全部产品
Search
文档中心

DDoS 防护:DDoS高防常见问题

更新时间:Feb 22, 2024

本文列举了DDoS高防(中国内地、非中国内地)服务相关的常见问题。

DDoS高防实例过期后会怎样?

DDoS高防实例过期后无防御能力,具体说明如下:

  • 过期7天内转发规则配置正常生效,流量超限将触发流量限速,可能导致随机丢包。

  • 过期7天后将停止业务流量转发。这种情况下,如果您的业务访问地址仍解析到DDoS高防实例,则业务将无法被访问到。

更多信息,请参见DDoS高防(中国内地)计费说明

DDoS高防业务带宽说明

DDoS高防实例的业务带宽指接入当前实例防护业务的正常业务流量,取入流量和出流量其中的较大值,单位:Mbps。

您可以在DDoS高防控制台实例管理页面对实例进行升级,增大当前实例的业务带宽。具体操作,请参见升级实例

超过DDoS高防业务带宽会有什么影响?

如果您的业务流量超过购买的DDoS高防实例的业务带宽,将触发流量限速,可能导致随机丢包。

DDoS高防实例支持手动解除黑洞状态吗?

DDoS高防(中国内地)和DDoS高防(非中国内地)实例有区别,具体说明如下:

  • DDoS高防(中国内地)实例:支持。

    每个阿里云账号每天共有五次手动解除黑洞状态的机会,每天零点自动恢复成五次。关于手动解除黑洞的具体操作,请参见黑洞解封

  • DDoS高防(非中国内地)实例:暂不支持。

    与DDoS高防(中国内地)实例存在固定的防护带宽不同,DDoS高防(非中国内地)实例提供不设上限的高级防护,正常情况下不需要手动解除黑洞。

    说明

    如果您目前使用DDoS高防(非中国内地)保险版实例,由于当月可用的高级防护次数已消耗完,导致业务被攻击后进入黑洞状态,建议您将保险版实例升级到无忧版实例(提供不限次数的高级防护)。DDoS高防(非中国内地)保险版实例升级到无忧版实例后,可以自动解除原保险版实例的黑洞状态。

DDoS高防的回源IP地址有哪些?

您可以在DDoS高防控制台域名接入页面查看DDoS高防的回源IP网段。更多信息,请参见放行DDoS高防回源IP

DDoS高防是否会自动将DDoS高防的回源IP地址加入白名单?

不会。如果您的源站部署了防火墙或第三方的主机安全防护软件,您需要将DDoS高防的回源IP网段添加至相应的白名单中。更多信息,请参见放行DDoS高防回源IP

DDoS高防服务中的源站IP可以填写内网IP吗?

不可以。DDoS高防通过公网进行回源,不支持直接填写内网IP。

修改DDoS高防服务的源站IP是否有延迟?

有延迟。修改DDoS高防服务已防护的源站IP后,需要大约五分钟生效,建议您在业务低峰期进行变更操作。相关操作,请参见更换源站ECS公网IP

DDoS高防是否支持健康检查?

支持。网站业务默认开启健康检查。非网站业务默认不开启健康检查,但可以通过DDoS高防控制台开启,具体操作,请参见配置健康检查

关于健康检查的更多信息,请参见CLB健康检查工作原理

DDoS高防配置多个源站时如何进行负载均衡?

网站业务通过源地址HASH方式进行负载均衡。非网站业务可通过加权轮询的方式轮询转发。

DDoS高防服务是否支持会话保持?

支持。非网站业务可以通过DDoS高防控制台开启会话保持,具体操作,请参见配置会话保持

DDoS高防服务的会话保持是如何实现的?

开启会话保持后,在会话保持的设定期间内,DDoS高防服务会把同一IP的请求持续发往源站中的一台服务器。但是,如果客户端的网络环境发生变化(例如,从有线切成无线、4G网络切成无线等),由于IP变化会导致会话保持失效。

DDoS高防的四层TCP默认连接超时时间是多长?

900秒。

DDoS高防的HTTP或HTTPS默认连接超时时间是多久?

120秒。

DDoS高防服务是否支持IPv6协议?

DDoS高防(中国内地)支持,DDoS高防(非中国内地)暂不支持。

说明

DDoS高防(中国内地)实例支持IPv4高防IP和IPv6高防IP。IPv6高防IP支持转发来自IPv6客户端的请求,对接入业务有以下限制:域名接入只支持IPv4源站,端口接入支持IPv4或IPv6源站。

DDoS高防服务是否支持Websocket协议?

支持。更多信息,请参见DDoS高防WebSocket配置

DDoS高防服务是否支持HTTPS双向认证?

网站接入方式不支持HTTPS双向验证。非网站接入且使用TCP转发方式时,支持HTTPS双向验证。

为什么老版本浏览器和安卓客户端无法正常访问HTTPS站点?

可能是因为客户端不支持SNI认证,请确认客户端是否支持SNI认证。关于SNI认证可能引发的问题,请参见SNI可能引发的HTTPS访问异常

DDoS高防支持的SSL协议和加密套件有哪些?

支持的SSL协议包括:TLS 1.0、TLS 1.1、TLS 1.2、TLS 1.3。

支持的加密套件包括:

  • ECDHE-ECDSA-AES128-GCM-SHA256

  • ECDHE-ECDSA-AES256-GCM-SHA384

  • ECDHE-ECDSA-AES128-SHA256

  • ECDHE-ECDSA-AES256-SHA384

  • ECDHE-RSA-AES128-GCM-SHA256

  • ECDHE-RSA-AES256-GCM-SHA384

  • ECDHE-RSA-AES128-SHA256

  • ECDHE-RSA-AES256-SHA384

  • AES128-GCM-SHA256

  • AES256-GCM-SHA384

  • AES128-SHA256

  • AES256-SHA256

  • ECDHE-ECDSA-AES128-SHA

  • ECDHE-ECDSA-AES256-SHA

  • ECDHE-RSA-AES128-SHA

  • ECDHE-RSA-AES256-SHA

  • AES128-SHA

  • AES256-SHA

  • DES-CBC3-SHA

更多信息,请参见自定义TLS安全策略

DDoS高防如何保证上传证书及密钥的安全性?是否会解密HTTPS流量并记录访问请求的内容?

