如何预防黑洞？

只有当DDoS攻击的峰值带宽超过了资产的DDoS的防御能力时，才会导致资产发生黑洞。资产的DDoS防御能力越大，则其被DDoS攻击导致触发黑洞的可能就越低。因此，只有提升资产的DDoS防御能力（即黑洞阈值），才可以从根本上预防黑洞。

您可以通过以下方式提升资产的DDoS防御能力：

如何解除黑洞？

黑洞期间，阿里云会持续监测DDoS攻击的状态，并在攻击结束后的一段时间，自动为资产解除黑洞，恢复资产的互联网访问。如果您在资产黑洞期间急需恢复业务，可以通过阿里云DDoS防护服务提供的黑洞解除功能手动解除黑洞。

自动解除

如果阿里云监测到针对该资产的攻击已经停止，将会在攻击停止后的一段时间（即黑洞自动解除时间），自动为资产解除黑洞，恢复资产的互联网访问。

您可以在流量安全产品控制台的资产中心页面，在页面上方选择地域后，查看当前资产的黑洞自动解除时间。具体操作，请参见查看黑洞时长。

手动解除

手动解除黑洞不代表可以防御DDoS攻击，只能换取时间来部署防御方案。手动解除黑洞后，如果DDoS攻击没有结束，资产仍可能再次被攻击进入黑洞。

下表描述了不同DDoS防护服务支持的手动解除黑洞的方法。

常见问题

为什么使用DDoS基础防护时，黑洞不能立即取消？

通常DDoS攻击会持续一段时间，不会在黑洞后立即停止，攻击持续时间不定，阿里云安全团队会根据智能算法分析的结果，自动生成黑洞时长。黑洞时长一般在30分钟到24小时，极少数情况下，如果DDoS攻击频繁阿里云可能会延长黑洞时长。

黑洞产生在运营商网络上，会将去往目的IP的流量在尽可能源头的地方丢弃，防止DDoS攻击导致整体网络和客户所有业务不可用。如果在攻击未停止的情况下解除黑洞，被攻击IP将会再次进入黑洞，同时在解除黑洞至再次黑洞的这段时间内，攻击流量将会影响到云上其他租户。此外，运营商黑洞操作在运营商骨干网上，解除次数和频率都有限制，因此不能为您立即解除黑洞，请您理解。

解除黑洞并不能防御攻击，频繁的黑洞路由翻滚也会影响网络稳定。解决DDoS攻击导致黑洞和业务不可用的最佳方案是提高防御带宽，采用商业防护。比如购买阿里云的DDoS原生防护企业版、DDoS高防服务，或者选择第三方DDoS防护服务。更多信息，请参见什么是DDoS原生防护和什么是DDoS高防（新BGP&国际）。

是否可以通过访问控制策略（ACL）屏蔽DDoS攻击及预防黑洞？

不可以。ACL只能在服务器边缘生效，无法阻挡从大量“僵尸”网络汇集的DDoS攻击流量，通过互联网一级级传递到云网络，并抵达服务器边缘。DDoS攻击流量抵达服务器边缘时，其规模已远超服务器ACL的处置能力。因此，要防御DDoS攻击，需要尽可能在上层网络边界部署防护策略。

对抗DDoS攻击的关键是通过足够大的网络带宽，并结合流量分析和过滤手段，将其中的攻击流量清洗掉。如果依赖将服务器带宽扩容到与攻击等规模的带宽，并部署清洗集群进行流量清洗，将会产生单一客户无法承担的带宽和服务器成本。如果不同客户分别在目的端建设DDoS清洗设施，则进一步加剧了攻防成本的不对等。

因此，经济有效的DDoS防御方式是由云服务供应商集中建设大容量的网络带宽并在上层网络部署清洗设施，以近源方式清洗DDoS攻击流量，同时通过SaaS服务的形式将DDoS防御服务提供给有需求的客户采购，使清洗资源可以复用，从而降低单客户防御DDoS的成本。