阿里云DDOS防护售前、售后常见问题
阿里云DDoS防护是否提供免费服务?
提供。阿里云默认为每个阿里云用户开启免费的DDoS原生防护(即原生防护基础版),提供不超过5 Gbps的DDoS基础防护能力。免费的DDoS防护无需您购买、开通和配置。更多信息,请参见什么是DDoS原生防护。
阿里云不能免费帮助用户抵御无限的DDoS攻击。DDoS防御需要成本,其中最大的成本就是带宽费用。带宽由阿里云向电信、联通、移动等运营商购买,运营商在计算带宽费用时不会把DDoS攻击流量扣除掉,而是直接收取阿里云的带宽费用。阿里云DDoS防护为阿里云用户免费防御不超过5 Gbps的DDoS攻击流量,但是当攻击流量超出5 Gbps时,阿里云会屏蔽被攻击IP的流量,从而避免用户产生超额费用。
是否支持仅在业务被攻击时触发防护且收费,无攻击时不收费的DDoS高防服务?
目前不支持。DDoS高防采用包年包月的计费方式,您需要先购买DDoS高防实例并完成预付费,才能在实例有效期内使用DDoS高防服务。
阿里云DDoS防护产品是否支持试用?
- DDoS原生防护:您购买的阿里云公网IP资产默认开启了基础版防护(免费),享受不超过5 Gbps的DDoS基础防护能力;DDoS原生防护企业版为付费服务,暂不提供试用服务。
重要 企业版基于阿里云网络透明防护,且从基础版升级企业版,网络质量、延时和接入方式都不发生改变,因此建议您使用基础版进行网络测试。
- DDoS高防:由于DDoS高防服务依赖专用机房提供流量清洗服务,成本较高,因此不提供试用服务。
业务服务器部署在非中国内地时,如何选择DDoS高防方案?
| 场景 | DDoS防护方案 |
|---|---|
| 业务服务器部署在非中国内地,主要服务非中国内地的用户 | 购买DDoS高防(国际)保险防护实例或无限防护实例。 |
| 业务服务器部署在非中国内地,主要服务中国内地的用户 |
|
| 业务服务器部署在非中国内地,同时服务中国内地和非中国内地的用户 |
|
非阿里云服务器是否能使用DDoS高防服务?
可以使用。DDoS高防(新BGP)和DDoS高防(国际)支持防护具有公网IP的服务器,只要您的业务使用的对外IP为公网IP ,且与阿里云网络公网路由可达,都可以使用DDoS高防服务。更多信息,请参见什么是DDoS高防(新BGP&国际)。
服务器不在阿里云,域名在阿里云,是否能开通DDoS高防?
可以开通。如需开通DDoS高防(新BGP)防护该域名,必须保证域名已完成ICP备案。
使用阿里云DDoS高防是否需要完成域名备案?
如果您的域名要接入DDoS高防(新BGP)进行防护,则必须已经完成域名备案;接入DDoS高防(国际)进行防护时,不需要完成域名备案,但是业务必须合法合规。
关于域名备案的更多信息,请参见ICP备案流程概述。
DDoS高防服务支持哪些地域?
- DDoS高防(新BGP):适用于您的业务服务器部署在中国内地地域的场景。
- DDoS高防(国际):适用于您的业务服务器部署在中国内地以外地域(包括中国香港等)的场景。
DDoS高防是否限制接入域名的数量?
是,具体限制如下:
- 每个DDoS高防(新BGP)实例默认支持添加50个域名接入配置,且使用的不同一级域名(站点)数量不超过5个。
- 每个DDoS高防(国际)实例默认支持添加10个域名接入配置,且使用的不同一级域名(站点)数量不超过1个。
DDoS高防是否支持泛域名?
支持。DDoS高防的域名接入配置中支持使用泛域名。更多信息,请参见添加网站。
泛域名解析指利用通配符(星号)作为次级域名,以实现所有的次级域名均指向同一个IP。 例如,为www.aliyundoc.com配置泛域名解析后,访问*.aliyundoc.com都将解析到泛域名解析的IP。
DDoS高防(新BGP)是否对接入端口有限制?
