Anti-DDoS:IP 別軽減ポリシーを構成する

使用上の注意

• 通常の Alibaba Cloud サービスのアセットは、IP 別軽減ポリシーのみをサポートしています。Anti-DDoS (Enhanced) が有効になっている EIP は、IP 別とポート別の両方の軽減ポリシーをサポートしています。IP 別とポート別の両方の軽減ポリシーを構成した場合、IP 別軽減ポリシーの方が優先されます。

• パブリック IP アドレスが割り当てられているアセットには、1 つの IP 別軽減ポリシーのみを関連付けることができます。以下のセクションでは、パブリック IP アドレスが割り当てられているアセットを略してアセットと呼びます。

• カスタム軽減ポリシーは、Anti-DDoS Origin でトラフィックをブロックするための特定の方法です。これらのポリシーによってブロックされたトラフィックは、攻撃トラフィックの統計情報に引き続き含まれます。

前提条件

• 通常の Alibaba Cloud サービスのアセットは、保護のために Anti-DDoS Origin 1.0、Anti-DDoS Origin 2.0 (サブスクリプション)、または Anti-DDoS Origin 2.0 (従量課金制) に追加されます。詳細については、「保護対象オブジェクトを追加する」をご参照ください。

• Anti-DDoS (Enhanced) が有効になっている EIP は、EIP の購入後に自動的に保護対象に追加されます。EIP を手動で追加する必要はありません。

手順

1. Traffic Security コンソールの [軽減設定] ページに移動します。

2. ポリシーの新規作成 をクリックします。[ポリシーの作成] パネルで、ポリシー名 を構成し、[ポリシータイプの選択] セクションで IP 保護ポリシー を選択します。次に、確定 をクリックします。

3. ポリシーが作成されました メッセージで、[OK] をクリックします。次に、ルールを構成し、[次へ] をクリックします。

   重要

   • 特定のルールは、DDoS 攻撃が発生した場合にのみ有効になります。次のルールは、優先順位の高い順に示されています。

     • 通常の Alibaba Cloud サービスの資産の場合: ブラックリストルール、ICMP ブロックルール、ホワイトリストルール、ロケーションブラックリストルール、ポートブロックルール、バイトマッチフィルタールール。

     • Anti-DDoS（拡張）が有効になっている EIP の場合: ブラックリストルール、ICMP ブロックルール、ホワイトリストルール、ポートブロックルール、バイトマッチフィルタールール、リフレクション攻撃フィルタリングルール、ソースレート制限ルール。

