本文档列举了高防 IP 服务相关的常见问题。您可以在问题列表中查找您想要了解的问题,并单击问题查看相关解答。

非阿里云用户可以使用高防 IP 服务吗?

非阿里云用户也可以使用高防 IP 服务。

高防 IP 是公网回源,因此只要是公网路由可达的服务器,不论是在阿里云、或是其他的云、IDC 机房等环境,都可以使用高防 IP 服务。

BGP 高防是什么?

BGP 高防线路默认提供 20 Gbps 基础防护带宽及最大 100 Gbps 的弹性防护带宽(BGP线路的最大弹性防护带宽根据网络流量实时动态调整,有时可能会低于 100 Gbps),主要用于提升非电信联通的用户访问体验。

更多关于 BGP 高防的信息,请查看BGP高防是什么?有什么优势?

高防 IP 是否支持二线路升级三线路?

高防 IP 服务不支持线路升级。您可重新购买三线高防 IP,进行配置迁移。在确认原双线高防 IP 已无业务流量后,提交工单说明已购买三线高防 IP、业务已迁移,并申请原双线高防 IP 的退款。

高防 IP 是否支持泛域名?

高防 IP 服务网站防护支持泛域名配置,您在配置 CC 防护和 WAF 防护的时候可以使用泛域名。

泛域名解析是指利用通配符(星号)作为次级域名,以实现所有的次级域名均指向同一 IP。 例如,为 www.taobao.com 配置泛域名解析后,访问 *.taobao.com 都将解析到泛域名解析的 IP。

中国大陆地域网站业务接入高防 IP 是否需要 ICP 备案?

是的,源站在中国大陆地域接入高防 IP 必须具备 ICP 备案。

更多相关信息,请查看高防IP是否需要网站备案接入

已购买 20G 基础防护带宽的高防 IP 实例,仍不够用,能否随时升级到更高的防护能力?

您可以登录云盾DDoS防护管理控制台,在资产 > 实例列表中,随时调整弹性防护带宽来获得更大的 DDoS 防护能力,弹性防护带宽调整即时生效。

高防 IP 过期后会怎样?

高防 IP 过期后内无防御能力,但转发规则配置正常生效,流量超限将触发流量限速,可能导致随机丢包。可通过控制台来释放实例。

高防 IP 服务带宽说明

高防 IP 业务防护带宽为一个高防实例累计的正常流量(以 IN 流量或 OUT 流量的最大值为准),单位:mbps。您可登录云盾DDoS防护管理控制台,在资产 > 实例列表中随时升级您的高防 IP 实例的业务带宽,目前最高支持升级到 2G 业务带宽。

购买高防 IP 业务带宽 500Mbps 后,是每个高防 IP 均拥有 500Mbps 业务带宽吗?

所购买的业务带宽是针对整个高防实例的。比如您的高防实例有三个高防 IP,则三个高防 IP 的业务带宽累加不能超过 500Mbps。

超过高防 IP 服务带宽会有什么影响?

如果您的流量超过购买的业务防护带宽,将触发流量限速,可能导致随机丢包。

高防 IP 被黑洞后,支持手动解封吗?

目前,高防 IP 服务已支持部分线路的手动解封操作。每个高防 IP 服务用户每天拥有三次黑洞解封机会,超过三次后当天将无法进行解封操作。更多详情,请查看黑洞解封

高防 IP 实例的状态显示为黑洞延迟中是什么意思?

如果您购买的高防 IP 实例非最高规格,当您的高防 IP 实例第一次遭受超过黑洞阈值的攻击时,您的高防 IP 将不会立刻进入黑洞,阿里云免费帮您延迟两个小时,黑洞延迟期间使用高达 120G 的弹性防护能力为您提供防御。
说明
  • 对于每个高防 IP 实例,仅提供一次黑洞延迟服务。
  • 黑洞延迟期间,如果遭受的攻击超过 120G,您的高防 IP 仍将进入黑洞。
  • 黑洞延迟结束后,您的高防 IP 实例将恢复至您所购买规格的防护能力,如果攻击仍在持续且超过黑洞阈值,您的高防 IP 将立即进入黑洞。

高防 IP 中国香港线路的备用 IP 的作用是什么?

