当防护资源遭受大流量 DDoS 攻击且攻击流量的峰值带宽(bps)超过了其 DDoS 防御能力时,DDoS 黑洞策略会暂时屏蔽此资源的入向流量,以避免 DDoS 攻击对您的防护资源产生更大损害,同时也避免单个防护资源被 DDoS 攻击而影响其他资源正常运行。
触发黑洞封禁策略后,平台会持续监测 DDoS 攻击状态,并在攻击结束后的一段时间内,自动为资产解封黑洞。通常情况下,您可以等待黑洞自动解封。如果您正式购买了 DDoS 高防或 DDoS 原生防护服务,也可以通过控制台手动解封黑洞。
黑洞自动解封是指在 DDoS 攻击结束后,系统会自动解除对被攻击资产的封禁状态。一般情况下,黑洞自动解封时间为攻击结束后约 2 小时,实际解封时间会因被攻击的频率不同而有所差异。有些情况下,解封时间也可能延长至 24 小时甚至更久。
如果您使用 DDoS 高防或原生防护服务,可以在控制台的防护资源列表中查看具体的黑洞自动解封时间。
黑洞自动解封时间主要受以下因素影响:
若您的业务急需恢复,您可以在 DDoS 控制台手动解封黑洞。建议您在解封黑洞前先提升保底或弹性防护能力,避免解封后 DDoS 实例因再次被攻击而进入黑洞状态。
如果手动解封后 DDoS 攻击没有结束,资产可能再次进入黑洞封禁状态。
每个实例每天可自助解封的次数有限,黑洞解封次数将在每天凌晨 2 点重置,当天未使用的解封次数不会累计至次日。不同规格的实例支持的手动解封次数说明如下。
实例规格 | 手动解封次数 |
---|---|
DDoS 基础防护 | 不支持 |
DDoS 高防 | 5 次 |
DDoS 原生防护企业版 | 5 次 |
DDoS 原生防护高级版 |
|
只有当 DDoS 攻击的峰值带宽超过了资产的 DDoS 防御能力时,才会触发黑洞封禁。资产防御能力越强,被 DDoS 攻击导致触发黑洞的可能就越低。如果您的资产频繁触发黑洞,建议您提高套餐的防护带宽量级,以提升资产的 DDoS 防御能力(即黑洞阈值),从根本上预防黑洞。