云WAF被黑洞了怎么办？

Q：WAF被黑洞了，是否能马上为我解除？

A：由于黑洞是亿林向运营商购买的服务，而运营商对黑洞解除时间和频率都有严格的限制，所以黑洞状态无法人工解除，需耐心等待系统自动解封。

事实上，即使立刻解除黑洞，如果WAF仍在遭受大流量DDoS攻击，还是会再次触发黑洞。

Q：WAF配置了多个域名，如何查看是哪个域名被攻击的？

A：一般情况下，黑客会解析某个WAF已防护的域名，在获取您WAF实例的IP后，对其发起DDoS攻击。然而，大流量的DDoS攻击都是针对WAF IP，从攻击流量中无法得知具体哪个域名被攻击。

您可以使用域名拆分来获知哪个域名被攻击。例如，您可以将部分域名解析到WAF，部分域名解析到其他地方（ECS源站、CDN或SLB 等），如果拆分之后WAF不再被黑洞，则说明黑客的目标在拆分出去的部分域名中。但是，这种方式操作比较复杂，且可能导致源站等其它资产的暴露，从而引发更大的安全问题。因此，除非在必要情况下，不建议您通过这种方式来判断哪个域名被攻击。

Q：能否协助更换WAF的IP，这样就不会被黑洞了？

A：更换WAF IP无法解决实际问题。如果黑客针对您的域名进行攻击，即使更换了WAF IP，黑客只需要ping您的域名就能获取到更换后的IP，并且继续发起DDoS攻击。

Q：DDoS攻击和CC攻击有什么区别？WAF为什么不能防御DDoS攻击？

A：大流量的DDoS攻击主要是针对IP的四层攻击；而CC是七层攻击（例如HTTP GET/POST Flood）。

WAF可以防御CC攻击；但对于大流量的DDoS攻击，由于需要通过足够大的带宽资源把所有流量都硬抗下来再进行清洗，只能通过高防IP服务来防护。