DDoS高防(新BGP)对接入端口没有限制,您可以将80~65535范围内任意端口的Web业务,接入增强功能的DDoS高防(新BGP)实例进行防护。更多信息,请参见自定义服务器端口。
但是,根据当前网络访问验证结果,互联网运营商侧或因部分高危端口存在安全隐患,会拦截针对高危端口的业务流量。相关的高危TCP端口包括:42、135、137、138、139、445、593、1025、1434、1068、3127、3128、3129、3130、4444、5554、5800、5900、9996。
如果您的Web业务使用了上述高危端口,则业务接入高防后,可能出现业务在部分地域无法被访问的问题。因此,建议您将业务接入高防前,确保Web业务使用其他非高危端口。
开通DDoS高防(国际)有什么要求吗?
开通DDoS高防(国际)防护网站业务时,您需要准备好域名(域名可以不用备案,但是业务要合规合法);防护非网站业务时,您可以使用端口接入,无特殊要求。
DDoS高防(新BGP)的保底带宽防护的是所有流量还是仅攻击流量?
DDoS高防(新BGP)的保底带宽防护所有接入DDoS高防(新BGP)实例的业务流量,包含正常业务流量和攻击流量。所有流量经过DDoS高防(新BGP)清洗后,正常的业务流量转发到您的源站服务器,攻击流量被直接拦截。
如果开启了弹性防护,一个月都没有攻击,是否会产生弹性防护费用?
不会。这种情况下,仅需要支付保底防护带宽的包月费用,不产生其他额外的费用。
我购买了20 Gbps的保底防护、50 Gbps的弹性防护,最终我的防护能力是多大?
最终实际防护能力是50 Gbps,以弹性防护能力为准。假如您选择20 Gbps的弹性防护能力,则最多只能提供20 Gbps的防护能力,相当于没有弹性防护功能。
攻击流量超过弹性防护能力上限会怎样?
如果攻击流量超过弹性防护能力,则受到攻击的DDoS高防(新BGP)IP会强制进入黑洞,阻断全部流量。
保底防护带宽30 Gbps,弹性防护带宽50 Gbps,实际攻击流量只有45 Gbps,如何收费?
攻击流量小于30 Gbps(保底防护)的部分不会额外计费,只按照攻击峰值超出保底防护带宽的部分,即15 Gbps(45 Gbps-30 Gbps),收取弹性防护的费用。
当前选择的弹性防护带宽是100 Gbps,发现不够用,可以改成200 Gbps吗?
可以。
已购买30 Gbps保底防护带宽的DDoS高防(新BGP)实例,仍不够用,能否随时升级到更高的防护能力?
可以。您可以选择升级当前实例的保底防护带宽,或者增大其弹性防护带宽。
- 升级保底防护带宽
- 增大弹性防护带宽
您可以在DDoS高防控制台(选择中国内地地域)的实例管理页面,调整DDoS高防(新BGP)实例的防护带宽,增大其弹性防护带宽。开启弹性防护无需您预付费,但会根据DDoS攻击的流量大小生成后付费账单。更多信息,请参见弹性防护(按天-后付费)。
一个IP一天内被攻击多次,费用该怎么计算?
以当天(0:00~24:00)攻击的峰值为准,只产生一次弹性后付费账单。例如某个DDoS防护(新BGP)IP一天内分别遭到50 Gbps、100 Gbps、200 Gbps共三次攻击,则当天的弹性防护付费账单按照200 Gbps攻击的弹性计费标准收取。
购买了DDoS高防(新BGP)实例,如何停止使用弹性防护能力,避免产生弹性防护的后付费费用?
您可以将您购买的DDoS高防(新BGP)实例的弹性防护带宽设置为与保底防护带宽一致,在遭受到超出保底防护带宽流量的攻击时,将不会启用弹性防护带宽进行防护。
我的ECS服务器被20 Mb的流量攻击了,DDoS原生防护基础版怎么不防护?
DDoS原生防护基础版是公共的DDoS防护服务,不对很小的流量攻击(小于100 Mb)进行防护。建议您优化服务器性能、安装云锁等主机防火墙或者购买DDoS高防服务应对小于100 Mb的流量攻击。关于如何购买DDoS高防服务,请参见购买DDoS高防实例。
为什么使用DDoS基础防护时,黑洞不能立即取消?
