本文介绍Web应用防火墙(Web Application Firewall,简称WAF)遭受大流量DDoS攻击后进入黑洞的影响及解决方法。

黑洞的影响

WAF遭受到大流量DDoS攻击时,如果攻击流量超过了阿里云免费提供的DDoS防护能力,WAF实例对应的独享IP(简称WAF IP)就会进入黑洞。此时,您会在WAF控制台的总览页面,收到相关提示信息。

WAF IP被黑洞后,所有转发到WAF实例的流量(包括正常请求和攻击流量)都会被丢弃。这意味着所有接入当前WAF实例防护的域名,在黑洞期间都无法访问。

如何解除黑洞和防御DDoS攻击

出现黑洞事件后,您只需等待黑洞时间结束,黑洞状态将会自动解除。默认的黑洞时间为150分钟。WAF的黑洞阈值与您的ECS所在地域的默认阈值相同。关于黑洞和阿里云黑洞策略的更多介绍,请参见阿里云黑洞策略
说明 默认情况下,每个WAF实例分配给您一个独享的IP,一旦这个WAF IP被黑洞,WAF实例上配置的所有域名都无法访问。为了避免这种情况发生,您可以为重要的域名单独购买额外的独享IP,以防重要域名受其他被DDoS攻击的域名牵连。关于独享IP的更多介绍,请参见域名独享资源包

解决大流量DDoS攻击的根本办法是使用DDoS高防服务对您的域名进行防护。

WAF黑洞常见问题

  • WAF被黑洞了,是否能马上为我解除?
    不能。由于黑洞是阿里云向运营商购买的服务,而运营商对黑洞解除时间和频率都有严格的限制,所以黑洞状态无法人工解除,需要您耐心等待系统自动解封。
    说明 即使能够立刻解除黑洞,如果WAF仍在遭受大流量DDoS攻击,还是会再次触发黑洞。
  • WAF配置了多个域名,如何查看是哪个域名被攻击?

    一般情况下,黑客会解析某个已接入WAF防护的域名,在获取WAF实例的IP后,对其发起DDoS攻击。大流量的DDoS攻击都是针对WAF IP,从攻击流量中无法得知具体哪个域名被攻击。

    您可以使用域名拆分来获知哪个域名被攻击。例如,您可以将部分域名解析到WAF,部分域名解析到其他地址(ECS源站、CDNSLB 等),如果拆分之后WAF不再被黑洞,说明黑客的攻击目标在拆分出去的部分域名。但是,这种方式操作比较复杂,且可能导致源站等其他资产的暴露,从而引发更大的安全问题。因此,除非在必要情况下,不建议您通过这种方式来判断哪个域名被攻击。

  • 通过更换WAFIP,是否就能不会被黑洞了?

    更换WAF IP无法解决实际问题。如果黑客针对您的域名进行攻击,即使您更换了WAF IP,黑客只需要ping您的域名就能获取到更换后的IP,并且继续发起DDoS攻击。

  • DDoS攻击和CC攻击有什么区别?WAF为什么不能防御DDoS攻击?

    大流量的DDoS攻击主要是针对IP的四层攻击,而CC攻击是针对七层应用的攻击(例如HTTP GET/POST Flood)。WAF可以防御CC攻击,但对于大流量的DDoS攻击,由于需要通过足够大的带宽资源把所有流量都硬抗下来再进行清洗,只能通过DDoS高防服务来防护。