Anti-DDoS：常見問題

我的ECS伺服器被20 Mbps的流量攻擊了，DDoS基礎防護怎麼不防護？

DDoS基礎防護是公用的DDoS防護服務，不對很小的流量攻擊（小於100 MB）進行防護。如果雲端服務頻寬低於系統可設定的最低清洗閾值，而攻擊流量大於頻寬小於清洗閾值，可能造成系統被攻擊但不觸發清洗動作。建議您最佳化伺服器效能、安裝雲鎖等主機防火牆或者購買DDoS高防服務應對小於100 MB的流量攻擊。關於如何購買DDoS高防服務，請參見購買DDoS高防執行個體。

為什麼使用DDoS基礎防護時，黑洞不能立即取消？

通常DDoS攻擊會持續一段時間，不會在黑洞後立即停止，攻擊期間不定，阿里雲安全團隊會根據智能演算法分析的結果，自動產生黑洞時間長度。黑洞時間長度一般在30分鐘到24小時，極少數情況下，如果DDoS攻擊頻繁，阿里雲可能會延長黑洞時間長度。

黑洞產生在電訊廠商網路上，會將去往目的IP的流量在儘可能源頭的地方丟棄，防止DDoS攻擊導致整體網路和客戶所有業務不可用。如果在攻擊未停止的情況下解除黑洞，被攻擊IP將會再次進入黑洞，同時在解除黑洞至再次黑洞的這段時間內，攻擊流量將會影響到雲上其他租戶。此外，電訊廠商黑洞操作在電訊廠商骨幹網上，解除次數和頻率都有限制，因此不能為您立即解除黑洞，請您理解。

解除黑洞並不能防禦攻擊，頻繁的黑洞路由翻滾也會影響網路穩定。解決DDoS攻擊導致黑洞和業務停用最佳方案是提高防禦頻寬，採用商業防護。比如購買阿里雲的DDoS原生防護、DDoS高防服務，或者選擇第三方DDoS防護服務。更多資訊，請參見什麼是DDoS原生防護和什麼是DDoS高防。

是否可以通過存取控制策略（ACL）屏蔽DDoS攻擊及預防黑洞？

不可以。ACL只能在伺服器邊緣生效，無法阻擋從大量“殭屍”網路彙集的DDoS攻擊流量，通過互連網一級級傳遞到雲網路，並抵達伺服器邊緣。DDoS攻擊流量抵達伺服器邊緣時，其規模已遠超伺服器ACL的處置能力。因此，要防禦DDoS攻擊，需要在上層網路邊界部署防護策略。

對抗DDoS攻擊的關鍵是通過足夠大的網路頻寬，並結合流量分析和過濾手段，將其中的攻擊流量清洗掉。如果依賴將伺服器頻寬擴容到與攻擊等規模的頻寬，並部署清洗叢集進行流量清洗，將會產生單一客戶無法承擔的頻寬和伺服器成本。如果不同客戶分別在目的端建設DDoS清洗設施，則進一步加劇了攻防成本的不對等。

因此，經濟有效DDoS防禦方式是由雲端服務供應商集中建設大容量的網路頻寬並在上層網路部署清洗設施，以近源方式清洗DDoS攻擊流量，同時通過SaaS服務的形式將DDoS防禦服務提供給有需求的客戶採購，使清洗資源可以複用，從而降低單客戶防禦DDoS的成本。

為什麼CloudMonitor、雲產品流量監控中的流量資料和DDoS防護的流量監控資料有差異？

一般情況下，DDoS防護的流量監控資料大於您在CloudMonitor或具體雲產品資料頁面看到的流量資料。