本文介紹Web應(yīng)用防火墻(Web Application Firewall,簡稱WAF)遭受大流量DDoS攻擊后進(jìn)入黑洞的影響及解決方法。

黑洞的影響

當(dāng)WAF遭受到大流量DDoS攻擊時,如果攻擊流量超過了阿里云免費(fèi)提供的DDoS防護(hù)能力,WAF實(shí)例對應(yīng)的獨(dú)享IP(簡稱WAF IP)就會進(jìn)入黑洞。此時,您會在WAF控制臺的總覽頁面,收到相關(guān)提示信息。

當(dāng)WAF IP被黑洞后,所有轉(zhuǎn)發(fā)到WAF實(shí)例的流量(包括正常請求和攻擊流量)都會被丟棄。這意味著所有接入當(dāng)前WAF實(shí)例防護(hù)的域名,在黑洞期間都無法訪問。

如何解除黑洞和防御DDoS攻擊

出現(xiàn)黑洞事件后,您只需等待黑洞時間結(jié)束,黑洞狀態(tài)將會自動解除。默認(rèn)的黑洞時間為150分鐘。WAF的黑洞閾值與您的ECS所在地域的默認(rèn)閾值相同。關(guān)于黑洞和阿里云黑洞策略的更多介紹,請參見阿里云黑洞策略
說明 默認(rèn)情況下,每個WAF實(shí)例分配給您一個獨(dú)享的IP,一旦這個WAF IP被黑洞,WAF實(shí)例上配置的所有域名都無法訪問。為了避免這種情況發(fā)生,您可以為重要的域名單獨(dú)購買額外的獨(dú)享IP,以防重要域名受其他被DDoS攻擊的域名牽連。關(guān)于獨(dú)享IP的更多介紹,請參見域名獨(dú)享資源包

解決大流量DDoS攻擊的根本辦法是使用DDoS高防服務(wù)對您的域名進(jìn)行防護(hù)。

WAF黑洞常見問題

  • WAF被黑洞了,是否能馬上為我解除?
    不能。由于黑洞是阿里云向運(yùn)營商購買的服務(wù),而運(yùn)營商對黑洞解除時間和頻率都有嚴(yán)格的限制,所以黑洞狀態(tài)無法人工解除,需要您耐心等待系統(tǒng)自動解封。
    說明 即使能夠立刻解除黑洞,如果WAF仍在遭受大流量DDoS攻擊,還是會再次觸發(fā)黑洞。
  • WAF配置了多個域名,如何查看是哪個域名被攻擊?

    一般情況下,黑客會解析某個已接入WAF防護(hù)的域名,在獲取WAF實(shí)例的IP后,對其發(fā)起DDoS攻擊。大流量的DDoS攻擊都是針對WAF IP,從攻擊流量中無法得知具體哪個域名被攻擊。

    您可以使用域名拆分來獲知哪個域名被攻擊。例如,您可以將部分域名解析到WAF,部分域名解析到其他地址(ECS源站、CDNSLB 等),如果拆分之后WAF不再被黑洞,說明黑客的攻擊目標(biāo)在拆分出去的部分域名。但是,這種方式操作比較復(fù)雜,且可能導(dǎo)致源站等其他資產(chǎn)的暴露,從而引發(fā)更大的安全問題。因此,除非在必要情況下,不建議您通過這種方式來判斷哪個域名被攻擊。

  • 通過更換WAFIP,是否就能不會被黑洞了?

    更換WAF IP無法解決實(shí)際問題。如果黑客針對您的域名進(jìn)行攻擊,即使您更換了WAF IP,黑客只需要ping您的域名就能獲取到更換后的IP,并且繼續(xù)發(fā)起DDoS攻擊。

  • DDoS攻擊和CC攻擊有什么區(qū)別?WAF為什么不能防御DDoS攻擊?

    大流量的DDoS攻擊主要是針對IP的四層攻擊,而CC攻擊是針對七層應(yīng)用的攻擊(例如HTTP GET/POST Flood)。WAF可以防御CC攻擊,但對于大流量的DDoS攻擊,由于需要通過足夠大的帶寬資源把所有流量都硬抗下來再進(jìn)行清洗,只能通過DDoS高防服務(wù)來防護(hù)。