   • ルールの有効期間: ブラックリストルールを除き、ルールは有効期限切れになりません。ブラックリストルールには有効期間を設定する必要があります。

   ルール	ルールの説明	通常の Alibaba Cloud サービス	Anti-DDoS （Enhanced）が有効な EIP	説明
   インテリジェント軽減	ビッグデータ分析に基づくインテリジェントエンジンがサービスのトラフィックパターンを自動的に学習し、ネットワーク層とトランスポート層で DDoS 攻撃を軽減します。	×	√	重要 軽減ポリシーを作成すると、[インテリジェント保護] ルールが自動的に有効になり、正常 レベルに設定されます。この場合、ビッグデータ分析に基づくインテリジェントエンジンが最適な保護を提供するには、エンジンがサービストラフィックのパターンを学習してから約 3 日かかります。 過去のサービストラフィックのデータ、専門家の経験、およびアルゴリズムに基づいて、[インテリジェント保護] ルールは次のレベルの保護を提供します。 ルース： [緩め] レベルの [インテリジェント保護] ルールは、攻撃特性を持つ悪意のある IP アドレスからアセットを保護します。 [緩め] レベルでは攻撃が許可される場合がありますが、誤検知率は低くなります。 正常： [通常] レベルの [インテリジェント保護] ルールは、攻撃特性を持つ悪意のある IP アドレスと疑わしい IP アドレスからアセットを保護します。 [通常] レベルは、保護効果と低い誤検知率のバランスを取るのに役立ちます。 ストリクト： [厳格] レベルの [インテリジェント保護] ルールは、攻撃に対して強力な保護を提供します。 [厳格] レベルでは、場合によっては誤検知が発生します。
   ICMP ブロック	このルールは、トラフィックスクラビング中にインターネット制御メッセージプロトコル（ICMP）リクエストを拒否して、悪意のあるスキャンからサーバーを保護し、ICMP フラッド攻撃の軽減に役立てます。	√ 攻撃中にのみ有効	√ 中国本土の Alibaba Cloud サービス：常に有効。 中国本土以外の Alibaba Cloud サービス：香港および米国（バージニア北部）では攻撃中にのみ有効。その他のリージョンでは常に有効。	このルールは、ホワイトリストに登録されている IP アドレスに適用されます。これらの IP アドレスから送信された ICMP リクエストも拒否されます。 重要 [ICMP ブロック] ルールを有効にすると、ping コマンドのトラフィックもブロックされます。 ping コマンドを使用してネットワーク診断とメンテナンスを実行する前に、[ICMP ブロック] ルールを無効にしてください。
   ブラックリスト / ホワイトリスト	[ブラックリスト] ルールは、特定の送信元 IP アドレスからのリクエストを拒否します。 [ホワイトリスト] ルールは、特定の送信元 IP アドレスからのリクエストを許可します。 重要 ホワイトリストに登録されたトラフィックが非常に多い場合でも、クラウドサービスの仕様とプラットフォーム セキュリティが原因で、Anti-DDoS Origin のデフォルトの宛先 IP ベース レート制限ポリシーがトリガーされる可能性があります。	√ 攻撃中にのみ有効	√ 常に有効	ブラックリストに IP アドレスを追加する場合は、ブラックリストに 1 分から 10,080 分の有効期間を設定する必要があります。有効期間は、ブラックリスト内のすべての IP アドレスに適用されます。 ブラックリストには最大 2,000 の IP アドレス、ホワイトリストには最大 2,000 の IP アドレスを追加できます。
   地域ブロック	このルールは、地理的な場所によるアクセス リクエストをブロックできます。 [ロケーション ブラックリスト] ルールが有効になると、ブロックされた場所から宛先 IP アドレスへのトラフィックがブロックされます。	√ 攻撃中にのみ有効	√ 常に有効	地域または国別にアクセス リクエストをブロックできます。
   ポートブロッキング	このルールは、送信元ポートまたは宛先ポート経由で送信される UDP または TCP リクエストを拒否して、UDP リフレクション攻撃を軽減します。	√ 攻撃中にのみ有効	√ 中国本土の Alibaba Cloud サービス：常に有効。 中国本土以外の Alibaba Cloud サービス：香港および米国（バージニア北部）では攻撃中にのみ有効。その他のリージョンでは常に有効。	最大 8 つのポートブロック ルールを作成できます。 重要 次の推奨事項に基づいてポートブロック ルールを構成することをお勧めします。 アセットが UDP サービスを提供していない場合は、すべての送信元 UDP ポートをブロックすることをお勧めします。アセットが後で UDP サービスを提供する場合は、できるだけ早く軽減ポリシーを調整してください。 アセットが UDP サービスを提供している場合は、UDP リフレクション攻撃で悪用される一般的な送信元ポートをブロックすることをお勧めします。ポートには、ポート 1 ～ 52、54 ～ 161、389、1900、および 11211 が含まれます。
   ソースレート制限	このルールでは、しきい値を指定して、送信元 IP アドレスが保護された IP アドレスにアクセスするレートを制限できます。	×	√ 常に有効	ソース PPS、ソース帯域幅、ソース SYN パッケージの PPS、および ソース SYN パッケージの帯域幅 を構成できます。アクセス レートの種類ごとにしきい値を指定した後、アクセス レートの種類ごとに「送信元 IP アドレスが 60 秒以内に 5 回レート制限をトリガーした場合、その IP アドレスはブラックリストに追加されます」オプションを選択することもできます。このオプションを選択すると、送信元 IP アドレスからのすべてのアクセス トラフィックが破棄されます。
   リフレクション攻撃のフィルターリング	このルールは、UDP トラフィックのみを監視および保護します。 Anti-DDoS は、指定した送信元ポートからの UDP トラフィックをブロックして、一般的な UDP リフレクション攻撃をブロックするのに役立ちます。	×	√ 常に有効	[リフレクション攻撃フィルタリング] ルールは、次の種類のポリシーをサポートしています。 ワンクリックフィルターポリシー：一般的な UDP リフレクション攻撃をリストアップします。サービスで UDP を使用していない場合は、すべての送信元 UDP ポートをブロックすることをお勧めします。 カスタムファイターポリシー：最大 20 のカスタム ポートを指定できます。ポートは、ワンクリックフィルターポリシー セクションのポートと同じにすることはできません。
   指紋フィルター	このルールは、特定のパケットの内容のバイトを照合して、リクエストを拒否、許可、またはレート制限します。ほとんどの場合、攻撃ツールによって偽造された攻撃パケットは、同じ特徴フィールドを持っています。たとえば、攻撃パケットには同じ文字列または内容が含まれています。	√ 攻撃中にのみ有効	√ 中国本土の Alibaba Cloud サービス：常に有効。 中国本土以外の Alibaba Cloud サービス：香港および米国（バージニア北部）では攻撃中にのみ有効。その他のリージョンでは常に有効。	次のセクションでは、構成パラメーターについて説明します。 プロトコル：プロトコルの種類。有効値： TCP および UDP。 送信元ポート範囲：送信元ポートの範囲。有効値： 0 ～ 65535。 宛先ポート範囲：宛先ポートの範囲。有効値： 0 ～ 65535。 パケット長：パケット長の範囲。有効値： 1 ～ 1500。単位：バイト。 オフセット: UDP または TCP パケットのバイト オフセット。有効な値: 0 ～ 1500。単位: バイト。 このパラメーターを 0 に設定すると、システムは最初のバイトから照合を開始します。 ペイロード： UDP または TCP パケットの照合ペイロード。長さが 1 ～ 15 バイトの 16 進数文字列を入力する必要があります。 16 進数のプレフィックス「0x」を含めないでください。たとえば、0xad と照合するには、ad と入力します。 アクション: 指定された条件に一致するリクエストに対する操作。有効な値: パス、廃棄、送信元IPアドレスの帯域幅の制限、および セッション帯域幅の制限。 送信元IPアドレスの帯域幅の制限 または セッション帯域幅の制限 を選択した場合、帯域幅パラメーターを指定する必要があります。帯域幅パラメーターの有効な値: 1 ～ 100000。単位: パケット/秒 (pps)。
   [Anti-DDoS Pro および Anti-DDoS Premium の原点復帰 CIDR ブロックをホワイトリストに追加]	このルールは、Anti-DDoS Pro または Anti-DDoS Premium インスタンスの原点復帰 CIDR ブロックを、Anti-DDoS （Enhanced）が有効な EIP のホワイトリストに追加します。	×	√	Anti-DDoS （Enhanced）が有効な EIP を保護するために、EIP 宛てのトラフィックは Anti-DDoS スクラビング センターに転送され、次にオリジン サーバーに転送されます。サービス トラフィックがブロックされないようにするために、このルールを有効にすることを強くお勧めします。

