AI 助理
备案控制台
官方文档
输入文档关键字查找
首页

DDoS基础防护和黑洞

更新时间:
产品详情
我的收藏

阿里云默认为CNAME接入WAF的域名提供DDoS基础防护能力,用于抵御常见的网络层和传输层DDoS攻击。本文介绍DDoS基础防护的工作原理,以及触发黑洞机制后的应对措施。

工作原理

防御能力

通过CNAME方式将域名接入WAF后,系统将分配一个独立的虚拟IP(VIP)用于接收业务请求。该VIP不与其他租户共享。在同一WAF实例下:

  • 未开启域名独享IP智能负载均衡时,所有域名共用一个VIP。

  • 开启域名独享IP后,每个域名分配独立的VIP。

  • 配置智能负载均衡后,所有域名共用多个VIP。

阿里云免费为WAF的每个VIP提供DDoS基础防护能力。不同地域的VIP支持的免费防御能力不同,具体数值,请进入资产中心页面。单击WAF页签查看。image

流量清洗

在遭受DDoS攻击时,DDoS基础防护实时监测、分析并过滤网络流量,识别并阻断恶意流量,仅允许合法流量到达WAFVIP,以保障服务可用性。

当流入的流量触发清洗条件时,DDoS基础防护会对流量进行清洗。实例处于清洗状态时,将在Web应用防火墙3.0控制台顶部横幅区域收到提示信息。image.png

  • 清洗条件

    DDoS基础防护在判定是否触发流量清洗时,综合采用以下两个条件:

    • AI智能分析:基于阿里云大数据能力,系统自动学习并建立您的业务流量基线,通过算法识别异常流量模式,判断是否存在DDoS攻击。

    • 阈值判定:请求流量达到配置的BPS/PPS清洗阈值。

    仅当上述两个条件同时满足时,系统才会启动流量清洗。

  • 清洗阈值

    DDoS基础防护通过过滤攻击报文、限制流量速率、限制数据包速率等方式执行流量清洗。系统默认已配置以下清洗阈值:

    • BPS(Bits per Second)清洗阈值:当入方向流量速率超过该阈值时,触发流量清洗。

    • PPS(Packets per Second)清洗阈值:当入方向数据包速率超过该阈值时,触发流量清洗。

    WAF的清洗阈值由实际业务QPS决定,具体计算方式如下表所示。

    类型

    对应值

    最大BPS清洗阈值(Mbps)

    MAX(800,QPS*4.5/150)

    最大PPS清洗阈值(pps)

    MAX(800000,QPS*4.5)

    最终清洗阈值以控制台显示为准。

  • 查看与设置清洗阈值

    系统默认的清洗阈值设为DDoS基础防护所支持的最大值。如果该阈值过高,无法触发流量清洗,可以按需修改。

    1. 进入资产中心页面。单击WAF页签,定位到目标VIP,在清洗阈值列,查看最大BPS清洗阈值、最大PPS清洗阈值。image..png

    2. 可选:修改清洗阈值。

      1. 定位到目标VIP,单击目标IP,在IP详情面板,单击清洗设置

      2. 清洗设置面板,设置清洗阈值并单击确定

        • 系统默认:DDoS基础防护服务根据WAF VIP的流量负载自动调整清洗阈值。

        • 手动设置

          • 流量清洗阈值:该阈值不能超过当前云产品实例公网带宽的1.5倍,不能低于60Mbps。

          • 报文清洗阈值:该阈值不能超过当前云产品实例公网PPS规格的1.5倍,不能低于12000pps。

黑洞

当流入WAF VIP的攻击流量峰值带宽(bps)超过了其DDoS防御能力时,WAFVIP将进入黑洞。进入黑洞后,所有访问此VIP的流量(包括正常请求和攻击请求)都会被丢弃。

此时,您会在Web应用防火墙3.0控制台顶部横幅区域,收到提示信息。image.png

为避免因VIP进入黑洞造成您的网站长时间无法被访问,建议在消息中心配置报警通知,并设置消息接收人。具体操作,请参见配置消息中心报警

应对黑洞

事前预防

重要

预防黑洞最有效的措施是购买DDoS防护产品。WAF独享IP共享集群智能负载均衡功能本身不具备直接防御的能力,且无法在WAF VIP处于清洗或黑洞状态时启用。然而,为关键域名启用这两项功能可有效降低DDoS攻击对其带来的影响。

