本文列举了DDoS高防(新BGP、国际)服务相关的常见问题。

DDoS高防实例过期后会怎样?

DDoS高防实例过期后无防御能力,具体说明如下:
  • 过期7天内转发规则配置正常生效,流量超限将触发流量限速,可能导致随机丢包。
  • 过期7天后将停止业务流量转发。这种情况下,如果您的业务访问地址仍解析到DDoS高防实例,则业务将无法被访问到。

更多信息,请参见实例到期说明

DDoS高防业务带宽说明

DDoS高防实例的业务带宽指接入当前实例防护业务的正常业务流量,取入流量和出流量其中的较大值,单位:Mbps。

您可以在DDoS高防控制台实例管理页面对实例进行升级,增大当前实例的业务带宽。具体操作,请参见升级DDoS高防实例规格

超过DDoS高防业务带宽会有什么影响?

如果您的业务流量超过购买的DDoS高防实例的业务带宽,将触发流量限速,可能导致随机丢包。

DDoS高防实例支持手动解除黑洞状态吗?

DDoS高防(新BGP)和DDoS高防(国际)实例有区别,具体说明如下:
  • DDoS高防(新BGP)实例:支持。

    每个阿里云账号每天共有五次手动解除黑洞状态的机会,每天零点自动恢复成五次。关于手动解除黑洞的具体操作,请参见黑洞解封

  • DDoS高防(国际)实例:暂不支持。

    与DDoS高防(新BGP)实例存在固定的防护带宽不同,DDoS高防(国际)实例提供不设上限的高级防护,正常情况下不需要手动解除黑洞。

    说明 如果您目前使用DDoS高防(国际)保险版实例,由于当月可用的高级防护次数已消耗完,导致业务被攻击后进入黑洞状态,建议您将保险版实例升级到无忧版实例(提供不限次数的高级防护)。DDoS高防(国际)保险版实例升级到无忧版实例后,可以自动解除原保险版实例的黑洞状态。

DDoS高防的回源IP地址有哪些?

您可以在DDoS高防控制台域名接入页面查看DDoS高防的回源IP网段。更多信息,请参见放行DDoS高防回源IP

DDoS高防是否会自动将DDoS高防的回源IP地址加入白名单?

不会。如果您的源站部署了防火墙或第三方的主机安全防护软件,您需要将DDoS高防的回源IP网段添加至相应的白名单中。更多信息,请参见放行DDoS高防回源IP

DDoS高防服务中的源站IP可以填写内网IP吗?

不可以。DDoS高防通过公网进行回源,不支持直接填写内网IP。

修改DDoS高防服务的源站IP是否有延迟?

有延迟。修改DDoS高防服务已防护的源站IP后,需要大约五分钟生效,建议您在业务低峰期进行变更操作。相关操作,请参见更换源站ECS公网IP

DDoS高防实例配置了多个网站业务,被攻击后如何查看是哪个网站受到攻击?

针对DDoS高防的大流量DDoS攻击行为,从数据包层面是无法分辨具体是哪个网站受到攻击。建议您使用多组DDoS高防实例,将您的网站分别部署在不同的DDoS高防实例上即可查看各个网站遭受攻击的情况。

DDoS高防是否支持健康检查?

支持。网站业务默认开启健康检查。非网站业务默认不开启健康检查,但可以通过DDoS高防控制台开启,具体操作,请参见配置健康检查

关于健康检查的更多信息,请参见健康检查概述

DDoS高防配置多个源站时如何进行负载均衡?

网站业务通过源地址HASH方式进行负载均衡。非网站业务可通过加权轮询的方式轮询转发。

DDoS高防服务是否支持会话保持?

支持。非网站业务可以通过DDoS高防控制台开启会话保持,具体操作,请参见配置会话保持

DDoS高防服务的会话保持是如何实现的?

开启会话保持后,在会话保持的设定期间内,DDoS高防服务会把同一IP的请求持续发往源站中的一台服务器。但是,如果客户端的网络环境发生变化(例如,从有线切成无线、4G网络切成无线等),由于IP变化会导致会话保持失效。

DDoS高防的四层TCP默认连接超时时间是多长?

900秒。

DDoS高防的HTTP或HTTPS默认连接超时时间是多久?

120秒。

DDoS高防服务是否支持IPv6协议?

暂不支持。

DDoS高防服务是否支持Websocket协议?

支持。更多信息,请参见DDoS高防WebSocket配置

DDoS高防服务是否支持HTTPS双向认证?

网站接入方式不支持HTTPS双向验证。非网站接入且使用TCP转发方式时,支持HTTPS双向验证。

为什么老版本浏览器和安卓客户端无法正常访问HTTPS站点?

