本文列举了DDoS高防(中国内地、非中国内地)服务相关的常见问题。
问题总览
产品计费与规格
接入与配置
功能与协议支持
防护与安全机制
产品计费与规格
DDoS高防实例过期后会怎样?
以DDoS高防(中国内地)为例:
到期后7天内:实例的防护能力降至5Gbps基础黑洞阈值。当业务流量或攻击流量超过5Gbps时,IP将被黑洞。
到期后7-30天内:实例将停止转发所有业务流量。在此期间续费,服务可恢复。
到期后30天及以后:实例资源将被彻底释放,配置丢失且无法恢复。
更多信息,请参见DDoS高防(中国内地)计费说明。
DDoS高防支持的防护端口数和域名数有什么限制?
防护端口数:
中国内地实例:默认50个,可按需扩展至400个。
非中国内地实例:默认5个,可按需扩展至400个。
防护域名数:
中国内地实例:默认50个,可按需扩展至200个。
非中国内地实例:默认10个,可按需扩展至200个。
接入与配置
如何获取DDoS高防的回源IP地址?需要手动添加到白名单吗?
获取回源IP:您可以在DDoS高防控制台的域名接入或相关页面查看最新的回源IP地址段。
添加白名单:需要手动添加。DDoS高防不会自动修改您的源站安全策略。如果您的源站服务器部署了防火墙、安全组或第三方安全软件,您必须将DDoS高防的回源IP网段添加至白名单,否则所有经过高防转发的正常访问流量将被源站拦截。
说明更多信息,请参见放行DDoS高防回源IP。
DDoS高防的源站IP可以填写内网IP吗?修改源站IP有延迟吗?
源站IP类型:不可以。DDoS高防通过公网与您的源站通信,因此源站IP必须是公网IP。
修改延迟:有。修改源站IP后,配置在全网节点同步生效约需5分钟。建议您在业务低峰期进行此项操作,以避免对业务造成影响。
说明更多信息,请参见固定公网IP。
DDoS高防如何实现负载均衡、健康检查与会话保持?
负载均衡:当您配置多个源站IP时:
网站业务(七层):支持轮询、IPHash、最少时间三种策略。
非网站业务(四层):默认为轮询策略,不支持修改。
健康检查:支持。网站业务默认开启,非网站业务默认关闭但可手动开启。高防会探测源站服务的可用性,并自动剔除异常的源站IP。
会话保持:仅在纯端口转发接入时配置生效,开启应用层防护增强时,配置不生效。开启后,高防能在一定时间内将来自同一客户端IP的请求持续转发到同一台后端服务器。具体操作,请参见配置会话保持。
说明若客户端网络环境变化(如Wi-Fi切至4G),其公网IP会改变,导致会话保持失效。
DDoS高防能否与CDN或DCDN联动使用?如何配置?
可以,但强烈不推荐直接串联。正确的做法是使用DDoS高防提供的智能联动方案,它能兼顾加速与防护效果。
直接串联方式:
流量先到CDN/DCDN再到高防:CDN/DCDN节点被攻击后可能进入沙箱,导致流量无法到达高防,使防护失效。
流量先到高防再到CDN/DCDN:高防回源会增加时延,影响CDN/DCDN的加速效果。
联动方案:使用DDoS高防增强功能套餐提供的流量调度器功能与CDN/DCDN联动。
工作原理:将域名解析至流量调度器生成的CNAME。正常时期,流量走CDN/DCDN以实现加速;当攻击发生时,流量自动切换到DDoS高防进行清洗,攻击结束后再切回。
优势:兼顾了日常访问的加速体验和被攻击时的业务可用性。
功能与协议支持
DDoS高防支持哪些常见协议?
IPv6:DDoS高防(中国内地)支持,非中国内地暂不支持。
WebSocket:支持。更多信息,请参见DDoS高防WebSocket配置。
NTLM认证:不支持。经DDoS高防转发的请求可能无法通过源站的NTLM认证,建议改用DDoS原生防护产品。
GRPC:不支持。
SSE:支持。
DDoS高防的默认连接超时时间是多久?
四层TCP连接:900秒。
七层HTTP/HTTPS连接:120秒。
DDoS高防如何支持HTTPS?