  • 购买DDoS防护产品:DDoS防御能力越大,黑洞阈值越高,WAFVIP因遭受DDoS攻击而触发黑洞的可能性越低。若DDoS基础防护无法满足业务需求,建议通过购买DDoS防护产品(如DDoS原生防护或DDoS高防服务)提升防护能力。有关DDoS防护产品的选型指导,请参见如何选择DDoS防护产品

  • 开启独享IP:默认情况下,同一WAF实例下的所有域名共享一个VIP。启用独享IP后,系统将为指定域名分配独立的WAF VIP,与其他域名隔离。更多信息,请参见域名独享IP

    • 独享VIP与共享VIP的黑洞状态相互独立,互不影响。

    • 如果独享VIP进入黑洞后,关闭独享IP功能,原本指向该IP的攻击流量可能转移至共享VIP,进而影响其他共用该VIP的域名业务。

  • 开启共享集群智能负载均衡:智能负载均衡为WAF实例配置至少三个不同地域的防护节点,实现异地多节点自动容灾。结合智能DNS解析能力和Least-time回源算法,确保流量从接入防护节点到转发回源站服务器的路径最短、时延最低。更多信息,请参见智能负载均衡

    • 当某一地域的防护节点因攻击进入黑洞状态时,系统将自动切换至其他健康节点,保障业务流量正常回源。

      说明

      若客户端或中间代理缓存了已黑洞节点的DNS记录,请求仍可能被导向该节点,导致访问失败。

    • 关闭共享集群智能负载均衡后,任一防护节点进入黑洞将导致对应链路中断,影响业务回源。

事中处理

DDoS防护提供黑洞解除功能,可以对某个处于黑洞状态的VIP进行黑洞解除操作,以恢复业务可用性。

  • 未购买DDoS防护(使用DDoS基础防护):仅支持自动解除黑洞,不支持手动解除。DDoS 攻击结束后,系统将在一段时间内自动解除黑洞状态。您可以在流量安全产品控制台资产中心页面查看自动解除时间。同一账号触发黑洞的次数越多,后续黑洞持续时间越长。

  • 已购买DDoS防护:支持手动解除与自动解除,通过手动解除可以尽快解除黑洞。更多信息,请参见解除黑洞

常见问题

WAF配置了多个域名,如何查看是哪个域名被攻击?

通常,攻击者会解析已接入WAF防护的域名,获取其WAF VIP地址,并以此为目标发起DDoS攻击。大流量DDoS攻击主要针对WAF VIP,攻击流量中无法识别具体受攻击的域名。

通过更换WAF VIP,是否就能不会被黑洞了?

更换WAF VIP无法解决实际问题。

WAF实例处于流量清洗或黑洞状态时,即使删除所有域名后重新接入,或关闭实例并重新购买,系统仍可能分配此前遭受DDoS攻击的同一WAF VIP。若攻击者针对您的域名发起攻击,仅需通过DNS解析(如ping域名)即可获取更新后的VIP地址,从而继续实施DDoS攻击。

DDoS攻击和CC攻击有什么区别?WAF为什么不能防御DDoS攻击?

大流量DDoS攻击主要针对IP层(第四层),而CC攻击则针对应用层(第七层),例如HTTP GET/POST Flood。WAF可有效防御CC攻击;但对于大流量DDoS攻击,由于需依赖充足的带宽资源对全部流量进行接收后再清洗,因此必须通过DDoS防护服务进行防护。

针对CC攻击,使用DDoS高防还是Web应用防火墙?

CC 攻击通常利用代理服务器向目标服务器发送大量看似合法的请求,导致服务器资源耗尽、性能异常。

针对此类攻击,阿里云提供两种主要防护产品:WAFDDoS高防。两者在防护能力与策略粒度上各有侧重,可根据实际业务场景选择:

防护产品

WAF

DDoS高防

适用场景

CC 攻击强度不高,但需精细化控制应用层访问行为,或需防范混合爬虫攻击。

面临高强度、复杂的 CC 攻击。

核心能力

  • 支持手动配置防护路径及触发阈值,灵活适配业务需求。

  • 提供细粒度的应用层访问控制与限速策略。

  • 内置Bot管理模块,可有效识别并缓解由爬虫引发的负载飙升等异常情况。

  • 具备更高的防御峰值能力。

  • 支持 AI 智能防护:自动学习网站正常业务流量基线,结合算法实时识别异常流量。

  • 可根据攻击态势自动调整防护策略,快速下发精准的访问控制规则,实现自动化、动态化防御。

选型建议

  • 若您的业务遭遇 高强度 CC 攻击,建议优先选用 DDoS 高防

  • 若攻击强度较低,但对 应用层策略精细度 或 Bot 行为管理 有较高要求,建议优先选用 WAF