ボリューム型 DDoS 攻撃から、通常の Alibaba Cloud サービスまたは Anti-DDoS (Enhanced) を適用した EIP をネットワーク層およびトランスポート層で保護するには、IP 固有の緩和ポリシーを作成します。このポリシーにより、トラフィックをフィルタリングまたは許可する一連のルールを設定し、DDoS 対策を強化できます。
注意事項
通常の Alibaba Cloud サービスでは、ポート固有の緩和ポリシーではなく、IP 固有の緩和ポリシーのみがサポートされます。一方、Anti-DDoS (Enhanced) を適用した EIP では、両方のポリシーがサポートされます。両方を設定した場合、IP 固有の緩和ポリシーが優先されます。
各パブリック IP アセットには、1 つの IP 固有の緩和ポリシーのみを関連付けることができます。
Anti-DDoS Origin はカスタム緩和ポリシーを使用してトラフィックを遮断します。ブロックされたトラフィックも、攻撃トラフィック統計に含まれます。
事前準備
通常の Alibaba Cloud サービスの場合:Anti-DDoS Origin 1.0、2.0、または従量課金版のいずれかを使用するかどうかに関わらず、パブリック IP アセットを保護対象アセットとして追加する必要があります。詳細については、「保護対象アセット」をご参照ください。
Anti-DDoS (Enhanced) を適用した EIP の場合:サービス購入後、Anti-DDoS Origin が自動的に該当 EIP を保護対象アセットとして登録します。手動での操作は不要です。
操作手順
トラフィックセキュリティコンソールの 緩和設定 ページへ移動します。
ポリシーの新規作成 をクリックし、ポリシー名 を入力し、ポリシーの種類として IP 保護ポリシー を選択した後、確定 をクリックします。
ポリシーが作成されました ダイアログボックスで OK をクリックします。その後、緩和ルールを構成し、次へ をクリックします。
重要ルールの優先度:一部のルールは、攻撃発生時のみ有効になります(下記表を参照)。
通常の Alibaba Cloud サービスの場合:ブラックリスト > ICMP ブロック > ホワイトリスト > 地域ブラックリスト > ポートブロッキング > バイト一致フィルター。
Anti-DDoS (Enhanced) を適用した EIP の場合:ブラックリスト > ICMP ブロック > ホワイトリスト > ポートブロッキング > バイト一致フィルター > リフレクション攻撃フィルタリング > ソースレート制限。
有効期間:すべてのルールは永続的に有効ですが、ブラックリストルールのみ、有効期間を明示的に設定する必要があります。
ルール
説明
通常のサービス
Enhanced EIP
備考
インテリジェント軽減
ビッグデータ分析エンジンがご利用のサービスのトラフィックベースラインを学習し、ネットワーク層およびトランスポート層における DDoS 攻撃に対して適応的に防御します。
重要この機能は、ポリシーテンプレート作成後に 正常 の保護レベルでデフォルトで有効化されます。最適な保護効果を得るには、約 3 日間のトラフィック学習(トレーニング)が必要です。
過去のサービスデータと専門家によるアルゴリズムを活用し、各保護レベルの動作は以下のとおりです:
ルース:明らかに攻撃的特徴を持つ悪意ある IP アドレスを防御します。一部の攻撃を見逃す可能性がありますが、偽陽性率は低くなります。
正常:明らかに悪意のある IP アドレスだけでなく、疑わしい IP アドレスに対しても防御します。保護効果と偽陽性率のバランスを最適化します。
ストリクト:攻撃に対する強力な防御を提供しますが、偽陽性が発生する確率が高くなる場合があります。
ICMP ブロック
トラフィックスクラブ処理中、システムは ICMP トラフィックを破棄することで ICMP 攻撃をフィルタリングし、サーバースキャンのリスクを低減します。
攻撃発生時に有効
中国本土内のサービスの場合:常時有効。
中国本土以外のサービスの場合:中国 (香港) および米国 (バージニア) では攻撃発生時に有効、その他のリージョンでは常時有効。
