Anti-DDoS:よくある質問

Anti-DDoS Origin の無制限保護の課金方法と、Anti-DDoS Proxy のバースト可能な保護の課金方法の違いは何ですか？

• Anti-DDoS Origin は、「用語」で説明されている機能を提供します。攻撃が発生した場合、Anti-DDoS Origin は、対象インスタンスのリージョン内で Alibaba Cloud が保有する最大の DDoS 緩和機能を自動的に割り当て、無制限保護を提供します。この無制限保護サービスは Anti-DDoS Origin インスタンスパッケージに含まれており、追加のバースト可能な保護料金は発生しません。

• Anti-DDoS Proxy（中国本土）のバースト可能な保護料金は、バースト可能な保護帯域幅の日次ピーク値に基づいて算出されます。詳細については、「バースト可能な保護帯域幅の課金」をご参照ください。

Anti-DDoS Origin で保護されている IP アドレスがブラックホール状態になった場合、どうすればよいですか？

Anti-DDoS Origin インスタンスの購入時に誤ったリージョンを選択してしまった場合、どうすればよいですか？

Anti-DDoS Origin インスタンスの「リージョン」は販売リージョンを指し、ご利用のクラウドアセットが配置されるリージョンとは関係ありません。購入時に指定する「アセットリージョン」には、単一リージョン、中国本土内のマルチリージョン、国際リージョン（中国（香港）、マカオ（中国）、台湾（中国））、およびグローバルマルチリージョンが含まれます。保護対象の IP アドレスの実際のリージョンが選択した「アセットリージョン」と一致しない場合、テクニカルサポートへお問い合わせいただき、返金および実際のアセットリージョンに合致する新しい Anti-DDoS Origin インスタンスの再購入をご依頼ください。

Anti-DDoS Origin インスタンスの保護対象 IP アドレス数の上限に達したため、新たな保護対象 IP アドレスを追加できない場合、どうすればよいですか？

保護対象とする IP アドレス数が Anti-DDoS Origin インスタンスの「保護対象 IP アドレス数」クォータを超える場合、現在のインスタンスの「保護対象 IP アドレス数」を増加させるか、新しい Anti-DDoS Origin インスタンスを購入してください。詳細については、「インスタンスの仕様のアップグレード」および「Anti-DDoS Origin インスタンスの購入」をご参照ください。

保護対象 IP アドレスを追加する際に「IP はお客様のものではありません」というエラーが表示された場合、どうすればよいですか？

以下の手順でトラブルシューティングを行ってください：

1. 入力した IP アドレスを確認し、正しいことを確認します。

2. 保護対象とする IP アドレスに対応するクラウドプロダクトのリージョンを確認します。このリージョンが Anti-DDoS Origin インスタンスのリージョンと一致していることを確認します。

3. 追加しようとしている IP アドレスが WAF の IP アドレスである場合、WAF インスタンスのリージョンを確認し、Anti-DDoS Origin がそのリージョンをサポートしていることを確認します。対応リージョンの詳細については、「Anti-DDoS Origin とは」をご参照ください。

4. 追加しようとしている IP アドレスが IPv6 アドレスである場合、IPv6 パブリック帯域幅が有効になっているかを確認します。ECS インスタンスにおける IPv6 パブリック帯域幅の有効化方法については、「IPv6 通信」をご参照ください。

マルチアカウント管理機能を有効化した後、パブリック IP アセットの保護をメンバーアカウントから管理アカウントへ切り替えるにはどうすればよいですか？

パブリック IP アドレスが割り当てられたアセットは、1 つのインスタンスのみによって保護できます。メンバーアカウント内のインスタンスから管理アカウント内のインスタンスへ保護を切り替えるには、まずメンバーアカウントから保護対象を削除する必要があります。その後、管理アカウントに保護対象を追加できます。保護対象の削除および追加方法については、「保護対象」をご参照ください。

Web アプリケーション保護および DDoS 対策が必要であり、IPv6 をサポートする必要があるサービスの場合、どのように実現すればよいですか？

以下のソリューションをご利用ください：

1. ウェブサイトを WAF に登録し、ワンクリックで IPv6 保護機能を有効化します。詳細については、「オンボーディング概要」をご参照ください。

   これにより、IPv6 環境から発信される攻撃からウェブサイトを保護し、IPv6 プロトコルによるリクエストからオリジンサーバーを守ることができます。IPv6 セキュリティ保護機能を有効化すると、WAF は自動的にデュアルスタック解決を実行します。

2. Anti-DDoS Origin インスタンスを購入し、WAF インスタンスの IP アドレスを Anti-DDoS Origin インスタンスに追加します。詳細については、「保護対象」をご参照ください。

   サービスが DDoS 攻撃を受けた場合、トラフィックスクラブが自動的に開始され、攻撃トラフィックは破棄され、正当なサービストラフィックのみがオリジンサーバーへ転送されます。

Anti-DDoS Origin で保護されているサービスにおいて、どのような場合に Anti-DDoS Proxy も併用すべきですか？

Anti-DDoS Origin は、Alibaba Cloud ECS、SLB、WAF、EIP など、パブリック IP アドレスが割り当てられたアセットに対する DDoS 攻撃の緩和を直接強化します。Anti-DDoS Proxy と比較して、Anti-DDoS Origin にはいくつかの利点があります。IP アドレスの変更は不要です。レイヤー 4 ポートおよびレイヤー 7 ドメイン名の数に制限はありません。デプロイメントもシンプルで、保護対象の IP アドレスを追加するだけで済みます。また、IPv6 もサポートされています。

