Anti-DDoS ダイバージョンは、中国本土以外のインターネットデータセンター (IDC) にあるサーバーを DDoS 攻撃から保護します。 インバウンドトラフィックを Alibaba Cloud トラフィックスクラビングセンターにリダイレクトし、そこで悪意のあるトラフィックを除去し、正当なトラフィックをネットワークに再注入します。 このトピックでは、Anti-DDoS ダイバージョンの概要と、IDC サーバーを保護する方法について説明します。
はじめに
Anti-DDoS ダイバージョンは、中国本土以外のオンプレミスまたはクラウドにデプロイされた IDC サーバーを保護します。 パブリック Classless Inter-Domain Routing (CIDR) ブロックに DDoS 対策を提供し、元の IP アドレスやネットワークアーキテクチャを変更することなく、一般的なネットワーク層およびトランスポート層の DDoS 攻撃を軽減します。 Tbit/s レベルの軽減機能を備えた Anti-DDoS ダイバージョンは、中国本土以外のオンプレミスサーバーや小規模なインターネットサービスプロバイダー (ISP) を保護するのに最適です。
Anti-DDoS ダイバージョンは、攻撃検知、トラフィックダイバージョン、トラフィック再注入、軽減レポートの 4 つの主要コンポーネントで構成されています。詳細は以下のとおりです。
攻撃検知
IDC の通常の運用が中断された場合、O&M チームは、多数の IP からの突然のトラフィックの流入や特定のパケットタイプの急増など、攻撃パターンを診断および分析して、DDoS 攻撃を確認します。 攻撃が特定された後、O&M チームは、トラフィックセキュリティコンソールから、または API を呼び出すことによって、Anti-DDoS ダイバージョンを手動で開始する必要があります。
トラフィックダイバージョン
攻撃中、トラフィックスクラビングセンターは、Border Gateway Protocol (BGP) アップデートをグローバルキャリアにアドバタイズし、保護された CIDR ブロック宛てのすべてのインバウンドトラフィックを DDoS 軽減のためにスクラビングセンターにリダイレクトします。
トラフィック再注入
Alibaba Cloud トラフィックスクラビングセンターがトラフィックをスクラブした後、Generic Routing Encapsulation (GRE) トンネルや Cross Connect などの接続を介して IDC に再注入されます。 このプロセスでは、TCP/IP プロトコルの OSI モデル内でレイヤー 2 またはレイヤー 2.5 の転送を使用するため、スクラブされたトラフィックがインターネット上で解放された後にスクラビングセンターにルーティングされるのを防ぎます。
軽減レポート
攻撃前のトラフィックデータとスクラブ後のトラフィックデータ、攻撃規模など、検出および軽減されたすべての攻撃トラフィックについて、包括的なログと統計が提供されます。 これらの洞察は、ネットワークトラフィックの状態をより効果的に理解するのに役立ちます。
ダイバージョンモード
オンデマンドモードと常時オンモードの 2 つのダイバージョンモードがあります。
オンデマンド
オンデマンドモードでは、通常の状況ではトラフィックはスクラビングセンターにリダイレクトされません。 DDoS 攻撃が発生した場合、IDC の O&M チームは手動でダイバージョン保護をアクティブ化して、トラフィックをスクラビングセンターにルーティングします。 ただし、攻撃の検出とアクティブ化の間にはわずかな遅延が生じる可能性があり、その間、サービスが中断される可能性があります。 このモードは、時折攻撃を受けるビジネスに最適です。
オンデマンドモードでは、軽減セッション数に基づいて 2 つの Anti-DDoS ダイバージョンインスタンスを提供します。
保険 (月に 2 セッション): 月に 2 回の 軽減セッション を提供します。 これらのセッションを使い果たした後、Alibaba Cloud テクニカルサポートに連絡して無制限モードに切り替えて、無制限のセッションにアクセスできます。
無制限 (無制限のセッション): 毎月無制限の軽減セッションを提供します。
常時オン
常時オンモードでは、すべてのトラフィックが継続的にスクラビングセンターにルーティングされるため、常に攻撃に対する即時保護が保証されます。 このモードでは、追加のトラフィック処理によりビジネスにわずかな遅延が発生しますが、無制限の軽減セッションが提供されます。 オンデマンドモードよりも少し高価ですが、頻繁に攻撃を受けるビジネスに適しています。
仕組み
次の例では、GRE トンネルを使用してトラフィックを再注入する場合のオンデマンドモードの仕組みについて説明します。
GRE トンネルを設定し、IDC の仮想ボーダールータ (VBR) と Alibaba Cloud トラフィックスクラビングセンターの間に BGP ピアリング関係を確立します。
IDC の O&M チームが DDoS 攻撃を検出すると、ダイバージョンを開始します。
Alibaba Cloud トラフィックスクラビングセンターは、AS134963 を使用して、保護された CIDR ブロックをグローバルにアドバタイズします。
インバウンドトラフィックは IDC にルーティングされなくなります。 代わりに、スクラビングセンターにリダイレクトされます。 このルーティングパスの変更は、通常 2 ~ 3 分以内に有効になります。 アウトバウンドトラフィックは影響を受けず、IDC サーバーから ISP に直接流れます。
ダイバージョンアクティブ化後もインバウンドトラフィックが IDC に直接到達する場合は、Routing Assets Database (RADB) と Resource Public Key Infrastructure (RPKI) の有効性を確認してください。 IDC サーバーとスクラビングセンターの両方が、1.1.XX.XX/24 などの同じ形式で同じサブネット CIDR ブロックをアドバタイズしているかどうかを確認します。 その場合は、VBR がスクラビングセンターと同じ BGP アップデートを ISP にアドバタイズしないようにします。
トラフィックがスクラビングセンターに到着すると、事前定義されたしきい値に基づいてフィルタリングされます。 クリーンなトラフィックは、確立された GRE トンネルを介して IDC に転送されます。
ダイバージョンを停止するには、スクラビングセンターは CIDR ブロックのアドバタイズを停止します。 以前に ISP への BGP アップデートのアドバタイズを停止した場合は、ダイバージョンを停止する前にアナウンスを再公開してください。
Anti-DDoS ダイバージョンと Anti-DDoS Proxy の違い
Anti-DDoS ダイバージョンと Anti-DDoS Proxy はどちらも、オンプレミスまたはクラウドにデプロイされた IDC サーバーを保護できます。 主な違いは次のとおりです。
保護範囲:
Anti-DDoS ダイバージョン: ICMP や UDP フラッドなどのネットワーク層攻撃、および TCP SYN フラッドなどのトランスポート層攻撃から IDC サーバーを保護します。
Anti-DDoS Proxy: ネットワーク層およびトランスポート層攻撃に対する保護に加えて、Anti-DDoS Proxy は、HTTP/HTTPS フラッドなどのアプリケーション層攻撃からも保護する機能を拡張し、より堅牢で包括的なセキュリティソリューションを提供します。
フォーカス:
Anti-DDoS ダイバージョン: 主にネットワークの基盤となるインフラストラクチャの保護に重点を置いています。
Anti-DDoS Proxy: 特定のアプリケーションまたは業務システムを攻撃から保護するように設計されています。