ICMP ブロックはホワイトリストに登録された IP アドレスにも適用され、ホワイトリスト上であってもその ICMP トラフィックは破棄されます。
重要この機能を有効化すると、PING コマンドへの応答が得られなくなります。ネットワーク診断およびメンテナンスを実施する際は、事前にこの機能を無効化してください。
ブラックリスト / ホワイトリスト
指定した送信元 IP アドレスからのトラフィックをフィルタリングまたは許可するルールを作成します。
重要ホワイトリストで許可されるトラフィック量が過剰に大きい場合、サービス仕様およびクラウドプラットフォームの保護メカニズムにより、依然として Anti-DDoS Origin の宛先 IP アドレスに基づくレート制限ポリシーがトリガーされる可能性があります。
攻撃発生時に有効
常時有効
IP アドレスをブラックリストに追加する際は、有効期限を 1 分~10,080 分の範囲で設定する必要があります。この設定は、現在のブラックリスト内のすべての IP アドレスに適用されます。
ブラックリストおよびホワイトリストそれぞれに最大 2,000 個の IP アドレスを追加できます。
地域ブロック
指定した地理的地域からのアクセス要求をブロックします。この機能を有効化すると、ブロック対象地域からのすべてのトラフィックが破棄されます。
攻撃発生時に有効
常時有効
地域または国単位でトラフィックをブロックできます。
ポートブロッキング
TCP または UDP プロトコルにおいて、送信元ポートまたは宛先ポートごとにトラフィックをフィルタリングするルールを作成できます。これにより、指定したプロトコルおよび対応するポートからのトラフィックを直接破棄でき、UDP リフレクション攻撃のフィルタリングを支援します。
攻撃発生時に有効
中国本土内のサービスの場合:常時有効。
中国本土以外のサービスの場合:中国 (香港) および米国 (バージニア) では攻撃発生時に有効、その他のリージョンでは常時有効。
最大 8 件のルールを作成できます。
重要保護効果を高めるため、ビジネスシナリオに応じて以下の構成を推奨します:
保護対象アセットが TCP サービスのみ(UDP サービスなし)を提供する場合、すべての UDP 送信元ポートをブロックすることを推奨します。後日 UDP サービスを追加する場合は、速やかに保護ポリシーを調整する必要があります。
保護対象アセットが UDP サービスを提供する場合、一般的な UDP リフレクション送信元ポート(1~52、54~161、389、1900、11211)をブロックすることを推奨します。
ソースレート制限
しきい値を超える送信元 IP アドレスからのアクセス頻度を制限します。
常時有効
ソース PPS、ソース帯域幅、ソース SYN パッケージの PPS、および ソース SYN パッケージの帯域幅 をサポートします。レート制限を設定した後、60 秒以内に 5 回以上制限を超えた送信元 IP アドレスを自動的にブラックリストに追加し、その IP アドレスからのすべてのアクセス要求を破棄するよう構成できます。
リフレクション攻撃のフィルターリング
このルールは UDP トラフィックにのみ適用されます。UDP トラフィックを処理する際に、指定した UDP リフレクション送信元ポートからのトラフィックを直接破棄します。
常時有効
ワンクリックフィルターポリシー および カスタムファイターポリシー を提供します。
ワンクリックフィルターポリシー:一般的な UDP リフレクション攻撃をリストアップします。ご利用のサービスでこれらの UDP 送信元ポートを使用しない場合、すべてをブロックすることを推奨します。
カスタムファイターポリシー:独自のリフレクション送信元ポートを指定できます。最大 20 ポートを指定可能です。ただし、ワンクリックフィルターポリシー で指定されているポートとは重複してはなりません。
指紋フィルター
攻撃ツールから送信される悪意あるパケットには共通の特徴があります。この機能は、データパケット内の指定位置の内容を照合し、照合結果に基づいてトラフィックをフィルタリング、許可、またはレート制限します。
攻撃発生時に有効
中国本土内のサービスの場合:常時有効。
中国本土以外のサービスの場合:中国 (香港) および米国 (バージニア) では攻撃発生時に有効、その他のリージョンでは常時有効。