通常DDoS攻击会持续一段时间,不会在黑洞后立即停止,攻击持续时间不定,阿里云安全团队会根据智能算法分析的结果,自动生成黑洞时长。黑洞时长一般在30分钟到24小时,极少数情况下,如果DDoS攻击频繁阿里云可能会延长黑洞时长。
黑洞产生在运营商网络上,会将去往目的IP的流量在尽可能源头的地方丢弃,防止DDoS攻击导致整体网络和客户所有业务不可用。如果在攻击未停止的情况下解除黑洞,被攻击IP将会再次进入黑洞,同时在解除黑洞至再次黑洞的这段时间内,攻击流量将会影响到云上其他租户。此外,运营商黑洞操作在运营商骨干网上,解除次数和频率都有限制,因此不能为您立即解除黑洞,请您理解。
解除黑洞并不能防御攻击,频繁的黑洞路由翻滚也会影响网络稳定。解决DDoS攻击导致黑洞和业务不可用的最佳方案是提高防御带宽,采用商业防护。比如购买阿里云的DDoS原生防护企业版、DDoS高防服务,或者选择第三方DDoS防护服务。更多信息,请参见什么是DDoS原生防护和什么是DDoS高防(新BGP&国际)。
为什么云监控、云产品流量监控中的流量数据和DDoS防护的流量监控数据有差异?
一般情况下,DDoS防护的流量监控数据大于您在云监控或具体云产品数据页面看到的流量数据。
出现上述情况,主要有以下几个原因:
- DDoS防护的流量监控数据来自流量清洗前,而云监控中的流量数据来自流量清洗后。
- DDoS防护的流量监控数据对应全部业务请求流量(包含攻击流量),而云监控中的流量数据只包含正常转发流量。
- 监控颗粒度不同。DDoS防护的监控颗粒度更精细,在判断攻击时,监控颗粒度是秒级。云监控的EIP流量图则是分钟级别的数据。
- 监控位置不同。DDoS防护在互联网和阿里云网络边界监控流量,而EIP的流量数据采集自转发设备。
DDoS原生防护企业版的全力防护和DDoS高防(新BGP)的弹性防护的计费模式有什么区别?
- DDoS原生防护企业版提供全力防护(原生防护)能力。当遭受攻击时,自动调度该企业版DDoS原生防护实例所在地域的阿里云最大DDoS防护能力提供全力防护。全力防护服务包含在企业版套餐中,不额外产生弹性防护费用。
- DDoS高防(新BGP)服务的弹性防护计费按照当日弹性带宽的流量峰值进行计费。更多信息,请参见DDoS高防(新BGP)计费说明。
DDoS原生防护企业版所防护的IP被黑洞了该怎么办?
DDoS原生防护企业版支持黑洞解除功能。
- 如果防护对象处于黑洞中状态,您可以使用手动解除黑洞功能,具体操作请参见解除黑洞。
- 您还可以参见黑洞自动解除最佳实践,实现已防护IP的黑洞自动化响应和快速解除。
如果购买时选错了DDoS原生防护实例的地域该怎么办?
如果您想要防护的IP与所购买的DDoS原生防护企业版实例的地域不一致,请通过智能在线联系技术支持人员申请退款,然后重新购买新的DDoS原生防护企业版实例。
添加防护IP时,企业版实例的防护IP容量已占满该怎么办?
如果您想要防护的IP数量超过了您购买的原生防护企业版实例的保护IP数量(即防护IP容量),您可以选择扩展当前实例的保护IP数量或者重新购买新的企业版实例,相关操作请参见升级实例规格和购买DDoS原生防护企业版实例。
添加防护IP时收到“IP不属于你”的错误提示该怎么办?
如果您在为DDoS原生防护企业版设置防护对象IP时,收到了IP不属于你的错误提示,请按照以下步骤进行排查:
- 检查您所输入的IP地址,确认输入的IP地址正确无误。
- 检查您想要添加的防护IP对应的云产品所属的地域,确认该地域与您所购买的DDoS原生防护企业版实例的所属地域一致。
- 如果您想要添加的防护IP是WAF IP,检查该WAF实例的所属地域,确认DDoS原生防护企业版支持该地域。关于DDoS原生防护企业版支持的地域,请参见什么是DDoS原生防护。
DDoS高防实例过期后会怎样?
DDoS高防实例过期后无防御能力,具体说明如下:
- 过期7天内转发规则配置正常生效,流量超限将触发流量限速,可能导致随机丢包。
- 过期7天后将停止业务流量转发。这种情况下,如果您的业务访问地址仍解析到DDoS高防实例,则业务将无法被访问到。
更多信息,请参见DDoS高防(新BGP)计费说明。
DDoS高防业务带宽说明
DDoS高防实例的业务带宽指接入当前实例防护业务的正常业务流量,取入流量和出流量其中的较大值,单位:Mbps。
超过DDoS高防业务带宽会有什么影响?