当主 IP 所在机房发生故障、宕机等短时间内无法恢复的情况时,您可以使用备用 IP 进行灾备切换。为确保灾备切换顺畅,请保持备用 IP 与主 IP 配置同步。
说明 主、备 IP 的防护能力是不一样的,请使用主 IP 防护您的业务。备 IP 仅作为灾备切换时使用,正常情况下不建议使用备用 IP。

如果高防 IP 中国香港线路的主 IP 被黑洞了,是否整个高防 IP 都被黑洞了?

主 IP 被黑洞后,默认备用 IP 不会被黑洞。 但在这种情况下,高防 IP 服务不会自动将解析切换到备 IP。由于备用 IP 只有 500M 的防护能力,如果您将业务手动解析到备用 IP,攻击超过防护能力后,备用 IP 也会被黑洞。

高防回源 IP 地址有哪些?

您可以登录云盾DDoS防护管理控制台 中,查看详细的高防IP回源地址段。详细操作步骤,请参见如何查看高防回源IP段

高防 IP 是否会自动将高防 IP 的回源地址加入安全组?

高防 IP 服务不会将高防回源 IP 段添加到安全组,您也不需要将高防回源 IP 段添加到您的 ECS 或 VPC 安全组。但是,如果您的源站部署了防火墙或其它主机安全防护软件,您需要将高防回源IP段添加至相应的白名单中。

高防 IP 服务中的源站 IP 可以填写内网 IP 吗?

高防 IP 是通过公网进行回源的,不支持直接填写内网 IP。

修改高防 IP 服务的源站 IP 是否有延迟?

修改高防 IP 服务已防护的源站 IP 后,需要大约五分钟生效,建议您在业务低峰期进行变更操作。

在高防 IP 服务控制台中,更改配置后大约需要多少时间生效?

一般情况下,更改后的配置在5-10分钟即可生效。

高防 IP 服务控制台中,如何查看攻击者 IP 信息?

您可以在高防 IP 服务控制台中的安全报表中查看攻击者 IP 等相关攻击信息。

高防攻击源 IP 数据保留时间?

高防攻击源 IP 数据保留 30 天,建议您在高防 IP 服务的安全报表中及时获取相关数据。

高防 IP 服务的安全报表是否只能获取最近一个月的报表数据?

目前高防 IP 服务的安全报表不支持获取更早的数据,建议您及时获取对应的安全报表。

高防 IP 实例配置了多个网站业务,被攻击后如何查看是哪个网站受到攻击?

针对高防 IP 的大流量 DDoS 攻击行为,从数据包层面是无法分辨具体攻击哪个网站业务的。建议您使用多组高防 IP 实例,将您的网站分别部署在不同的高防 IP 实例上即可查看各个网站遭受攻击的情况。

高防IP服务的 CNAME 调度规则是什么?

当某个高防 IP 进入黑洞之后,CNAME 自动调度功能将随机地将该高防 IP 的流量调度至其它高防线路 IP,且生效时间也依赖于 LDNS 的缓存更新时间。
说明 需要开启 CNAME 自动调度功能。

非网站如何使用CNAME域名调度?

网站 CNAME:每个域名产生一个独立的 CNAME,且具备黑洞后的自动调度能力。

说明 如果满足以下条件,非网站配置可以通过网站的 CNAME 实现自动调度功能。
  • 三条线路的非网站转发的配置一致。
  • 应用本身调用支持域名调用。

在这种情况下,您可以配置一个网站接入(如forward.example.com),并使用该网站配置产生的 CNAME 供非网站转发使用,即可实现 CNAME 自动调度功能。

高防 IP 是否支持健康检查?

网站业务默认开启健康检查。关于高防 IP 的健康检查工作原理,参见 SLB 服务的健康检查原理

非网站业务默认不开启健康检查,但可以通过控制台来开启,操作步骤请参见高防健康检查配置

高防 IP 配置多个源站时如何负载?

  • 网站业务通过源地址 hash 方式进行负载均衡。
  • 非网站业务可通过加权轮询(wrr)的方式轮询转发,负载权重为 1:1:1。

高防 IP 服务是否有抓包文件?

