一般情况下，黑客会解析某个 WAF 已防护的域名，在获取您 WAF 实例的 IP 后，对其发起 DDoS 攻击。然而，大流量的 DDoS 攻击都是针对 WAF IP，从攻击流量中无法得知具体哪个域名被攻击。

您可以使用域名拆分来获知哪个域名被攻击。例如，您可以将部分域名解析到 WAF，部分域名解析到其他地方（ECS 源站、CDN 或 SLB 等），如果拆分之后 WAF 不再被黑洞，则说明黑客的目的在拆分出去的部分域名中。但是，这种方式操作比较复杂，且可能导致源站等其它资产的暴露，从而引发更大的安全问题。因此，除非在必要情况下，不建议您通过这种方式来判断哪个域名被攻击。

如果问题还未能解决，请联系售后技术支持。

阿里云服务器代理商  阿里云ECS  阿里云钻石级代理商 阿里云主机代理商 阿里云代理商