この Topic では、Anti-DDoS サービスに関連する基本的な概念について説明します。
DDoS 攻撃
分散型サービス妨害 (DDoS) 攻撃には、ボリューム攻撃とアプリケーションレイヤー攻撃が含まれます。
ボリューム攻撃は、サービスのネットワーク帯域幅を標的とします。攻撃者は通常、複数の制御されたコンピューターまたは攻撃シミュレーターを使用して、大量のリクエストまたはデータパケットをターゲットサーバーに送信します。これにより、ネットワーク帯域幅が枯渇し、サービスが利用できなくなります。
アプリケーションレイヤー攻撃はサーバーを標的とします。これらの攻撃中、悪意のあるリクエストはサーバーのメモリまたは CPU リソースを枯渇させます。その結果、サーバーは通常のリクエストに応答できなくなります。
トラフィックスクラビング
トラフィックスクラビングは、専門の Anti-DDoS デバイスまたはサービスを使用してトラフィックを分析およびフィルターします。通常のトラフィックと攻撃トラフィックを区別し、通常のトラフィックのみをオリジンサーバーに転送します。これにより、サーバーの負荷とリスクが軽減されます。
ブラックホールフィルタリング
ブラックホールフィルタリングは、DDoS 攻撃トラフィックがスクラビングサービスの最大緩和能力を超えたときにトリガーされます。同じネットワーク上の他のサービスの可用性を保護するために、ターゲット IP アドレスへのすべてのトラフィックがドロップされます。詳細については、「Alibaba Cloud のブラックホールフィルタリングポリシー」をご参照ください。
Web リソース枯渇攻撃
Web リソース枯渇攻撃は、HTTP や HTTPS などのアプリケーションレイヤープロトコルを標的とする悪意のあるリクエスト攻撃です。この攻撃は、ログイン、登録、検索など、実際のユーザーのアクセス動作を模倣して、ターゲットサイトのアプリケーションリソースを消費します。その結果、ターゲットサイトは通常のリクエストに応答できなくなります。
コネクションフラッド攻撃
コネクションフラッド攻撃は、トランスポートレイヤーでの悪意のあるセッション攻撃です。攻撃者は複数のゾンビ端末を使用して、多数の TCP リクエストをターゲット Web サイトに送信します。これらのリクエストは、接続、CPU、メモリなど、ターゲットサーバーのリソースを消費します。その結果、ターゲットサーバーは通常のリクエストに応答できなくなります。
ボリューム攻撃
ボリューム攻撃はネットワーク帯域幅を標的とします。攻撃者は通常、複数の制御されたコンピューターまたはパケットジェネレーターを使用して、大量のリクエストまたはデータパケットをターゲットサーバーに送信します。これにより、ネットワーク帯域幅が枯渇し、通常のサービスにアクセスできなくなります。
ベストエフォート保護 (Anti-DDoS Pro および Anti-DDoS Premium)
Anti-DDoS Pro および Anti-DDoS Premium クラスターは、利用可能なすべてのリソースを使用してベストエフォート保護を提供します。ただし、攻撃がクラスターの最大緩和能力を超えた場合、ブラックホールフィルタリングがトリガーされることがあります。詳細については、「Anti-DDoS Pro (中国本土) の課金」をご参照ください。
無制限保護
無制限保護は、Anti-DDoS Pro (中国本土) の Professional Edition で利用可能な DDoS 緩和機能です。DDoS 攻撃が基本保護帯域幅を超えた場合、Anti-DDoS Pro (中国本土) の最大攻撃トラフィックしきい値を設定できます。このしきい値は、無制限保護帯域幅として知られています。ピーク DDoS 攻撃トラフィックが基本保護帯域幅を超えても、設定した無制限保護帯域幅未満である場合、無制限保護がトリガーされます。この場合、攻撃が発生した日に無制限保護料金が請求されます。詳細については、「無制限保護帯域幅の課金方法」をご参照ください。
高度な緩和
高度な緩和は、ベストエフォート保護とも呼ばれ、すべての DDoS 攻撃に対して正常に防御することを目的としています。現在の Alibaba Cloud リージョンにあるすべての Anti-DDoS スクラビングセンターの機能を統合して、サービスを完全に保護します。
