什么是黑洞

當(dāng) Web 應(yīng)用防火墻（WAF）遭受到大流量的 DDoS 攻擊時，如果流量太大超過了阿里云免費提供的 DDoS 防護能力，就會進入黑洞。此時，您會在 Web 應(yīng)用防火墻管理控制臺的消息區(qū)域收到提示信息。

當(dāng) WAF IP 被黑洞后，所有到 WAF 的流量（不論是正常訪問還是攻擊）都會被丟棄。這意味著您當(dāng)前 WAF 防護下的所有域名在黑洞期間都無法訪問。

注意：被黑洞后，只能等待黑洞時間結(jié)束之后，系統(tǒng)自動解除黑洞狀態(tài)。默認(rèn)的黑洞時間為 150 分鐘。Web 應(yīng)用防火墻的黑洞閾值與您的 ECS 所在地域的默認(rèn)閾值相同。

關(guān)于黑洞和黑洞策略的詳情，請參考 阿里云黑洞策略。

?WAF 被黑洞了怎么辦

默認(rèn)情況下，每個 WAF 實例分配給您一個獨享的 IP，一旦這個 WAF IP 被黑洞，所有 WAF 實例上配置的域名都無法訪問。為了避免這種“連坐”情況的發(fā)生，您可以為重要的域名單獨購買額外的 獨享IP，以防該重要域名受其他被 DDoS 攻擊的域名牽連。

注意：解決大流量 DDoS 攻擊的根本辦法是使用 高防IP服務(wù) 對您的域名進行防護。如果您已采用高防IP結(jié)合WAF的部署架構(gòu)，但WAF仍然被黑洞，請?zhí)峤还温?lián)系技術(shù)支持團隊協(xié)助處理。

?WAF 黑洞常見問題

?問題 1： WAF 被黑洞了，是否能馬上給我解除？

由于黑洞是阿里云向運營商購買的服務(wù)，而運營商對黑洞解除時間和頻率都有嚴(yán)格的限制，所以黑洞狀態(tài)無法人工解除，需耐心等待系統(tǒng)自動解封。

事實上，即使立刻解除黑洞，如果 WAF 仍在遭受大量 DDoS 攻擊，還是會再次觸發(fā)黑洞。

?問題 2： WAF 配置了多個域名，如何查看是哪個域名被攻擊的？

一般情況下，黑客會解析某個 WAF 已防護的域名，在獲取您 WAF 實例的 IP 后，對其發(fā)起 DDoS 攻擊。然而，大流量的 DDoS 攻擊都是針對 WAF IP，從攻擊流量中無法得知具體哪個域名被攻擊。

您可以使用域名拆分來獲知哪個域名被攻擊。例如，您可以將部分域名解析到 WAF，部分域名解析到其他地方（ECS 源站、CDN 或 SLB 等），如果拆分之后 WAF 不再被黑洞，則說明黑客的目的在拆分出去的部分域名中。但是，這種方式操作比較復(fù)雜，且可能導(dǎo)致源站等其它資產(chǎn)的暴露，從而引發(fā)更大的安全問題。因此，除非在必要情況下，不建議您通過這種方式來判斷哪個域名被攻擊。

?問題 3： 能否協(xié)助更換 WAF 的 IP，這樣就不會被黑洞了？

更換 WAF IP 無法解決實際問題。如果黑客針對您的域名進行攻擊，即使更換了 WAF IP，黑客只需要 ping 您的域名就能獲取到更換后的 IP，并且繼續(xù)發(fā)起 DDoS 攻擊。

?問題 4： DDoS 攻擊和 CC 攻擊有什么區(qū)別？WAF 為什么不能防御 DDoS 攻擊？

大流量的 DDoS 攻擊主要是針對 IP 的四層攻擊；而 CC 是七層攻擊（例如 HTTP GET/POST Flood）。

WAF 可以防護 CC 攻擊；但對于大流量的 DDoS 攻擊，由于需要通過足夠大的帶寬資源把所有流量都硬抗下來再進行清洗，只能通過高防 IP 服務(wù)來防護。