 CC 是七層攻擊(例如 HTTP GET/POST Flood)。
WAF 可以防護 CC 攻擊;但對於大流量的 DDoS 攻擊,由於需要通過足夠大的頻寬資源把所有流量都硬抗下來再進行清洗,只能通過高防 IP 服務來防護。