如果您的业务流量超过购买的DDoS高防实例的业务带宽,将触发流量限速,可能导致随机丢包。
DDoS高防实例支持手动解除黑洞状态吗?
DDoS高防(新BGP)和DDoS高防(国际)实例有区别,具体说明如下:
- DDoS高防(新BGP)实例:支持。
每个阿里云账号每天共有五次手动解除黑洞状态的机会,每天零点自动恢复成五次。关于手动解除黑洞的具体操作,请参见黑洞解封。
- DDoS高防(国际)实例:暂不支持。
与DDoS高防(新BGP)实例存在固定的防护带宽不同,DDoS高防(国际)实例提供不设上限的高级防护,正常情况下不需要手动解除黑洞。
说明 如果您目前使用DDoS高防(国际)保险版实例,由于当月可用的高级防护次数已消耗完,导致业务被攻击后进入黑洞状态,建议您将保险版实例升级到无忧版实例(提供不限次数的高级防护)。DDoS高防(国际)保险版实例升级到无忧版实例后,可以自动解除原保险版实例的黑洞状态。
DDoS高防的回源IP地址有哪些?
您可以在DDoS高防控制台的域名接入页面查看DDoS高防的回源IP网段。更多信息,请参见放行DDoS高防回源IP。
DDoS高防是否会自动将DDoS高防的回源IP地址加入白名单?
不会。如果您的源站部署了防火墙或第三方的主机安全防护软件,您需要将DDoS高防的回源IP网段添加至相应的白名单中。更多信息,请参见放行DDoS高防回源IP。
DDoS高防服务中的源站IP可以填写内网IP吗?
不可以。DDoS高防通过公网进行回源,不支持直接填写内网IP。
修改DDoS高防服务的源站IP是否有延迟?
有延迟。修改DDoS高防服务已防护的源站IP后,需要大约五分钟生效,建议您在业务低峰期进行变更操作。相关操作,请参见更换源站ECS公网IP。
DDoS高防实例配置了多个网站业务,被攻击后如何查看是哪个网站受到攻击?
针对DDoS高防的大流量DDoS攻击行为,从数据包层面是无法分辨具体是哪个网站受到攻击。建议您使用多组DDoS高防实例,将您的网站分别部署在不同的DDoS高防实例上即可查看各个网站遭受攻击的情况。
DDoS高防是否支持健康检查?
支持。网站业务默认开启健康检查。非网站业务默认不开启健康检查,但可以通过DDoS高防控制台开启,具体操作,请参见配置健康检查。
关于健康检查的更多信息,请参见健康检查概述。
DDoS高防配置多个源站时如何进行负载均衡?
网站业务通过源地址HASH方式进行负载均衡。非网站业务可通过加权轮询的方式轮询转发。
DDoS高防服务是否支持会话保持?
支持。非网站业务可以通过DDoS高防控制台开启会话保持,具体操作,请参见配置会话保持。
DDoS高防服务的会话保持是如何实现的?
开启会话保持后,在会话保持的设定期间内,DDoS高防服务会把同一IP的请求持续发往源站中的一台服务器。但是,如果客户端的网络环境发生变化(例如,从有线切成无线、4G网络切成无线等),由于IP变化会导致会话保持失效。
DDoS高防的四层TCP默认连接超时时间是多长?
900秒。
DDoS高防的HTTP或HTTPS默认连接超时时间是多久?
120秒。
DDoS高防服务是否支持IPv6协议?
DDoS高防(新BGP)支持,DDoS高防(国际)暂不支持。
DDoS高防服务是否支持Websocket协议?
支持。更多信息,请参见DDoS高防WebSocket配置。
DDoS高防服务是否支持HTTPS双向认证?
网站接入方式不支持HTTPS双向验证。非网站接入且使用TCP转发方式时,支持HTTPS双向验证。
为什么老版本浏览器和安卓客户端无法正常访问HTTPS站点?
可能是因为客户端不支持SNI认证,请确认客户端是否支持SNI认证。关于SNI认证可能引发的问题,请参见SNI可能引发的HTTPS访问异常。
DDoS高防支持的SSL协议和加密套件有哪些?