电信和联通线路高防 IP 服务不支持下载抓包文件,您可在云盾管理控制台直接查看攻击源 IP 信息。

针对 BGP 高防 IP 服务,您可以通过工单,提供相关 IP 及黑洞时间,索取攻击时的采样抓包文件。

高防 IP 服务是否支持会话保持?

高防 IP 服务支持会话保持,默认不开启。非网站可以通过控制台进行配置操作,请参见高防配置会话保持规则

高防 IP 服务的会话保持是如何实现的?

开启会话保持后,在会话保持的设定期间内,高防 IP 服务会把同一 IP 的请求持续发往源站中的一台服务器。但是,如果客户端的网络环境发生变化(比如,从有线切成无线、4G 网络切成无线等),由于 IP 变化会导致会话无法保持。

高防 IP 的 TCP 默认连接超时时间是多少?

高防 IP 的 TCP 默认连接超时时间为 900s。非网站可以通过控制台进行配置操作,请参见高防配置会话保持规则

高防IP的 HTTP / HTTPS 默认连接超时时间是多少?

高防 IP 的 HTTP / HTTPS 默认连接超时时间为 120s。

高防 IP 服务是否支持 IPv6 协议?

高防 IP 服务暂时不支持 IPv6 协议。

高防 IP 服务是否支持 Web socket 协议?

高防 IP 服务中的网站业务支持 Web socket 协议。

更多信息,请参见高防websocket配置

高防 IP 服务是否支持 HTTPS 双向认证?

  • 网站接入方式不支持 HTTPS 双向验证。
  • 非网站接入且使用 TCP 转发方式,支持 HTTPS 双向验证。

老版本浏览器和安卓客户端无法正常访问 HTTPS 站点?

请确认客户端是否支持 SNI 认证。 关于 SNI 认证可能引发的问题,请查看SNI可能引发的HTTPS访问异常

高防支持的 SSL 协议和加密套件有哪些?

支持的 SSL 协议
  • TLSv1
  • TLSv1.1
  • TLSv1.2
支持的加密套件
  • ECDHE-ECDSA-AES128-GCM-SHA256
  • ECDHE-ECDSA-AES256-GCM-SHA384
  • ECDHE-ECDSA-AES128-SHA256
  • ECDHE-ECDSA-AES256-SHA384
  • ECDHE-RSA-AES128-GCM-SHA256
  • ECDHE-RSA-AES256-GCM-SHA384
  • ECDHE-RSA-AES128-SHA256
  • ECDHE-RSA-AES256-SHA384
  • AES128-GCM-SHA256
  • AES256-GCM-SHA384
  • AES128-SHA256
  • AES256-SHA256
  • ECDHE-ECDSA-AES128-SHA
  • ECDHE-ECDSA-AES256-SHA
  • ECDHE-RSA-AES128-SHA
  • ECDHE-RSA-AES256-SHA
  • AES128-SHA
  • AES256-SHA
  • DES-CBC3-SHA
  • RSA+3DES

高防支持的转发端口数及支持域名数?

  • 转发端口数:TCP/UDP协议转发支持条目数,默认为50个每IP,最大可扩展至200个每IP
  • 支持域名数:HTTP/HTTPS转发支持条目总数,默认为50条每实例,最大可扩展至200条每实例

服务器的流量未达到清洗阈值,为何安全报表中会出现清洗流量?

对于已接入DDoS高防IP服务的业务,高防IP将自动过滤网络流量中存在的一些畸形包(例如,SYN小包、SYN标志位异常等不符合TCP协议的数据包),使您的业务服务器无需浪费资源处理这些明显的畸形包。这类被过滤的畸形包也将被计入清洗流量中,因此即使您的服务器流量未达清洗阈值,仍可能出现清洗流量。

高防IP服务是否支持接入采用NTLM协议认证的网站防护?

高防IP服务不支持接入使用NTLM协议认证的网站,经高防转发的访问请求可能无法通过源站服务器的NTLM认证,客户端将反复出现认证提示。

建议您的网站采用其他方式进行认证。