本文列举了DDoS原生防护(基础版&企业版)产品相关的常见问题。

基础版(DDoS基础防护)

DDoS原生防护基础版可以防御SYN攻击吗?

DDoS原生防护基础版服务可以防御SYN Flood攻击。

我的ECS服务器被20 Mb的流量攻击了,DDoS原生防护基础版怎么不防护?

DDoS原生防护基础版是公共的DDoS防护服务,不对很小的流量攻击(小于100 Mb)进行防护。建议您优化服务器性能,或者安装云锁等主机防火墙应对小于100 Mb的流量攻击。

为什么使用DDoS原生防护基础版时,黑洞不能立即取消?

绝大多数用户的黑洞时间在30分钟到24小时之间。如果一个用户的攻击很频繁,阿里云可能通过增加黑洞时间采取惩罚措施。

黑洞是阿里云向运营商购买的服务,运营商有明确的黑洞解除时间限制,所以一般情况下黑洞不能立即取消。如果您需要黑洞解除功能,建议您购买DDoS原生防护企业版或者DDoS高防服务,这两种方案都支持手动解除黑洞的功能。更多信息,请参见什么是DDoS原生防护什么是DDoS高防(新BGP&国际)

为什么云监控、云产品流量监控中的流量数据和DDoS防护的流量监控数据有差异?

一般情况下,DDoS防护的流量监控数据大于您在云监控或具体云产品数据页面看到的流量数据。

示例:假设您的ECS实例遭受了DDoS攻击,触发流量清洗,您收到DDoS原生防护基础版的清洗通知,触发清洗时的流量为2.5 Gbps。但是,您在云监控中查询发现,流量清洗时ECS实例的弹性公网IP上的网络流入带宽约为1.2 Gbps。eip
出现上述情况,主要有以下几个原因:
  • DDoS防护的流量监控数据来自流量清洗前,而云监控中的流量数据来自流量清洗后。
  • DDoS防护的流量监控数据对应全部业务请求流量(包含攻击流量),而云监控中的流量数据只包含正常转发流量。
  • 监控颗粒度不同。DDoS防护的监控颗粒度更精细,在判断攻击时,监控颗粒度是秒级。云监控的EIP流量图则是分钟级别的数据。
  • 监控位置不同。DDoS防护在互联网和阿里云网络边界监控流量,而EIP的流量数据采集自转发设备。
说明 ECS、SLB、EIP、NAT等所有公网IaaS产品都可能会遇到上述问题。

DDoS原生防护企业版的全力防护和DDoS高防(新BGP)的弹性防护的计费模式有什么区别?

  • DDoS原生防护企业版提供全力防护能力。当遭受攻击时,自动调度该企业版DDoS原生防护实例所在地域的阿里云最大DDoS防护能力提供全力防护。全力防护服务包含在企业版套餐中,不额外产生弹性防护费用。
  • DDoS高防(新BGP)服务的弹性防护计费按照当日弹性带宽的流量峰值进行计费。更多信息,请参见弹性防护(按天-后付费)

DDoS原生防护企业版所防护的IP被黑洞了该怎么办?

DDoS原生防护企业版支持黑洞解除功能。

如果购买时选错了DDoS原生防护实例的地域该怎么办?

如果您想要防护的IP与所购买的DDoS原生防护企业版实例的地域不一致,请提交工单申请退款,然后重新购买新的DDoS原生防护企业版实例。

添加防护IP时,企业版实例的防护IP容量已占满该怎么办?

如果您想要防护的IP数量超过了您购买的原生防护企业版实例的保护IP数量(即防护IP容量),您可以选择扩展当前实例的保护IP数量或者重新购买新的企业版实例,相关操作请参见升级实例规格开通DDoS原生防护企业版

添加防护IP时收到“IP不属于你”的错误提示该怎么办?

如果您在为DDoS原生防护企业版设置防护对象IP时,收到了IP不属于你的错误提示,请按照以下步骤进行排查:
  1. 检查您所输入的IP地址,确认输入的IP地址正确无误。
  2. 检查您想要添加的防护IP对应的云产品所属的地域,确认该地域与您所购买的DDoS原生防护企业版实例的所属地域一致。
  3. 如果您想要添加的防护IP是WAF IP,检查该WAF实例的所属地域,确认DDoS原生防护企业版支持该地域。关于DDoS原生防护企业版支持的地域,请参见使用限制