Anti-DDoS Proxy インスタンスが 5 Gbit/s を超える DDoS 攻撃トラフィックを受信した場合、そのインスタンスに提供される高度な緩和セッションが消費されます。高度な緩和セッションは、インスタンスを 24 時間保護します。24 時間以内に Anti-DDoS Proxy インスタンスで発生したすべての DDoS 攻撃は、同じ高度な緩和セッションを消費します。
次のインスタンスエディションは、高度な緩和を提供します:
Anti-DDoS Pro (中国本土): Premium Edition
Anti-DDoS Premium (中国本土以外): Insurance、Unlimited、および Sec-MCA (Sec-MCA 1.0、Sec-CMA (Basic)、Sec-MCA 2.0 (Insurance)、および Sec-MCA 2.0 (Unlimited) を含む) 緩和プラン
詳細については、「Anti-DDoS Pro (中国本土) の課金」、「Anti-DDoS Premium (中国本土以外) の Insurance および Unlimited 緩和プランの課金」、および「Anti-DDoS Premium (中国本土以外) の Sec-MCA 緩和プランの課金」をご参照ください。
エニーキャスト
Anti-DDoS Premium (中国本土以外) は、エニーキャスト通信パターンを使用します。世界中の Alibaba Cloud スクラビングセンターの機能を、Anti-DDoS Premium (中国本土以外) サービスのリソースとして活用します。エニーキャストは、エニーキャストアドレスに送信されたメッセージが、そのアドレスで識別される特定のサーバーグループにルーティングされるネットワークアドレッシングおよびルーティングメソッドです。
Anti-DDoS Premium (中国本土以外) は、エニーキャストメソッドを使用して、着信トラフィックを緩和機能を持つ最寄りのスクラビングセンターにルーティングします。このルーティングメソッドにより、高い同時トラフィックやネットワーク輻輳が発生している場合でも、サービスの可用性を優先するスケジューリングが可能になります。ただし、このシナリオでは、国境を越えたデータ伝送が含まれる場合があります。詳細については、「国境を越えたデータ伝送」をご参照ください。
エニーキャストアドレスは、着信トラフィックを複数のデータセンターにルーティングできます。アクセス元のトラフィックがエニーキャストアドレスにアタッチされた IP アドレスに到達すると、トラフィックは設定された分散メソッドに基づいて異なるデータセンターに分散されます。通常、トラフィックはトラフィックソースに最も近いデータセンターに分散されます。Anti-DDoS Premium (中国本土以外) には、Alibaba Cloud への接続を支援するために、次のリージョンにアクセスポイントがあります。
エリア | リージョン |
アジア太平洋 | 中国 (香港)、シンガポール、日本、マレーシア、インドネシア |
北米 | 米国 (シリコンバレー)、米国 (バージニア) |
ヨーロッパ | 英国 (ロンドン)、ドイツ (フランクフルト) |
たとえば、Anti-DDoS Premium (中国本土以外) インスタンスのエニーキャスト IP アドレスが 170.x.x.x であるとします。中国本土以外のすべての Alibaba Cloud スクラビングセンターは、この IP アドレスへのルートをアドバタイズします。データパケットがこの IP アドレスに送信されると、一連のルートを通過し、最短パス (ルートホップ数が最も少ない) のノードに送信されます。最短パスは、中国本土以外の Alibaba Cloud スクラビングセンターの各ノードへの利用可能なパスを確認することによって決定されます。ノードのサーバーに障害が発生して利用できなくなった場合、利用できなくなった IP セグメントのアドバタイズは直ちに停止されます。その後、パケットは最短パスの原則に基づいて、最も近い利用可能なサービスノードにルーティングされます。
デフォルトでは、香港 (中国) のユーザーからのトラフィックは、中国 (香港) の Alibaba Cloud Anti-DDoS スクラビングセンターにルーティングされます。