ただし、Anti-DDoS Origin には制限もあります。主にレイヤー 3 およびレイヤー 4 の DDoS 攻撃に対する保護を提供します。無制限保護機能はデータセンターのネットワーク全体のキャパシティに制約されます。攻撃トラフィックがデータセンターのネットワーク全体の保護レベルを超えたり、CC 攻撃を受けている場合、Anti-DDoS Origin では十分なセキュリティ保護が得られない可能性があります。このような場合は、Anti-DDoS Proxy へのアップグレードにより、緩和機能を強化する必要があります。

また、Anti-DDoS Origin と Anti-DDoS Proxy を併用することも可能です。Sec-Traffic Manager のインタラクションルールを活用することで、階層的保護を実現できます。これにより、DDoS 緩和機能を強化しつつ、正当なユーザーにとっての体験をスムーズに保つことができます。DDoS 攻撃が Anti-DDoS Origin の緩和機能を超えない限り、サービストラフィックはデフォルトでクラウドプロダクトへ転送され、レイテンシーは追加されません。大規模な攻撃によりブラックホールルーティングがトリガーされた場合、Sec-Traffic Manager がトラフィックを Anti-DDoS Proxy へ切り替え、ボリューム型攻撃に対処します。この切り替えにより、約 20 ms のレイテンシーが追加されます。攻撃終了後、サービストラフィックは Sec-Traffic Manager で設定可能な遅延後にクラウドプロダクトへフェイルバックします。

Anti-DDoS Proxy と統合された EIP のコア技術的優位性は何ですか？ 適したビジネスシナリオはどのようなものですか？

Alibaba Cloud では、DDoS 攻撃に対する保護として Anti-DDoS Origin および Anti-DDoS Proxy といったソリューションを提供しています。Anti-DDoS Proxy はテラビット級の DDoS 攻撃を防御できますが、若干のサービスレイテンシーを引き起こすことがあります。一方、Anti-DDoS Origin は、複数の IP アドレス、ドメイン名、ポートに対して大容量のクリーン帯域幅と低レイテンシーを要求するシナリオに適していますが、その緩和機能は比較的限定的です。

Anti-DDoS Proxy と統合された EIP は透過型プロキシモードを採用しています。トラフィックはネットワークのエッジにある Anti-DDoS Proxy データセンターでスクラブされ、その後 EIP および Internet Shared Bandwidth を経由してサーバーに到達します。このソリューションは、Anti-DDoS Origin の低レイテンシーおよび全アセットアクセスという特徴と、Anti-DDoS Proxy のテラビット級 DDoS 防御機能を組み合わせたものです。

Anti-DDoS Proxy と統合された EIP は、Anti-DDoS Proxy のボリューム型攻撃防御機能と Anti-DDoS Origin の低レイテンシーの両方を求めるお客様に適しています。これらのシナリオの特徴は、全アセット保護、複数ポート対応、低レイテンシー、およびボリューム型攻撃への耐性です。例として、高品質なゲームおよびゲームディストリビューション業界が挙げられます。

トラフィックスクラブとは何ですか？ Anti-DDoS Origin はどのようにトラフィックスクラブを実行しますか？

トラフィックスクラブは、DDoS 攻撃に対する最初の防衛線であり、悪意のある攻撃トラフィックを正確に検出し、フィルタリングすることを目的としています。

• 仕組み：システムは、保護対象へ流れるインターネットトラフィックを 24 時間リアルタイムで監視・分析します。AI 分析により DDoS 攻撃が検出され、かつリクエストトラフィックが設定した BPS または秒間パケット数（PPS）のクリーニングしきい値に達した場合、Anti-DDoS Origin がトラフィックスクラブをトリガーします。

• 緩和効果：DDoS 攻撃トラフィックを正当なサービストラフィックから正確に分離・破棄します。これにより、正当なユーザーからのアクセスリクエストに影響が及ばず、攻撃中でもサービスの可用性が維持されます。サービスの特性に応じて、クリーニングしきい値を柔軟に設定またはキャンセルすることで、保護の感度とサービスの安定性の最適なバランスを実現できます。

詳細については、「クリーニングしきい値の設定」および「トラフィックスクラブのキャンセル」をご参照ください。

ブラックホールとは何ですか？ Anti-DDoS Origin はブラックホールをどのように処理しますか？

ブラックホールルーティングは、大規模攻撃時に Alibaba Cloud 全体のネットワークインフラストラクチャの安定性を確保するために採用される極端な保護措置です。

• トリガー条件：単一のパブリック IP アドレスに対するピーク攻撃トラフィックが、当該 IP アドレスが配置されているクラスターの最大緩和機能（ブラックホールトリガー閾値）を超えた場合、システムが自動的にブラックホールフィルタリングポリシーをトリガーします。これにより、攻撃が他のユーザーのアセットに影響を及ぼすことが防止されます。

• 仕組み：当該 IP アドレスへのインバウンドインターネットトラフィック（正当なアクセスおよび攻撃トラフィックを含む）が一時的に遮断されます。まるでトラフィックが「ブラックホール」に吸い込まれたかのように、一定期間、当該 IP アドレスはインターネットからアクセスできなくなります。これは必要な「回路遮断」メカニズムです。攻撃が弱まったり停止したりした後、Anti-DDoS Origin コンソールでブラックホールの解除を手動で実行することで、アセットのパブリックネットワークアクセスを迅速に復旧できます。

詳細については、「Alibaba Cloud のブラックホールフィルタリングポリシー」および「ブラックホールの解除」をご参照ください。