Anti-DDoS：DDoS高防常見問題

DDoS高防執行個體到期後會怎樣？

更多資訊，請參見DDoS高防（中國內地）計費說明。

DDoS高防業務頻寬說明

DDoS高防執行個體的業務頻寬指接入當前執行個體防護業務的正常業務流量，取入流量和出流量其中的較大值，單位：Mbps。

您可以在DDoS高防控制台的執行個體管理頁面對執行個體進行升級，增大當前執行個體的業務頻寬。具體操作，請參見升級執行個體。

超過DDoS高防業務頻寬會有什麼影響？

如果您的業務流量超過購買的DDoS高防執行個體的業務頻寬，將觸發流量限速，可能導致隨機丟包。

DDoS高防執行個體支援手動解除黑洞狀態嗎？

DDoS高防的回源IP地址有哪些？

您可以在DDoS高防控制台的網域名稱接入頁面查看DDoS高防的回源IP網段。更多資訊，請參見允許存取DDoS高防回源IP。

DDoS高防是否會自動將DDoS高防的回源IP地址加入白名單？

不會。如果您的來源站點部署了防火牆或第三方的主機安全防護軟體，您需要將DDoS高防的回源IP網段添加至相應的白名單中。更多資訊，請參見允許存取DDoS高防回源IP。

DDoS高防服務中的來源站點IP可以填寫內網IP嗎？

不可以。DDoS高防通過公網進行回源，不支援直接填寫內網IP。

修改DDoS高防服務的來源站點IP是否有延遲？

有延遲。修改DDoS高防服務已防護的來源站點IP後，需要大約五分鐘生效，建議您在業務低峰期進行變更操作。相關操作，請參見更換來源站點ECS公網IP。

DDoS高防是否支援健全狀態檢查？

支援。網站業務預設開啟健全狀態檢查。非網站業務預設不開啟健全狀態檢查，但可以通過DDoS高防控制台開啟，具體操作，請參見配置健全狀態檢查。

關於健全狀態檢查的更多資訊，請參見CLB健全狀態檢查工作原理。

DDoS高防配置多個來源站點時如何進行負載平衡？

網站業務通過源地址HASH方式進行負載平衡。非網站業務可通過加權輪詢的方式輪詢轉寄。

DDoS高防服務是否支援會話保持？

支援。非網站業務可以通過DDoS高防控制台開啟會話保持，具體操作，請參見配置會話保持。

DDoS高防服務的會話保持是如何?的？

開啟會話保持後，在會話保持的設定期間內，DDoS高防服務會把同一IP的請求持續發往來源站點中的一台伺服器。但是，如果用戶端的網路環境發生變化（例如，從有線切成無線、4G網路切成無線等），由於IP變化會導致會話保持失效。

DDoS高防的四層TCP預設連線逾時時間是多長？

900秒。

DDoS高防的HTTP或HTTPS預設連線逾時時間是多久？

120秒。

DDoS高防服務是否支援IPv6協議？

DDoS高防（中國內地）支援，DDoS高防（非中國內地）暫不支援。

DDoS高防服務是否支援Websocket協議？

支援。更多資訊，請參見DDoS高防WebSocket配置。

DDoS高防服務是否支援HTTPS雙向認證？

網站接入方式不支援HTTPS雙向驗證。非網站接入且使用TCP轉寄方式時，支援HTTPS雙向驗證。

為什麼老版本瀏覽器和安卓用戶端無法正常訪問HTTPS網站？

可能是因為用戶端不支援SNI認證，請確認用戶端是否支援SNI認證。關於SNI認證可能引發的問題，請參見SNI可能引發的HTTPS訪問異常。

DDoS高防支援的SSL協議和加密套件有哪些？

支援的SSL協議包括：TLS 1.0、TLS 1.1、TLS 1.2、TLS 1.3。

更多資訊，請參見自訂TLS安全性原則。

DDoS高防如何保證上傳認證及密鑰的安全性？是否會解密HTTPS流量並記錄訪問請求的內容？

阿里雲DDoS高防在防護HTTPS業務時，需要您上傳對應的SSL認證及密鑰，用於解密HTTPS流量並檢測流量中的攻擊特徵。我們使用了專用的認證伺服器（Key Server）來儲存和管理密鑰。Key Server依託於阿里雲密鑰管理系統KMS（Key Management Service），能夠保護認證和密鑰的資料安全性、完整性和可用性，符合監管和等保合規要求。關於KMS的詳細介紹，請參見什麼是Key Management Service。

