本文介绍了Web应用防火墙(WAF)遭受大流量DDoS攻击后进入黑洞的解决方法。

什么是黑洞

当Web应用防火墙(WAF)遭受到大流量的DDoS攻击时,如果流量太大超过了阿里云免费提供的DDoS防护能力,就会进入黑洞。此时,您会在Web应用防火墙管理控制台的消息区域收到提示信息。
已被黑洞
当WAF IP被黑洞后,所有到WAF的流量(不论是正常访问还是攻击)都会被丢弃。这意味着您当前WAF防护下的所有域名在黑洞期间都无法访问。
说明 黑洞后,只能等待黑洞时间结束之后,系统自动解除黑洞状态。默认的黑洞时间为150分钟。Web应用防火墙的黑洞阈值与您的ECS所在地域的默认阈值相同。

关于黑洞和黑洞策略的详情,请参见阿里云黑洞策略

WAF 被黑洞了怎么办

默认情况下,每个WAF实例分配给您一个独享的IP,一旦这个WAF IP被黑洞,所有WAF实例上配置的域名都无法访问。为了避免这种“连坐”情况的发生,您可以为重要的域名单独购买额外的独享IP,以防重要域名受其它被DDoS攻击的域名牵连。
说明 解决大流量 DDoS 攻击的根本办法是使用高防IP服务对您的域名进行防护。如果您已采用高防IP结合WAF的部署架构,但WAF仍然被黑洞,请提交工单联系技术支持团队协助处理。

WAF 黑洞常见问题

  • Q:WAF被黑洞了,是否能马上为我解除?

    A:由于黑洞是阿里云向运营商购买的服务,而运营商对黑洞解除时间和频率都有严格的限制,所以黑洞状态无法人工解除,需耐心等待系统自动解封。

    事实上,即使立刻解除黑洞,如果WAF仍在遭受大流量DDoS攻击,还是会再次触发黑洞。

  • Q:WAF配置了多个域名,如何查看是哪个域名被攻击的?

    A:一般情况下,黑客会解析某个WAF已防护的域名,在获取您WAF实例的IP后,对其发起DDoS攻击。然而,大流量的DDoS攻击都是针对WAF IP,从攻击流量中无法得知具体哪个域名被攻击。

    您可以使用域名拆分来获知哪个域名被攻击。例如,您可以将部分域名解析到WAF,部分域名解析到其他地方(ECS源站、CDN或SLB 等),如果拆分之后WAF不再被黑洞,则说明黑客的目标在拆分出去的部分域名中。但是,这种方式操作比较复杂,且可能导致源站等其它资产的暴露,从而引发更大的安全问题。因此,除非在必要情况下,不建议您通过这种方式来判断哪个域名被攻击。

  • Q:能否协助更换WAF的IP,这样就不会被黑洞了?

    A:更换WAF IP无法解决实际问题。如果黑客针对您的域名进行攻击,即使更换了WAF IP,黑客只需要ping您的域名就能获取到更换后的IP,并且继续发起DDoS攻击。

  • Q:DDoS攻击和CC攻击有什么区别?WAF为什么不能防御DDoS攻击?

    A:大流量的DDoS攻击主要是针对IP的四层攻击;而CC是七层攻击(例如HTTP GET/POST Flood)。

    WAF可以防御CC攻击;但对于大流量的DDoS攻击,由于需要通过足够大的带宽资源把所有流量都硬抗下来再进行清洗,只能通过高防IP服务来防护。