可能是因为客户端不支持SNI认证,请确认客户端是否支持SNI认证。关于SNI认证可能引发的问题,请参见SNI可能引发的HTTPS访问异常

DDoS高防支持的SSL协议和加密套件有哪些?

支持的SSL协议包括:TLS 1.0、TLS 1.1、TLS 1.2、TLS 1.3。

支持的加密套件包括:
  • ECDHE-ECDSA-AES128-GCM-SHA256
  • ECDHE-ECDSA-AES256-GCM-SHA384
  • ECDHE-ECDSA-AES128-SHA256
  • ECDHE-ECDSA-AES256-SHA384
  • ECDHE-RSA-AES128-GCM-SHA256
  • ECDHE-RSA-AES256-GCM-SHA384
  • ECDHE-RSA-AES128-SHA256
  • ECDHE-RSA-AES256-SHA384
  • AES128-GCM-SHA256
  • AES256-GCM-SHA384
  • AES128-SHA256 AES256-SHA256
  • ECDHE-ECDSA-AES128-SHA
  • ECDHE-ECDSA-AES256-SHA
  • ECDHE-RSA-AES128-SHA
  • ECDHE-RSA-AES256-SHA
  • AES128-SHA AES256-SHA
  • DES-CBC3-SHA

更多信息,请参见自定义TLS安全策略

DDoS高防如何保证上传证书及密钥的安全性?是否会解密HTTPS流量并记录访问请求的内容?

阿里云DDoS高防在防护HTTPS业务时,需要您上传对应的SSL证书及密钥,用于解密HTTPS流量并检测流量中的攻击特征。我们使用了专用的证书服务器(Key Server)来存储和管理密钥。Key Server依托于阿里云密钥管理系统KMS(Key Management Service),能够保护证书和密钥的数据安全性、完整性和可用性,符合监管和等保合规要求。关于KMS的详细介绍,请参见什么是密钥管理服务

DDoS高防使用您上传的SSL证书及密钥解密HTTPS业务流量,只用于实时检测。我们只会记录包含攻击特征(payload)的部分请求内容,用于攻击报表展示、数据统计等,不会在您未授权的情况下,记录全量的请求或响应内容。

阿里云DDoS高防已通过ISO9001、ISO20000、ISO27001、ISO27017、ISO27018、ISO22301、ISO27701、ISO29151、BS10012、CSA STAR、等保三级、SOC1/2/3、C5、HK金融、菲律宾金融、OSPA、ISO27001(印尼)、PCI DSS等多项国际权威认证,且作为标准的阿里云云产品,在云平台层面具备与阿里云同等水平的安全合规资质。详细内容,请参见阿里云信任中心

说明 使用DDoS高防防护HTTPS业务时,您也可以选择双证书方案,即在DDoS高防上使用一套证书及密钥,在源站服务器上使用另一套证书及密钥(两套证书及密钥必须都是合法的),以便将上传到DDoS高防的证书及密钥与源站服务器的证书及密钥分开管理。

DDoS高防支持的防护端口数和防护域名数有什么限制?

关于防护端口数、域名数的具体限制如下:
  • 防护端口数:
    • 一个DDoS高防(新BGP)实例默认支持50个端口,支持扩展至400个。
    • 一个DDoS高防(国际)实例默认支持5个端口,支持扩展至400个。
  • 支持域名数:
    • 一个DDoS高防(新BGP)实例默认支持50个域名配置,最大可扩展至200个。
    • 一个DDoS高防(国际)实例默认支持10个域名配置,最大可扩展至200个。

服务器的流量未达到清洗阈值,为何安全总览中会出现清洗流量?

对于已接入DDoS高防服务的业务,DDoS高防将自动过滤网络流量中存在的一些畸形包(例如,SYN小包、SYN标志位异常等不符合TCP协议的数据包),使您的业务服务器无需浪费资源处理这些明显的畸形包。这类被过滤的畸形包也将被计入清洗流量中,因此即使您的服务器流量未达清洗阈值,仍可能出现清洗流量。

DDoS高防服务是否支持接入采用NTLM协议认证的网站?

不支持。经DDoS高防转发的访问请求可能无法通过源站服务器的NTLM认证,客户端将反复出现认证提示。建议您的网站采用其他方式进行认证。

阿里云DDoS高防开放的端口是否对我的业务安全造成影响?

不会。DDoS高防(新BGP)和高防(国际)开放的端口都不会对您的业务造成影响。

高防对外提供流量接入转发服务,防护集群中会预定义一系列端口用于您的网站业务接入和防护服务。每个接入高防的域名或端口的业务流量只通过接入配置时设置的源站服务端口进行转发。任何未接入高防的源站服务端口上的访问请求是不会被转发到源站服务器的,因此未配置接入高防的端口开启不会对您的源站服务带来任何安全风险和威胁。