WAF被黑洞怎么解决?

作者阿里云代理 文章分类 分类:新闻快递 阅读次数 已被围观 130

什么是黑洞

当Web应用防火墙(WAF)遭受到大流量的DDoS攻击时,如果流量太大超过了阿里云免费提供的DDoS防护能力,就会进入黑洞。此时,您会在Web应用防火墙管理控制台的消息区域收到提示信息。

当 WAF IP被黑洞后,所有到WAF的流量(不论是正常访问还是攻击)都会被丢弃。 这意味着您当前WAF防护下的所有域名在黑洞期间都无法访问。

说明 黑洞后,只能等待黑洞时间结束之后,系统自动解除黑洞状态。默认的黑洞时间为150分钟。Web应用防火墙的黑洞阈值与您的ECS所在地域的默认阈值相同。

关于黑洞和黑洞策略的详情,请参考阿里云黑洞策略

WAF 被黑洞了怎么办

默认情况下,每个WAF实例分配给您一个独享的IP,一旦这个WAF IP被黑洞,所有WAF实例上配置的域名都无法访问。 为了避免这种“连坐”情况的发生,您可以为重要的域名单独购买额外的独享IP,以防该重要域名受其他被DDoS攻击的域名牵连。

说明 解决大流量 DDoS 攻击的根本办法是使用高防IP服务对您的域名进行防护。 如果您已采用高防IP结合WAF的部署架构,但WAF仍然被黑洞,请提交工单联系技术支持团队协助处理。

WAF 黑洞常见问题

WAF 被黑洞了,是否能马上给我解除?

由于黑洞是阿里云向运营商购买的服务,而运营商对黑洞解除时间和频率都有严格的限制,所以黑洞状态无法人工解除,需耐心等待系统自动解封。

事实上,即使立刻解除黑洞,如果 WAF 仍在遭受大量 DDoS 攻击,还是会再次触发黑洞。

WAF 配置了多个域名,如何查看是哪个域名被攻击的?

一般情况下,黑客会解析某个 WAF 已防护的域名,在获取您 WAF 实例的 IP 后,对其发起 DDoS 攻击。然而,大流量的 DDoS 攻击都是针对 WAF IP,从攻击流量中无法得知具体哪个域名被攻击。

您可以使用域名拆分来获知哪个域名被攻击。例如,您可以将部分域名解析到 WAF,部分域名解析到其他地方(ECS 源站、CDN 或 SLB 等),如果拆分之后 WAF 不再被黑洞,则说明黑客的目的在拆分出去的部分域名中。但是,这种方式操作比较复杂,且可能导致源站等其它资产的暴露,从而引发更大的安全问题。因此,除非在必要情况下,不建议您通过这种方式来判断哪个域名被攻击。

能否协助更换 WAF 的 IP,这样就不会被黑洞了?

更换 WAF IP 无法解决实际问题。如果黑客针对您的域名进行攻击,即使更换了 WAF IP,黑客只需要 ping 您的域名就能获取到更换后的 IP,并且继续发起 DDoS 攻击。

DDoS 攻击和 CC 攻击有什么区别?WAF 为什么不能防御 DDoS 攻击?

大流量的 DDoS 攻击主要是针对 IP 的四层攻击;而 CC 是七层攻击(例如 HTTP GET/POST Flood)。

WAF 可以防护 CC 攻击;但对于大流量的 DDoS 攻击,由于需要通过足够大的带宽资源把所有流量都硬抗下来再进行清洗,只能通过高防 IP 服务来防护。

阿里云代理商   阿里云分销商

本公司销售:阿里云、腾讯云、百度云、天翼云、金山大米云、金山企业云盘!可签订合同,开具发票。