针对近期DDoS攻击峰值频超2.4Tbps、且攻击者普遍采用“先扫DNS再扫IP”的链式渗透手法，阿里云、腾讯云、百度智能云于今日下午同步上线“DNS链路旁路隐藏”功能。该功能首次把高防IP的隐藏节点从“接入层”下沉到“DNS解析决策层”，在请求到达业务服务器前即完成真实IP剥离，实测可将源站暴露率从行业平均0.7%降至0.01%以下。

一、为什么传统“高防IP+隐性解析”不再够用

过去12个月，CDN联盟监测到87起“二次穿透”案例：攻击者先通过DNS历史记录拿到高防CNAME，再借助SSL证书透明度日志、Traceroute绕过高防节点，直接命中源站。传统方案在“高防IP—源站”之间仍要维持一条加密回源隧道，只要隧道IP一旦被扫到，防御即告失效。核心症结在于：解析与转发耦合，隐藏链路单点化。

二、“旁路”到底旁了哪条路

新架构把DNS解析拆成两条完全隔离的路径：

1. 公共权威路径：只返回高防Anycast IP，不暴露任何CNAME与源站关联。
2. 旁路控制路径：由云厂商的“隐藏控制器”通过独立信令通道（基于QUIC+双向证书校验）把真实解析结果推送到高防边缘节点，边缘节点收到客户端握手后，再凭一次性Token向控制器换取源站地址，完成TCP中继。

由于旁路信令与公共DNS物理隔离，即便攻击者拿到高防IP，也无法逆向解析出源站。

三、实测数据：30秒完成切换，0业务中断

9月27日0:30—3:30，阿里云华北2可用区对某电商客户进行灰度验证：

• 解析延迟中位数由7.4ms降至6.9ms；
• 在2.1Tbps的UDP反射攻击下，源站IP未被任何测绘引擎收录；
• 切换过程通过内核级TCP无缝热迁移，HTTP 200成功率保持99.99%。

数据由阿里云云盾与信通院威胁情报中心联合签署，已上传至CAICT可信云数据库，可供第三方审计。

四、落地三要点：域名、证书、监控

1. 域名准备：需使用云厂商提供的“隐藏后缀”，例如*.hide.alb.qcloud-dns.com，原域名仅作商务对外展示。
2. 证书隔离：源站证书私钥部署在HSM，高防节点使用不同证书，避免一套证书走天下而被CT日志关联。
3. 旁路监控：控制器提供实时日志外送（Kafka/SLS），一旦边缘节点Token请求异常>5次/分钟即触发源站封禁，30秒后自动换IP。

五、收费与可用区

功能按“活跃隐藏链路”计费，单价0.4元/小时/链路，9月29日—12月31日限时5折；首批开放华北2、华东1、华南1、中国香港、新加坡五大可用区，控制台已开放白名单申请，预计10月10日全量商用。

六、下一步：把旁路做到IPv6-only

腾讯云透露，2026财年将把旁路控制器全面切到IPv6-only链路，进一步缩小暴露面；同时与运营商合作，在骨干ROADM层面引入“物理层一跳直达”，让回源延迟再降15%。

对绝大多数政企、金融、游戏客户而言，源站IP一旦泄露即意味着高额勒索和监管通报。DNS链路旁路隐藏不是简单的“加个解析”，而是把“解析—调度—回源”整条数据面拆成两条互不交叉的物理通道，从根子上切断“先扫DNS再扫IP”的链式攻击。今日起，所有公有云用户均可提交工单免费试用7天，实测效果决定续费，也算把攻防成本测算的主动权真正交回给用户。