• 我的公网IP遭受DDoS攻击为什么会封禁我的IP？为什么不封禁发起DDoS攻击的攻击者的源IP？

同资源池的公网IP共用资源池的公网带宽，当IP遭受的DDoS攻击峰值或IP的公网业务流量速率远超IP的购买带宽时，IP占用超出购买带宽的大量额外网络带宽，IP所在的服务器和网络的稳定性会受到影响。此时为防止其他同资源池IP受到影响，遭受DDoS攻击的IP会在骨干网进入封禁状态，无法在公网通信，攻击流量无法到达资源池公网入口，从而释放IP占用的大量额外网络带宽，确保资源池网络稳定。因封禁实际发生位置在资源池外的骨干网，天翼云无权操作不属于天翼云的攻击者持有的源IP的流量，仅能封堵天翼云拥有的云租户IP，同时骨干网运营商也不支持封堵源IP。

为平衡客户IP和资源池网络双方的稳定性和可用性，判断何时对IP执行封禁，天翼云DDoS基础防护为IP提供免费的基础DDoS防护阈值，在阈值内尽可能确保客户IP可用。当客户IP的流量峰值超过IP的基础DDoS防护阈值时，会判定IP所在服务器和网络的稳定性会受到影响，IP会进入封禁状态。

• 如何计算我的公网IP的DDoS防护阈值（DDoS封禁阈值）？

一般情况下，IP免费的基础DDoS防护阈值为5Gbps。对于少部分带宽极小的IP或云池，基础DDoS防护阈值会降低至2Gbps甚至更低。

• 天翼云对遭受DDoS攻击的IP执行封禁有什么依据？

根据天翼云弹性IP服务协议、天翼云弹性云主机服务协议、天翼云DDoS基础防护服务协议等产品服务协议中的通用服务条款部分，“如因您账户遭遇该等行为而给云公司或者云公司网络或服务器（包括但不限于本地及外地和国际的网络、服务器等）带来危害，或影响云公司与国际互联网或者云公司与特定网络、服务器及云公司内部的通畅联系，云公司有权决定暂停或终止服务”，其中前文已表明“该等行为”包含DDoS。在IP遭受的DDoS攻击峰值或IP的公网业务流量速率超出IP的DDoS防护阈值时，IP此时已挤占资源池带宽资源，影响资源池网络稳定，符合服务条款中遭遇DDoS攻击给云公司网络带来危害的判定范畴，天翼云通过IP封禁的方式来暂停服务。

• IP被DDoS封禁后如何通知到我？多长时间解封？我该如何响应封禁事件？

天翼云对IP执行DDoS封禁后会通过EIP所属账户的站内信、短信、邮箱渠道进行通知，告知封禁信息。除了账户所有人，您还可在天翼云控制台-消息中心-消息订阅-消息管理-安全消息处配置多个消息接收人，比如将您业务的多位值班或运维人员配置到联系人中，此时安全消息短信会通知多个人。

通知信息中包含封禁时间，一般为24小时，根据相关风险可能会延迟或提前，到期自动解封。IP的DDoS封禁实际生效位置在资源池网络之上的骨干网络，会将去往目的IP的流量丢弃，骨干网络操作需消耗较多网络资源，运营商对此设置了操作次数和操作频率方面的限制，因此封禁时间目前较长，造成不便敬请谅解。同时，DDoS攻击持续时间不定，如果在攻击未停止的情况下解除DDoS封禁，IP的攻击流量会再次影响资源池稳定，因此DDoS封禁时间需设置的较长。

在您接收到DDoS封禁通知后，您可首先评估自身业务，若业务确有因竞争、高价值等原因遭受DDoS大流量攻击的可能性和防护需求。建议您购买配置DDoS高防产品。天翼云和其他云厂商均提供有DDoS高防产品，一般可提供高防IP隐藏业务IP、大流量攻击防护和攻击源分析能力，您可选择天翼云或其他第三方DDoS高防产品防护自身在天翼云的业务IP免受DDoS攻击。以天翼云举例，如天翼云“DDoS高防IP”、天翼云“DDoS高防（边缘云版）”等。客户业务IP被资源池外的高防IP保护后，高防IP代替业务IP暴露在公网上，攻击者仅能探知到高防IP并发起DDoS攻击，DDoS攻击流量经过高防IP过滤清洗，清洗后的正常流量回注到业务IP，该回注流量一般情况下不会远超IP购买带宽，不会超过服务器和网络的承受能力，因此不会触发DDoS基础防护的临时封禁。同时请注意，若业务IP历史存在攻击，可能已被攻击者获知，即使配置DDoS高防，攻击者有可能绕过高防IP对业务IP发起攻击，若攻击流量过大，仍会超过DDoS防护阈值，触发封禁，因此建议在配置高防的同时，同步更换业务IP并限制仅能被高防IP访问，实现业务IP隐藏。具体购买和配置请咨询DDoS高防产品对应产品方。

在您完成购买配置天翼云或其他第三方DDoS高防产品防护自身在天翼云的业务IP免受DDoS攻击后，您可通过天翼云工单系统提单，申请提前解封。