什么是黑洞

当Web应用防火墙（WAF）遭受到大流量的DDoS攻击时，如果流量太大超过了阿里云免费提供的DDoS防护能力，就会进入黑洞。此时，您会在Web应用防火墙管理控制台的消息区域收到提示信息。

当 WAF IP被黑洞后，所有到WAF的流量（不论是正常访问还是攻击）都会被丢弃。 这意味着您当前WAF防护下的所有域名在黑洞期间都无法访问。

说明 黑洞后，只能等待黑洞时间结束之后，系统自动解除黑洞状态。默认的黑洞时间为150分钟。Web应用防火墙的黑洞阈值与您的ECS所在地域的默认阈值相同。

关于黑洞和黑洞策略的详情，请参考阿里云黑洞策略。

WAF 被黑洞了怎么办

默认情况下，每个WAF实例分配给您一个独享的IP，一旦这个WAF IP被黑洞，所有WAF实例上配置的域名都无法访问。 为了避免这种“连坐”情况的发生，您可以为重要的域名单独购买额外的独享IP，以防该重要域名受其他被DDoS攻击的域名牵连。

说明 解决大流量 DDoS 攻击的根本办法是使用高防IP服务对您的域名进行防护。 如果您已采用高防IP结合WAF的部署架构，但WAF仍然被黑洞，请提交工单联系技术支持团队协助处理。

WAF 黑洞常见问题

WAF 被黑洞了，是否能马上给我解除？

由于黑洞是阿里云向运营商购买的服务，而运营商对黑洞解除时间和频率都有严格的限制，所以黑洞状态无法人工解除，需耐心等待系统自动解封。

事实上，即使立刻解除黑洞，如果 WAF 仍在遭受大量 DDoS 攻击，还是会再次触发黑洞。

WAF 配置了多个域名，如何查看是哪个域名被攻击的？

一般情况下，黑客会解析某个 WAF 已防护的域名，在获取您 WAF 实例的 IP 后，对其发起 DDoS 攻击。然而，大流量的 DDoS 攻击都是针对 WAF IP，从攻击流量中无法得知具体哪个域名被攻击。

您可以使用域名拆分来获知哪个域名被攻击。例如，您可以将部分域名解析到 WAF，部分域名解析到其他地方（ECS 源站、CDN 或 SLB 等），如果拆分之后 WAF 不再被黑洞，则说明黑客的目的在拆分出去的部分域名中。但是，这种方式操作比较复杂，且可能导致源站等其它资产的暴露，从而引发更大的安全问题。因此，除非在必要情况下，不建议您通过这种方式来判断哪个域名被攻击。

能否协助更换 WAF 的 IP，这样就不会被黑洞了？

更换 WAF IP 无法解决实际问题。如果黑客针对您的域名进行攻击，即使更换了 WAF IP，黑客只需要 ping 您的域名就能获取到更换后的 IP，并且继续发起 DDoS 攻击。

DDoS 攻击和 CC 攻击有什么区别？WAF 为什么不能防御 DDoS 攻击？

大流量的 DDoS 攻击主要是针对 IP 的四层攻击；而 CC 是七层攻击（例如 HTTP GET/POST Flood）。

WAF 可以防护 CC 攻击；但对于大流量的 DDoS 攻击，由于需要通过足够大的带宽资源把所有流量都硬抗下来再进行清洗，只能通过高防 IP 服务来防护。

阿里云代理商   阿里云分销商