DDoS高防使用您上傳的SSL認證及密鑰解密HTTPS業務流量，只用於即時檢測。我們只會記錄包含攻擊特徵（payload）的部分請求內容，用於攻擊報表展示、資料統計等，不會在您未授權的情況下，記錄全量的請求或響應內容。

阿里雲DDoS高防已通過ISO9001、ISO20000、ISO27001、ISO27017、ISO27018、ISO22301、ISO27701、ISO29151、BS10012、CSA STAR、等保三級、SOC1/2/3、C5、HK金融、菲律賓金融、OSPAR、ISO27001（印尼）、PCI DSS等多項國際權威認證，且作為標準的阿里雲雲產品，在雲平台層面具備與阿里雲同等水平的安全合規資質。詳細內容，請參見阿里雲信任中心。

DDoS高防支援的防護連接埠數和防護網域名稱數有什麼限制？

伺服器的流量未達到清洗閾值，為何安全總覽中會出現清洗流量？

對於已接入DDoS高防服務的業務，DDoS高防將自動過濾網路流量中存在的一些畸形包（例如，SYN小包、SYN標誌位異常等不符合TCP協議的資料包），使您的商務服務器無需浪費資源處理這些明顯的畸形包。這類被過濾的畸形包也將被計入清洗流量中，因此即使您的伺服器流量未達清洗閾值，仍可能出現清洗流量。

DDoS高防服務是否支援接入採用NTLM協議認證的網站？

不支援。經DDoS高防轉寄的訪問請求可能無法通過來源站點伺服器的NTLM認證，用戶端將反覆出現認證提示。建議您使用DDoS原生防護，瞭解更多資訊，請參見什麼是DDoS原生防護。

阿里雲DDoS高防開放的連接埠是否對我的業務安全造成影響？

不會。DDoS高防（中國內地）和高防（非中國內地）開放的連接埠都不會對您的業務造成影響。

高防對外提供流量接入轉寄服務，防護叢集中會預定義一系列連接埠用於您的網站業務接入和防護服務。每個接入高防的網域名稱或連接埠的業務流量只通過接入配置時設定的來源站點服務連接埠進行轉寄。任何未接入高防的來源站點服務連接埠上的訪問請求是不會被轉寄到來源站點伺服器的，因此未配置接入高防的連接埠開啟不會對您的來源站點服務帶來任何安全風險和威脅。

DDoS高防是否支援屏蔽境外指定國家IP或所有境外IP的訪問？

支援。DDoS高防提供地區封鎖，對於境外IP支援您按國家設定封鎖。

如果您需要對DDoS高防執行個體防護的所有業務設定地區封鎖，請參見設定地區封鎖。如果您需要對指定網域名稱設定地區封鎖，請參見設定地區封鎖（針對網域名稱）。

CDN或DCDN能否和DDoS高防串聯？

不建議。

• 流量先到CDN或DCDN，再到DDoS高防

  攻擊流量到CDN或DCDN後，CDN或DCDN被攻擊可能會進入沙箱，無法將流量轉寄給DDoS高防，DDoS高防的防護失去意義。

• 流量先到DDoS高防，再到CDN或DCDN

  使用CDN或DCDN的目的是使用者可以實現訪問加速，流量先經過DDoS高防會導致時延增加，影響加速效果。

更多詳細資料，請參見DDoS高防和CDN或DCDN聯動。

網域名稱既使用了CDN或DCDN加速，又使用了DDoS高防，如何配置DNS解析？

您需要在加速產品（CDN或DCDN）和DDoS高防分別佈建網域名接入，然後在DDoS高防的流量調度器中配置聯動。網域名稱解析到DDoS高防流量調度器產生的CNAME地址。

在業務正常訪問期間，流量不經過高防清洗就近使用CDN加速，減少業務延遲，保障業務分發高可用；僅在業務被攻擊時流量切換到DDoS高防進行清洗，保證業務平穩運行。更多詳細資料，請參見DDoS高防和CDN或DCDN聯動。