WAF被黑洞怎么解决?
什么是黑洞
当Web应用防火墙(WAF)遭受到大流量的DDoS攻击时,如果流量太大超过了阿里云免费提供的DDoS防护能力,就会进入黑洞。此时,您会在Web应用防火墙管理控制台的消息区域收到提示信息。
当 WAF IP被黑洞后,所有到WAF的流量(不论是正常访问还是攻击)都会被丢弃。 这意味着您当前WAF防护下的所有域名在黑洞期间都无法访问。
说明 黑洞后,只能等待黑洞时间结束之后,系统自动解除黑洞状态。默认的黑洞时间为150分钟。Web应用防火墙的黑洞阈值与您的ECS所在地域的默认阈值相同。
关于黑洞和黑洞策略的详情,请参考阿里云黑洞策略。
WAF 被黑洞了怎么办
默认情况下,每个WAF实例分配给您一个独享的IP,一旦这个WAF IP被黑洞,所有WAF实例上配置的域名都无法访问。 为了避免这种“连坐”情况的发生,您可以为重要的域名单独购买额外的独享IP,以防该重要域名受其他被DDoS攻击的域名牵连。
说明 解决大流量 DDoS 攻击的根本办法是使用高防IP服务对您的域名进行防护。 如果您已采用高防IP结合WAF的部署架构,但WAF仍然被黑洞,请提交工单联系技术支持团队协助处理。
WAF 黑洞常见问题
WAF 被黑洞了,是否能马上给我解除?
由于黑洞是阿里云向运营商购买的服务,而运营商对黑洞解除时间和频率都有严格的限制,所以黑洞状态无法人工解除,需耐心等待系统自动解封。
事实上,即使立刻解除黑洞,如果 WAF 仍在遭受大量 DDoS 攻击,还是会再次触发黑洞。
WAF 配置了多个域名,如何查看是哪个域名被攻击的?
一般情况下,黑客会解析某个 WAF 已防护的域名,在获取您 WAF 实例的 IP 后,对其发起 DDoS 攻击。然而,大流量的 DDoS 攻击都是针对 WAF IP,从攻击流量中无法得知具体哪个域名被攻击。
您可以使用域名拆分来获知哪个域名被攻击。例如,您可以将部分域名解析到 WAF,部分域名解析到其他地方(ECS 源站、CDN 或 SLB 等),如果拆分之后 WAF 不再被黑洞,则说明黑客的目的在拆分出去的部分域名中。但是,这种方式操作比较复杂,且可能导致源站等其它资产的暴露,从而引发更大的安全问题。因此,除非在必要情况下,不建议您通过这种方式来判断哪个域名被攻击。
能否协助更换 WAF 的 IP,这样就不会被黑洞了?
更换 WAF IP 无法解决实际问题。如果黑客针对您的域名进行攻击,即使更换了 WAF IP,黑客只需要 ping 您的域名就能获取到更换后的 IP,并且继续发起 DDoS 攻击。
DDoS 攻击和 CC 攻击有什么区别?WAF 为什么不能防御 DDoS 攻击?
大流量的 DDoS 攻击主要是针对 IP 的四层攻击;而 CC 是七层攻击(例如 HTTP GET/POST Flood)。
WAF 可以防护 CC 攻击;但对于大流量的 DDoS 攻击,由于需要通过足够大的带宽资源把所有流量都硬抗下来再进行清洗,只能通过高防 IP 服务来防护。
我有话说: