本文列举了DDoS高防(新BGP&国际)服务相关的常见问题。

DDoS高防实例过期后会怎样?

DDoS高防实例过期后无防御能力。
  • 过期7天内转发规则配置正常生效,流量超限将触发流量限速,可能导致随机丢包。
  • 过期7天后将停止业务流量转发。这种情况下,如果您的业务访问地址仍解析到DDoS高防实例,则业务将无法被访问到。

更多信息,请参见实例到期说明

DDoS高防业务带宽说明

DDoS高防实例的业务带宽指接入当前实例防护业务的正常业务流量,取入流量和出流量其中的较大值,单位:Mbps。

您可以在DDoS高防控制台实例管理页面对实例进行升级,增大当前实例的业务带宽。更多信息,请参见升级DDoS高防实例规格

超过DDoS高防业务带宽会有什么影响?

如果您的业务流量超过购买的DDoS高防实例的业务带宽,将触发流量限速,可能导致随机丢包。

DDoS高防被黑洞后,支持手动解封吗?

  • DDoS高防(新BGP):支持。每个阿里云账号每天共拥有五次黑洞解封的机会,每天零点自动恢复成五次。更多信息,请参见黑洞解封
  • DDoS高防(国际):暂不支持。

DDoS高防的回源IP地址有哪些?

您可以在DDoS高防控制台域名接入页面查看DDoS高防的回源IP网段。更多信息,请参见放行DDoS高防回源IP回源IP网段

DDoS高防是否会自动将DDoS高防的回源IP地址加入安全组?

不会。如果您的源站部署了防火墙或第三方的主机安全防护软件,您需要将DDoS高防(新BGP)的回源IP网段添加至相应的白名单中。更多信息,请参见放行DDoS高防回源IP

DDoS高防服务中的源站IP可以填写内网IP吗?

不可以。DDoS高防通过公网进行回源,不支持直接填写内网IP。

修改DDoS高防服务的源站IP是否有延迟?

有延迟。修改DDoS高防服务已防护的源站IP后,需要大约五分钟生效,建议您在业务低峰期进行变更操作。更多信息,请参见更换源站ECS公网IP

DDoS高防实例配置了多个网站业务,被攻击后如何查看是哪个网站受到攻击?

针对DDoS高防的大流量DDoS攻击行为,从数据包层面是无法分辨具体是哪个网站受到攻击。建议您使用多组DDoS高防实例,将您的网站分别部署在不同的DDoS高防实例上即可查看各个网站遭受攻击的情况。

DDoS高防是否支持健康检查?

支持。
  • 网站业务默认开启健康检查。
  • 非网站业务默认不开启健康检查,但可以通过DDoS高防控制台开启,具体操作请参见设置健康检查

关于健康检查的更多信息,请参见健康检查概述

DDoS高防配置多个源站时如何进行负载均衡?

  • 网站业务通过源地址HASH方式进行负载均衡。
  • 非网站业务可通过加权轮询的方式轮询转发。

DDoS高防服务是否支持会话保持?

支持。非网站业务可以通过DDoS高防控制台开启会话保持,具体操作请参见设置会话保持

DDoS高防服务的会话保持是如何实现的?

开启会话保持后,在会话保持的设定期间内,DDoS高防服务会把同一IP的请求持续发往源站中的一台服务器。但是,如果客户端的网络环境发生变化(例如从有线切成无线、4G网络切成无线等),由于IP变化会导致会话保持失效。

DDoS高防的四层TCP默认连接超时时间是多长?

900秒。非网站业务可以通过DDoS高防控制台调整该设置,具体操作请参见设置会话保持

DDoS高防的HTTP或HTTPS默认连接超时时间是多久?

120秒。

DDoS高防服务是否支持IPv6协议?

暂不支持。

DDoS高防服务是否支持Websocket协议?

支持。更多信息,请参见DDoS高防WebSocket配置

DDoS高防服务是否支持HTTPS双向认证?

  • 网站接入方式不支持HTTPS双向验证。
  • 非网站接入且使用TCP转发方式时,支持HTTPS双向验证。

为什么老版本浏览器和安卓客户端无法正常访问HTTPS站点?

可能是因为客户端不支持SNI认证,请确认客户端是否支持SNI认证。关于SNI认证可能引发的问题,请参见SNI可能引发的HTTPS访问异常

DDoS高防支持的SSL协议和加密套件有哪些?

支持的SSL协议:
  • TLS v1.0
  • TLS v1.1
  • TLS v1.2
支持的加密套件:
  • ECDHE-ECDSA-AES128-GCM-SHA256
  • ECDHE-ECDSA-AES256-GCM-SHA384
  • ECDHE-ECDSA-AES128-SHA256
  • ECDHE-ECDSA-AES256-SHA384
  • ECDHE-RSA-AES128-GCM-SHA256
  • ECDHE-RSA-AES256-GCM-SHA384
  • ECDHE-RSA-AES128-SHA256
  • ECDHE-RSA-AES256-SHA384
  • AES128-GCM-SHA256
  • AES256-GCM-SHA384
  • AES128-SHA256
  • AES256-SHA256
  • ECDHE-ECDSA-AES128-SHA
  • ECDHE-ECDSA-AES256-SHA
  • ECDHE-RSA-AES128-SHA
  • ECDHE-RSA-AES256-SHA
  • AES128-SHA
  • AES256-SHA
  • DES-CBC3-SHA
  • RSA+3DES

DDoS高防支持的防护端口数和防护域名数有什么限制?

  • 防护端口数:
    • 一个DDoS高防(新BGP)实例默认支持50个端口,支持扩展至400个。
    • 一个DDoS高防(国际)实例默认支持5个端口,支持扩展至400个。
  • 支持域名数:
    • 一个DDoS高防(新BGP)实例默认支持50个域名配置,最大可扩展至200个。
    • 一个DDoS高防(国际)实例默认支持10个域名配置,最大可扩展至200个。

服务器的流量未达到清洗阈值,为何安全总览中会出现清洗流量?

对于已接入DDoS高防服务的业务,DDoS高防将自动过滤网络流量中存在的一些畸形包(例如SYN小包、SYN标志位异常等不符合TCP协议的数据包),使您的业务服务器无需浪费资源处理这些明显的畸形包。这类被过滤的畸形包也将被计入清洗流量中,因此即使您的服务器流量未达清洗阈值,仍可能出现清洗流量。

DDoS高防服务是否支持接入采用NTLM协议认证的网站?

不支持。经DDoS高防转发的访问请求可能无法通过源站服务器的NTLM认证,客户端将反复出现认证提示。建议您的网站采用其他方式进行认证。