当防护资源遭受大流量 DDoS 攻击且攻击流量的峰值带宽超过了其 DDoS 防御能力时，DDoS 黑洞策略会暂时屏蔽此资源的入向流量，以避免 DDoS 攻击对您的防护资源产生更大损害，同时也避免单个防护资源被 DDoS 攻击而影响其他资源正常运行。

黑洞触发后如何解封？

当您的资产触发黑洞封禁策略后，系统会提供自动和手动两种解封方式。

自动解封黑洞

自动解封黑洞包括以下两种情况：

接入 DDoS 原生防护时

当基础防护的 IP 被添加至原生防护服务时，如果该 IP 刚好处于黑洞封禁状态，则系统默认执行解封操作。该场景下的自动解封次数存在配额限制，且解封配额因计费方式而异：

• 包年包月：单个实例的自动解封次数上限为购买的防护 IP 数量配额。
  例如，您购买了一个包年包月的 DDoS 原生防护实例，并选择了 100 个防护 IP，则该实例将具备 100 次自动解封配额。如果您首次添加了 3 个 EIP（A、B、C）到 DDoS 原生防护服务，其中 2 个 EIP（B 和 C）正处于黑洞封禁状态。添加成功后，DDoS 原生防护会自动解除 B 和 C 的封禁状态，并且消耗 2 次配额，剩余 98 次自动解封配额。

  说明

  移除 IP 不会恢复已消耗的配额。

• 按量计费：单个实例每日自动解封次数上限为 4 次，当天未使用的解封次数不会累计至次日。

接入 DDoS 防护后

当您的资源接入 DDoS 防护服务（包括基础防护、高防和原生防护）后，如果遭受的攻击流量超过防护能力上限，系统会触发黑洞机制进行封禁。在攻击结束后，系统会持续观察一段时间，确认业务恢复正常后再解除黑洞状态。
通常情况下，黑洞状态会在攻击结束后约 2 小时自动解除。但实际解封时间会根据攻击频率的不同而动态调整：可能会缩短至 1 小时，也可能会延长至 24 小时或更长时间。

这种场景下，黑洞自动解封时间主要受以下因素影响：

• 攻击是否持续：如果攻击一直持续，黑洞自动解封时间会延长，解封时间将从延长时刻开始重新计算。
• 攻击是否频繁：
  • 如果某资产是首次被攻击，其黑洞自动解封时间会相对缩短。
  • 如果某资产频繁遭受攻击，其黑洞自动解封时间会相对延长，因为该资源被持续攻击的概率更大。

手动解封黑洞

如果您需要紧急恢复业务，可以通过 DDoS 控制台手动执行解封操作。

约束条件

• 仅正式购买的 DDoS 高防和 DDoS 原生防护服务支持手动解封。
• DDoS 基础防护不支持手动解封，免费试用实例也不支持手动解封。

注意事项

• 如果手动解封后 DDoS 攻击没有结束，资产可能再次进入黑洞封禁状态。

• 每个实例每天可手动解封的次数有限，黑洞解封次数将在每天凌晨 2 点重置，当天未使用的解封次数不会累计至次日。

• 不同规格的实例支持的手动解封次数说明如下：

  实例规格	手动解封次数
  DDoS 基础防护	不支持手动解封
  DDoS 高防-包年包月实例	每日 5 次
  DDoS 原生防护企业版-包年包月实例	每日 5 次
  DDoS 原生防护高级版-包年包月实例	华北 2 （北京）：每日 2 次 华东 2 （上海）：每日 2 次 亚太东南（柔佛）：每日 5 次
  DDoS 原生防护高级版-按量计费实例	防护 IP 数 ≤ 200 个时，每日 2 次 防护 IP 数 > 200 个时，每日 4 次

如何手动解封

• DDoS 基础防护：暂不支持手动解封。
• DDoS 高防：前往DDoS高防控制台>防护策略>DDoS攻击防护，选择黑洞解封。详情请参见解封黑洞。
• DDoS 原生防护：前往DDoS原生防护控制台>防护资源列表，选择被封禁的 EIP 实例，单击对应的黑洞解封。详情请参见原生防护高级版管理防护资源和原生防护企业版管理防护资源。

如何预防黑洞？

只有当 DDoS 攻击的峰值带宽超过了资产的 DDoS 防御能力时，才会触发黑洞封禁。资产防御能力越强，被 DDoS 攻击导致触发黑洞的可能就越低。如果您的资产频繁触发黑洞，建议您提高套餐的防护带宽量级，以提升资产的 DDoS 防御能力（即黑洞阈值），从根本上预防黑洞。