我的ECS服務器被20 Mbps的流量攻擊了，DDoS基礎防護怎么不防護？

DDoS基礎防護是公共的DDoS防護服務，不對很小的流量攻擊（小于100 MB）進行防護。如果云服務帶寬低于系統可設置的最低清洗閾值，而攻擊流量大于帶寬小于清洗閾值，可能造成系統被攻擊但不觸發清洗動作。建議您優化服務器性能、安裝云鎖等主機防火墻或者購買DDoS高防服務應對小于100 MB的流量攻擊。關于如何購買DDoS高防服務，請參見購買DDoS高防實例。

為什么使用DDoS基礎防護時，黑洞不能立即取消？

通常DDoS攻擊會持續一段時間，不會在黑洞后立即停止，攻擊持續時間不定，阿里云安全團隊會根據智能算法分析的結果，自動生成黑洞時長。黑洞時長一般在30分鐘到24小時，極少數情況下，如果DDoS攻擊頻繁，阿里云可能會延長黑洞時長。

黑洞產生在運營商網絡上，會將去往目的IP的流量在盡可能源頭的地方丟棄，防止DDoS攻擊導致整體網絡和客戶所有業務不可用。如果在攻擊未停止的情況下解除黑洞，被攻擊IP將會再次進入黑洞，同時在解除黑洞至再次黑洞的這段時間內，攻擊流量將會影響到云上其他租戶。此外，運營商黑洞操作在運營商骨干網上，解除次數和頻率都有限制，因此不能為您立即解除黑洞，請您理解。

解除黑洞并不能防御攻擊，頻繁的黑洞路由翻滾也會影響網絡穩定。解決DDoS攻擊導致黑洞和業務不可用的最佳方案是提高防御帶寬，采用商業防護。比如購買阿里云的DDoS原生防護、DDoS高防服務，或者選擇第三方DDoS防護服務。更多信息，請參見什么是DDoS原生防護和什么是DDoS高防。

是否可以通過訪問控制策略（ACL）屏蔽DDoS攻擊及預防黑洞？

不可以。ACL只能在服務器邊緣生效，無法阻擋從大量“僵尸”網絡匯集的DDoS攻擊流量，通過互聯網一級級傳遞到云網絡，并抵達服務器邊緣。DDoS攻擊流量抵達服務器邊緣時，其規模已遠超服務器ACL的處置能力。因此，要防御DDoS攻擊，需要在上層網絡邊界部署防護策略。

對抗DDoS攻擊的關鍵是通過足夠大的網絡帶寬，并結合流量分析和過濾手段，將其中的攻擊流量清洗掉。如果依賴將服務器帶寬擴容到與攻擊等規模的帶寬，并部署清洗集群進行流量清洗，將會產生單一客戶無法承擔的帶寬和服務器成本。如果不同客戶分別在目的端建設DDoS清洗設施，則進一步加劇了攻防成本的不對等。

因此，經濟有效的DDoS防御方式是由云服務供應商集中建設大容量的網絡帶寬并在上層網絡部署清洗設施，以近源方式清洗DDoS攻擊流量，同時通過SaaS服務的形式將DDoS防御服務提供給有需求的客戶采購，使清洗資源可以復用，從而降低單客戶防御DDoS的成本。

為什么云監控、云產品流量監控中的流量數據和DDoS防護的流量監控數據有差異？

一般情況下，DDoS防護的流量監控數據大于您在云監控或具體云產品數據頁面看到的流量數據。