4. 保護のアセット セクションの 選択するオブジェクト セクションで、構成したルールを適用するアセットをリージョンとインスタンス名で検索し、追加の確認 をクリックします。

次のステップ

• IP 固有の軽減ポリシーを変更するには、IP 保護ポリシー を 軽減設定 ページで選択します。変更するポリシーを見つけ、保護ルールの変更 を 操作 列でクリックします。

  重要

  軽減ポリシーを変更すると、変更されたポリシーはすべての保護対象オブジェクトに適用されます。慎重に進んでください。

• IP 固有の軽減ポリシーを削除するには、IP 保護ポリシー を 軽減設定 ページで選択します。削除するポリシーを見つけ、操作 列の 削除 をクリックします。

  重要

  削除する軽減ポリシーがオブジェクトにアタッチされている場合は、軽減ポリシーを削除できません。軽減ポリシーを削除する前に、保護されているオブジェクトから軽減ポリシーをデタッチする必要があります。

• 保護対象オブジェクトに軽減ポリシーをアタッチするか、保護対象オブジェクトから軽減ポリシーをデタッチするには、、IP 保護ポリシー軽減設定 ページで 関連付けられた保護オブジェクト操作 を選択します。管理するポリシーを見つけて、 列の をクリックします。

例

通常の Alibaba Cloud サービスのアセットを保護するために、ビジネス要件に基づいて IP 別軽減ポリシーを構成して、ネットワーク層およびトランスポート層における大量 DDoS 攻撃を軽減できます。