Best practices for using anti-DDoS diversion Anti-DDoS Origin instance to automatically mitigate volumetric DDoS attacks - Anti-DDoS

このトピックでは、Anti-DDoS ダイバージョン Anti-DDoS Origin インスタンスを使用して、大規模 DDoS 攻撃からアセットを自動的に保護するためのベストプラクティスについて説明します。攻撃が発生した場合、操作を呼び出して自動軽減を有効にすることができます。

前提条件

有料版の Anti-DDoS Origin インスタンスが購入されています。詳細については、「Anti-DDoS Origin インスタンスを購入する」をご参照ください。
Anti-DDoS ダイバージョン Anti-DDoS Origin インスタンスが有効になっています。これを行うには、営業担当者に連絡する必要があります。
CloudMonitor でアラート連絡先とアラート連絡グループが作成されています。詳細については、「アラート連絡先またはアラート連絡グループを作成する」をご参照ください。

背景情報

Anti-DDoS ダイバージョン Anti-DDoS Origin インスタンスは、データセンター、小規模インターネットサービスプロバイダー（ISP）、中国本土以外の顧客、および独自のボーダーゲートウェイプロトコル（BGP）ネットワークを持つ顧客の DDoS 攻撃を軽減するために使用できます。サービスの IP アドレスとネットワークアーキテクチャを変更する必要はありません。次の図は、Anti-DDoS ダイバージョン Anti-DDoS Origin インスタンスの軽減メカニズムを示しています。代播模式架构图

説明：

サービストラフィックが正常であるか、小規模な攻撃が発生した場合、トラフィックは Anti-DDoS Origin 有料版のローカルスクラビングセンターに転送されます。サービスのレイテンシは増加しません。
DDoS 攻撃が発生した場合、世界中に分散しているスクラビングセンターは、トラフィックを転送およびスクラブするためのルートを宣言します。サービスのレイテンシはわずかに増加しますが、軽減機能は Tbit/s レベルに達する可能性があります。

CloudMonitor でアラートルールを構成して、Anti-DDoS Origin 有料版のローカルスクラビングセンターの DDoS 攻撃を監視できます。攻撃が発生した場合、操作を呼び出して Anti-DDoS ダイバージョン Anti-DDoS Origin インスタンスのトラフィックリダイレクトを有効にし、攻撃が停止した後にトラフィックリダイレクトを無効にすることができます。

説明

このトピックでは、API リクエストパラメーターは <パラメーターの説明> 形式で記述されています。たとえば、Anti-DDoS ダイバージョン Anti-DDoS Origin インスタンスの ID は InstanceId=<yourOnDemandInstanceId> 形式です。

<パラメーターの説明> を実際のパラメーター値に置き換える必要があります。たとえば、営業担当者に連絡して Anti-DDoS ダイバージョン Anti-DDoS Origin インスタンスの ID を取得し、<yourOnDemandInstanceId> を置き換えます。

手順

CloudMonitor でアラートルールを構成して、Anti-DDoS Origin 有料版のローカルスクラビングセンターのブラックホールフィルタリングイベントとトラフィックスクラビングイベントを監視します。
1. CloudMonitor コンソールにログインします。
2. 左側のナビゲーションウィンドウで、[イベントセンター] > [カスタムイベント] を選択します。
3. [イベントトリガー型アラートルール] タブで、[アラートルールの作成] をクリックします。[イベントトリガー型アラートルールの作成/変更] パネルで、パラメーターを構成します。
  [製品タイプ] を [Anti-DDoS Origin] に、[イベントタイプ] を [DDoS 攻撃] に、[イベントレベル] を CRITICAL に、[イベント名] を [ddosbgp_event_blackhole] と [ddosbgp_event_clean] に、[リソース範囲] を [すべてのリソース] に設定します。その他のパラメーターの詳細については、「システムイベントトリガー型アラートルールを管理する」をご参照ください。
4. [OK] をクリックします。
作成されたアラートルールは自動的に有効になります。有料版の Anti-DDoS Origin インスタンスが DDoS 攻撃を検出した場合、アラート連絡グループのアラート連絡先に通知されます。
DDoS 攻撃が発生した場合、連絡先にブラックホールフィルタリングイベントまたはトラフィックスクラビングイベントが通知されます。この場合、ConfigNetStatus 操作を呼び出して、トラフィックを Alibaba Cloud のグローバルエニーキャストスクラビングセンターにリダイレクトします。詳細については、「ConfigNetStatus - ネットワークセグメントアナウンスメントを構成する」をご参照ください。
次のリクエストパラメーターを指定する必要があります。
```
?Action=ConfigNetStatus
&Net=<yourNet>
&Status=enable
&SaleId=<yourInstanceId>
```
オプション。 有料版の Anti-DDoS Origin インスタンスのブラックホールフィルタリングを無効にします。
- ブラックホールフィルタリングがトリガーされていない場合は、この手順をスキップします。
- ブラックホールフィルタリングがトリガーされた場合は、トラフィックリダイレクトを有効にしてから 10 秒後に DeleteBlackhole 操作を呼び出して、ブラックホールフィルタリングを無効にします。詳細については、「DeleteBlackhole」をご参照ください。
  次のリクエストパラメーターを指定する必要があります。
```
?Action=DeleteBlackhole
&InstanceId=<yourOnDemandInstanceId>
&Ip=<yourOnDemandInstanceIp>
```
DescribeTraffic 操作を呼び出して、DDoS 攻撃が停止したかどうかを確認します。詳細については、「DescribeTraffic - 特定の保護パッケージのトラフィック情報を表示する」をご参照ください。
次のリクエストパラメーターを指定する必要があります。
```
?Action=DescribeTraffic
&Ipnet=<onDemandInstanceIpnetToQuery>
&InstanceId=<yourInstanceId>
&StartTime=<startTimeToQuery>
&EndTime=<endTimeToQuery>             
```
操作によって返される AttackBps パラメーターの値が 30 分以上 300000 未満の場合、DDoS 攻撃は停止します。このパラメーターは、攻撃トラフィックの量を Kbit/s 単位で示します。
DDoS 攻撃が停止した後、オフピーク時に ConfigNetStatus 操作を呼び出して、Anti-DDoS ダイバージョン Anti-DDoS Origin インスタンスのトラフィックリダイレクトを停止します。詳細については、「ConfigNetStatus - ネットワークセグメントアナウンスメントを構成する」をご参照ください。
説明
トラフィック切り替えによるサービスへの影響を最小限に抑えるため、オフピーク時にこの操作を呼び出すことをお勧めします。
次のリクエストパラメーターを指定する必要があります。
```
?Action=ConfigNetStatus
&Net=<yourNet>
&Status=disable
&SaleId=<yourInstanceId>
```