支持的SSL协议包括:TLS 1.0、TLS 1.1、TLS 1.2、TLS 1.3。
支持的加密套件包括:
- ECDHE-ECDSA-AES128-GCM-SHA256
- ECDHE-ECDSA-AES256-GCM-SHA384
- ECDHE-ECDSA-AES128-SHA256
- ECDHE-ECDSA-AES256-SHA384
- ECDHE-RSA-AES128-GCM-SHA256
- ECDHE-RSA-AES256-GCM-SHA384
- ECDHE-RSA-AES128-SHA256
- ECDHE-RSA-AES256-SHA384
- AES128-GCM-SHA256
- AES256-GCM-SHA384
- AES128-SHA256
- AES256-SHA256
- ECDHE-ECDSA-AES128-SHA
- ECDHE-ECDSA-AES256-SHA
- ECDHE-RSA-AES128-SHA
- ECDHE-RSA-AES256-SHA
- AES128-SHA
- AES256-SHA
- DES-CBC3-SHA
更多信息,请参见自定义TLS安全策略。
DDoS高防如何保证上传证书及密钥的安全性?是否会解密HTTPS流量并记录访问请求的内容?
阿里云DDoS高防在防护HTTPS业务时,需要您上传对应的SSL证书及密钥,用于解密HTTPS流量并检测流量中的攻击特征。我们使用了专用的证书服务器(Key Server)来存储和管理密钥。Key Server依托于阿里云密钥管理系统KMS(Key Management Service),能够保护证书和密钥的数据安全性、完整性和可用性,符合监管和等保合规要求。关于KMS的详细介绍,请参见什么是密钥管理服务。
DDoS高防使用您上传的SSL证书及密钥解密HTTPS业务流量,只用于实时检测。我们只会记录包含攻击特征(payload)的部分请求内容,用于攻击报表展示、数据统计等,不会在您未授权的情况下,记录全量的请求或响应内容。
阿里云DDoS高防已通过ISO9001、ISO20000、ISO27001、ISO27017、ISO27018、ISO22301、ISO27701、ISO29151、BS10012、CSA STAR、等保三级、SOC1/2/3、C5、HK金融、菲律宾金融、OSPAR、ISO27001(印尼)、PCI DSS等多项国际权威认证,且作为标准的阿里云云产品,在云平台层面具备与阿里云同等水平的安全合规资质。详细内容,请参见阿里云信任中心。
DDoS高防支持的防护端口数和防护域名数有什么限制?
关于防护端口数、域名数的具体限制如下:
- 防护端口数:
- 一个DDoS高防(新BGP)实例默认支持50个端口,支持扩展至400个。
- 一个DDoS高防(国际)实例默认支持5个端口,支持扩展至400个。
- 支持域名数:
- 一个DDoS高防(新BGP)实例默认支持50个域名配置,最大可扩展至200个。
- 一个DDoS高防(国际)实例默认支持10个域名配置,最大可扩展至200个。
服务器的流量未达到清洗阈值,为何安全总览中会出现清洗流量?
对于已接入DDoS高防服务的业务,DDoS高防将自动过滤网络流量中存在的一些畸形包(例如,SYN小包、SYN标志位异常等不符合TCP协议的数据包),使您的业务服务器无需浪费资源处理这些明显的畸形包。这类被过滤的畸形包也将被计入清洗流量中,因此即使您的服务器流量未达清洗阈值,仍可能出现清洗流量。
DDoS高防服务是否支持接入采用NTLM协议认证的网站?
不支持。经DDoS高防转发的访问请求可能无法通过源站服务器的NTLM认证,客户端将反复出现认证提示。建议您的网站采用其他方式进行认证。
阿里云DDoS高防开放的端口是否对我的业务安全造成影响?
不会。DDoS高防(新BGP)和高防(国际)开放的端口都不会对您的业务造成影响。
高防对外提供流量接入转发服务,防护集群中会预定义一系列端口用于您的网站业务接入和防护服务。每个接入高防的域名或端口的业务流量只通过接入配置时设置的源站服务端口进行转发。任何未接入高防的源站服务端口上的访问请求是不会被转发到源站服务器的,因此未配置接入高防的端口开启不会对您的源站服务带来任何安全风险和威胁。
不同的阿里云账号如何共享使用DDoS高防
多账号共享DDoS高防的前提
登录账号管理控制台,确认您多个阿里云账号都已实名认证,且是同一个人或者同一家企业进行的认证。
多账号共享DDoS高防的方法
- 翼龙云 @yilongcloud 技术支持会将您提供的阿里云账号进行关联,然后您就可以在这些阿里云账号中使用其中一个账号下的DDoS高防。
