火山引擎黑洞策略

当火山引擎产品遭受大流量 DDoS 攻击且攻击流量的峰值带宽（bps）超过了其 DDoS 防御能力时，火山引擎黑洞策略会暂时屏蔽此云产品的互联网入方向流量，以避免 DDoS 攻击对云产品产生更大损害，同时也避免单个云产品被 DDoS 攻击而影响其他资产正常运行。

黑洞触发后如何解封？

触发黑洞封禁策略后，平台会持续监测 DDoS 攻击状态，并在攻击结束后的一段时间内，自动为资产解封黑洞。通常情况下，您可以等待黑洞自动解封。如果您正式购买了 DDoS 高防或 DDoS 原生防护服务，也可以通过控制台手动解封黑洞。

自动解封黑洞

默认黑洞自动解封时间是 1 小时。实际黑洞自动解封时间根据资产被攻击频率有所差异，从 30 分钟到 24 小时不等，少数情况下可能会更久。如果您使用 DDoS 高防或原生防护资源，可在控制台的防护资源列表查看被黑洞自动解封时间。
黑洞自动解封时间主要受以下因素影响：

• 攻击是否持续：如果攻击一直持续，黑洞自动解封时间会延长，解封时间将从延长时刻开始重新计算。
• 攻击是否频繁：
  • 如果某资产是首次被攻击，其黑洞自动解封时间会相对缩短。
  • 如果某资产频繁遭受攻击，其黑洞自动解封时间会相对延长，因为该资源被持续攻击的概率更大。

手动解封黑洞

若您的业务急需恢复，您可以在 DDoS 控制台手动解封黑洞。建议您在解封黑洞前先提升保底或弹性防护能力，避免解封后 DDoS 实例因再次被攻击而进入黑洞状态。

约束条件

• 仅 DDoS 高防和 DDoS 原生防护正式购买的资源支持手动解封。
• DDoS 基础防护不支持手动解封，免费试用实例也不支持手动解封。

注意事项

• 如果手动解封后 DDoS 攻击没有结束，资产可能再次进入黑洞封禁状态。

• 每个实例每天可自助解封的次数有限，黑洞解封次数将在每天凌晨 2 点重置，当天未使用的解封次数不会累计至次日。不同规格的实例支持的手动解封次数说明如下。

  实例规格	手动解封次数
  DDoS 基础防护	不支持
  DDoS 高防	5 次
  DDoS 原生防护企业版	5 次
  DDoS 原生防护高级版	2 次

如何手动解封

• DDoS 基础防护：暂不支持手动解封。
• DDoS 高防：前往DDoS高防控制台>防护策略>DDoS攻击防护，选择黑洞解封。详情请参见解封黑洞。
• DDoS 原生防护：前往DDoS原生防护控制台>防护资源列表，选择被封禁的 EIP 实例，单击对应的黑洞解封。详情请参见查看防护资源。

如何预防黑洞？

只有当 DDoS 攻击的峰值带宽超过了资产的 DDoS 防御能力时，才会触发黑洞封禁。资产防御能力越强，被 DDoS 攻击导致触发黑洞的可能就越低。如果您的资产频繁触发黑洞，建议您提高套餐的防护带宽量级，以提升资产的 DDoS 防御能力（即黑洞阈值），从根本上预防黑洞。