HTTPS双向认证:支持。详细介绍,请参见使用DDoS高防部署HTTPS双向认证。
域名接入(七层):您需在DDoS高防控制台上传服务端证书和客户端CA证书,由高防节点完成对客户端证书的验证。
端口接入(四层):高防作为透明传输通道,双向认证流程完全由您的源站服务器处理。
SSL协议与加密套件:支持TLS1.0至1.3版本,并支持包括
ECDHE-ECDSA-AES128-GCM-SHA256在内的多种主流和传统加密套件,可以在控制台自定义TLS安全策略。更多信息,请参见自定义服务器HTTPS证书的TLS安全策略。
SNI兼容性问题:若老版本浏览器或部分安卓客户端无法访问您的HTTPS站点,很可能是因为它们不支持SNI(服务器名称指示)。DDoS高防通过SNI承载多域名HTTPS业务,不兼容的客户端无法完成TLS握手。关于SNI认证可能引发的问题,请参见SNI可能引发的HTTPS访问异常。
防护与安全机制
DDoS高防的业务带宽是什么,超限了怎么办?
业务带宽:指接入高防防护的正常业务流量,系统取入方向和出方向流量的较大值作为计量标准,单位为Mbps。
超量影响:如果您的实际业务流量超过了所购实例的业务带宽规格,将触发流量限速,会造成业务访问卡顿、响应缓慢或出现间歇性连接失败或随机丢包。处理步骤如下:
确认带宽使用情况 在DDoS高防控制台的实例管理页面,监控实例的带宽图表,确认是否超出规格。
紧急升级实例
目的:立即提升业务带宽上限,恢复业务性能。
操作:
登录DDoS高防控制台。
在实例管理页面,找到目标实例,单击操作列的升级实例。
在业务带宽配置项选择更高的规格,完成支付。
生效时间:配置变更将在3-5分钟内全网生效。
如何处理黑洞状态?DDoS高防实例支持手动解除黑洞吗?
当攻击流量超出实例的防护能力上限时,为保护阿里云机房整体稳定,实例IP将被黑洞,导致所有业务中断。所有通过该高防实例的业务完全不可访问。处理步骤如下:
评估攻击态势 登录DDoS高防控制台,在安全总览页面查看攻击流量的峰值和趋势,确认攻击是否已停止或减弱。
执行黑洞解除
DDoS高防(中国内地)实例
目的:在确认攻击流量已回落至实例防护能力范围内后,手动恢复业务访问。
前提:每个阿里云账号每天共有五次手动解除黑洞的机会,每日零点重置。
操作:关于手动解除黑洞的具体操作,请参见黑洞解封。
登录DDoS高防控制台,在。页面中找到并选中需要解封的实例。
定位到该实例下方的黑洞解封区域,直接单击解封按钮即可完成手动操作。
DDoS高防(非中国内地)实例
限制:暂不支持手动解除黑洞状态。
建议:
保险版实例:若因当月高级防护次数耗尽而进入黑洞,建议立即升级实例至无忧版。升级后,黑洞状态将自动解除。
无忧版实例:提供不设上限的高级防护,正常情况下不会因超出防护能力而黑洞。如遇黑洞,请提交工单。
为什么未达到流量清洗阈值,安全总览仍然出现清洗流量?
是正常现象。DDoS高防会自动过滤所有流入流量中的畸形网络包(如SYN小包、标志位异常等不符合TCP协议规范的数据包)。这些被拦截的畸形包会计入“清洗流量”。因此,即使业务未遭受大规模攻击,也可能产生少量的清洗流量记录。
DDoS高防是否支持屏蔽境外IP访问?
支持。DDoS高防提供“区域封禁”功能,您可以根据业务需求,按国家或地区设置访问控制策略,实现对境外IP的精准封禁或放行。
上传HTTPS证书和密钥到是否安全?高防会解密HTTPS流量并记录访问请求的内容吗?
密钥安全:非常安全。DDoS高防使用专用的证书服务器(Key Server)存储和管理证书与密钥。该服务依托于阿里云密钥管理系统KMS,通过了ISO27001、SOC1/2/3、PCI DSS等多项国际权威认证,确保密钥安全。阿里云同等水平的安全合规资质。详细内容,请参见阿里云信任中心。
流量隐私:不会记录全量内容。DDoS高防仅在实时检测时解密HTTPS流量,不会记录全量的请求或响应内容,仅在发现攻击时记录部分攻击特征(payload)用于报表分析。
说明使用DDoS高防防护HTTPS业务时,也可以选择双证书方案,即在DDoS高防上使用一套证书及密钥,在源站服务器上使用另一套证书及密钥(两套证书及密钥必须都是合法的),以便将上传到DDoS高防的证书及密钥与源站服务器的证书及密钥分开管理。
高防集群的开放端口有风险吗?
不会。高防集群对外开放的端口仅用于流量接入和转发。业务流量只会通过您在控制台为域名或端口配置的指定端口进行转发。任何未配置接入高防的源站服务端口,其访问请求都不会被转发到您的源站,因此不会带来额外的安全风险。