阿里云DDoS高防在防护HTTPS业务时,需要您上传对应的SSL证书及密钥,用于解密HTTPS流量并检测流量中的攻击特征。我们使用了专用的证书服务器(Key Server)来存储和管理密钥。Key Server依托于阿里云密钥管理系统KMS(Key Management Service),能够保护证书和密钥的数据安全性、完整性和可用性,符合监管和等保合规要求。关于KMS的详细介绍,请参见什么是密钥管理服务

DDoS高防使用您上传的SSL证书及密钥解密HTTPS业务流量,只用于实时检测。我们只会记录包含攻击特征(payload)的部分请求内容,用于攻击报表展示、数据统计等,不会在您未授权的情况下,记录全量的请求或响应内容。

阿里云DDoS高防已通过ISO9001、ISO20000、ISO27001、ISO27017、ISO27018、ISO22301、ISO27701、ISO29151、BS10012、CSA STAR、等保三级、SOC1/2/3、C5、HK金融、菲律宾金融、OSPAR、ISO27001(印尼)、PCI DSS等多项国际权威认证,且作为标准的阿里云云产品,在云平台层面具备与阿里云同等水平的安全合规资质。详细内容,请参见阿里云信任中心

说明

使用DDoS高防防护HTTPS业务时,您也可以选择双证书方案,即在DDoS高防上使用一套证书及密钥,在源站服务器上使用另一套证书及密钥(两套证书及密钥必须都是合法的),以便将上传到DDoS高防的证书及密钥与源站服务器的证书及密钥分开管理。

DDoS高防支持的防护端口数和防护域名数有什么限制?

关于防护端口数、域名数的具体限制如下:

  • 防护端口数:

    • 一个DDoS高防(中国内地)实例默认支持50个端口,支持扩展至400个。

    • 一个DDoS高防(非中国内地)实例默认支持5个端口,支持扩展至400个。

  • 支持域名数:

    • 一个DDoS高防(中国内地)实例默认支持50个域名配置,最大可扩展至200个。

    • 一个DDoS高防(非中国内地)实例默认支持10个域名配置,最大可扩展至200个。

服务器的流量未达到清洗阈值,为何安全总览中会出现清洗流量?

对于已接入DDoS高防服务的业务,DDoS高防将自动过滤网络流量中存在的一些畸形包(例如,SYN小包、SYN标志位异常等不符合TCP协议的数据包),使您的业务服务器无需浪费资源处理这些明显的畸形包。这类被过滤的畸形包也将被计入清洗流量中,因此即使您的服务器流量未达清洗阈值,仍可能出现清洗流量。

DDoS高防服务是否支持接入采用NTLM协议认证的网站?

不支持。经DDoS高防转发的访问请求可能无法通过源站服务器的NTLM认证,客户端将反复出现认证提示。建议您使用DDoS原生防护,了解更多信息,请参见什么是DDoS原生防护

阿里云DDoS高防开放的端口是否对我的业务安全造成影响?

不会。DDoS高防(中国内地)和高防(非中国内地)开放的端口都不会对您的业务造成影响。

高防对外提供流量接入转发服务,防护集群中会预定义一系列端口用于您的网站业务接入和防护服务。每个接入高防的域名或端口的业务流量只通过接入配置时设置的源站服务端口进行转发。任何未接入高防的源站服务端口上的访问请求是不会被转发到源站服务器的,因此未配置接入高防的端口开启不会对您的源站服务带来任何安全风险和威胁。

DDoS高防是否支持屏蔽境外指定国家IP或所有境外IP的访问?

支持。DDoS高防提供区域封禁,对于境外IP支持您按国家设置封禁。

如果您需要对DDoS高防实例防护的所有业务设置区域封禁,请参见设置区域封禁。如果您需要对指定域名设置区域封禁,请参见设置区域封禁(针对域名)

CDN或DCDN能否和DDoS高防串联?

不建议。

  • 流量先到CDN或DCDN,再到DDoS高防

    攻击流量到CDN或DCDN后,CDN或DCDN被攻击可能会进入沙箱,无法将流量转发给DDoS高防,DDoS高防的防护失去意义。

  • 流量先到DDoS高防,再到CDN或DCDN

    使用CDN或DCDN的目的是用户可以实现访问加速,流量先经过DDoS高防会导致时延增加,影响加速效果。

更多详细信息,请参见DDoS高防和CDN或DCDN联动

域名既使用了CDN或DCDN加速,又使用了DDoS高防,如何配置DNS解析?

您需要在加速产品(CDN或DCDN)和DDoS高防分别配置域名接入,然后在DDoS高防的流量调度器中配置联动。域名解析到DDoS高防流量调度器生成的CNAME地址。

说明

仅DDoS高防实例的功能套餐为增强功能时,支持和加速产品(CDN或DCDN)联动。

在业务正常访问期间,流量不经过高防清洗就近使用CDN加速,减少业务延迟,保障业务分发高可用;仅在业务被攻击时流量切换到DDoS高防进行清洗,保证业务平稳运行。更多详细信息,请参见DDoS高防和CDN或DCDN联动