構成ガイド:
プロトコル:TCP または UDP。
送信元ポート範囲:送信元ポートの範囲。有効値:0~65535。
宛先ポート範囲:宛先ポートの範囲。有効値:0~65535。
パケット長:IP データパケットの長さ範囲。有効値:1~1500。単位:バイト。
オフセット:UDP または TCP ヘッダー後のペイロードのオフセット。有効値:0~1500。単位:バイト。
オフセットを 0 に設定した場合、ペイロードの最初のバイトから照合を開始します。
ペイロード:照合対象のペイロード内容。長さ 1~15 バイトの 16 進数文字列を入力します。
0xプレフィックスは含めないでください。たとえば0xadを照合する場合は、adと入力します。アクション:照合条件に一致したトラフィックに対して実行する操作。有効値: パス、廃棄、送信元IPアドレスの帯域幅の制限、および セッション帯域幅の制限。
送信元IPアドレスの帯域幅の制限 または セッション帯域幅の制限 を選択した場合、レート制限値を設定する必要があります。有効値:1~100,000。単位:pps。
Anti-DDoS Proxy の back-to-origin CIDR ブロックをホワイトリストに追加
Anti-DDoS Proxy の back-to-origin IP アドレスを、ご利用のクラウドサービスのアクセス制御ポリシーのホワイトリストに追加します。
Anti-DDoS (Enhanced) を適用した EIP を保護する場合、トラフィックはオリジンサーバーに到達する前に Anti-DDoS Proxy のトラフィックスクラブセンターを経由します。正当なトラフィックが誤ってブロックされるのを防ぐため、この機能の有効化を強く推奨します。
保護のアセット リストの 選択するオブジェクト エリアで、保護対象インスタンス を選択します。
保護する Asset IP Address を選択します。その後、ポート / プロトコル エリアで、保護対象の特定ポートを選択します。
構成を完了したら、追加の確認 をクリックします。
関連操作
IP 固有の緩和ポリシーテンプレートの変更: 軽減設定 ページで、左上隅のドロップダウンリストから IP 保護ポリシー を選択します。対象ポリシーを見つけ、保護ルールの変更 列の 操作 をクリックします。
重要ポリシーテンプレートを変更すると、そのテンプレートにリンクされたすべての保護対象アセットに変更内容が適用されます。慎重に操作してください。
IP 固有の緩和ポリシーテンプレートの削除:軽減設定 ページで、IP 保護ポリシー を選択します。対象ポリシーを見つけ、削除 列の 操作 をクリックします。
重要保護対象アセットにリンクされているポリシーテンプレートは削除できません。テンプレートを削除するには、まずすべての保護対象アセットからリンクを解除する必要があります。
ポリシーテンプレートへの保護対象アセットの追加または削除:軽減設定 ページで、IP 保護ポリシー を選択します。対象ポリシーを見つけ、関連付けられた保護オブジェクト 列の 操作 をクリックします。
構成例
通常の Alibaba Cloud サービスでは、サービスの特性に応じて IP 固有の緩和ポリシーを構成し、ネットワーク層およびトランスポート層におけるボリューム攻撃に対処できます。
パラメーター | 説明 |
ICMP ブロック | ご利用のサービスで ICMP プロトコルを使用しない場合、ICMP ブロックを有効化できます。 |
ブラックリスト / ホワイトリスト | 攻撃発生後、アタック分析 ページに移動し、最も頻繁に観測される疑わしい送信元 IP アドレスをブラックリストに追加できます。最大 2,000 個の IP アドレスを追加可能です。詳細については、「攻撃分析」をご参照ください。 |
地域ブロック | ご利用のサービスが提供されていないすべての地域をブロックできます。たとえば、中国本土以外ではサービスを提供していない場合、中国本土以外のすべての地域をブロックできます。 |
ポートブロッキング | ご利用のサービスで UDP ポートを使用しない場合、すべての UDP ポートをブロックできます。 |
指紋フィルター | 攻撃トラフィックを分析し、トラフィックのシグネチャに基づいてバイト一致フィルターを構成できます。 |