すべてのプロダクト
Search

このプロダクト

    Anti-DDoS:Anti-DDoS Pro および Anti-DDoS Premium に関するよくある質問

    ドキュメントセンター

    Anti-DDoS:Anti-DDoS Pro および Anti-DDoS Premium に関するよくある質問

    最終更新日:Dec 18, 2025

    このトピックでは、Anti-DDoS Pro (中国本土) および Anti-DDoS Premium (中国本土以外) サービスに関するよくある質問を一覧で説明します。

    質問の概要

    製品の課金と仕様

    • Anti-DDoS Pro または Anti-DDoS Premium インスタンスの有効期限が切れた後はどうなりますか?

      このトピックでは、Anti-DDoS Proxy (中国本土) を例に説明します:

      • 有効期限切れ後 7 日以内:インスタンスの防御能力は、5 Gbps のブラックホールトリガーしきい値を持つ基本防御レベルにスペックダウンされます。サービストラフィックまたは攻撃トラフィックが 5 Gbps を超えると、システムはその IP アドレスに対してブラックホールフィルタリングをトリガーします。

      • 有効期限切れ後 8 日から 30 日まで:インスタンスはすべてのサービストラフィックの転送を停止します。この期間中にサブスクリプションを更新することで、サービスを復旧できます。

      • 有効期限切れ後 31 日以上: インスタンスとそのリソースは完全にリリースされます。すべての構成は失われ、回復することはできません。

      詳細については、「Anti-DDoS Pro (中国本土) の課金」をご参照ください。

    • Anti-DDoS Pro および Anti-DDoS Premium の保護対象ポート数とドメイン名数の上限はいくつですか?

      • 保護されるポートの数:

        • 中国本土のインスタンス:デフォルトで 50、最大 1,500 まで拡張可能。

        • 中国本土以外のインスタンス:デフォルトで 5、最大 1,500 まで拡張可能。

      • 保護対象ドメイン名数

        • 中国本土のインスタンス:デフォルトで 50、最大 200 まで拡張可能。

        • 中国本土以外のインスタンス:デフォルトで 10、最大 200 まで拡張可能。

    統合と構成

    • Anti-DDoS Pro および Anti-DDoS Premium の back-to-origin IP アドレスを確認する方法は?手動でホワイトリストに追加する必要がありますか?

      • back-to-origin IP アドレスの確認:最新の back-to-origin IP CIDR ブロックは、Anti-DDoS Pro および Anti-DDoS Premium コンソールの [Web サイト設定] ページまたは関連ページで確認できます。

      • ホワイトリストへの追加はい、手動で追加する必要があります。Anti-DDoS Pro および Anti-DDoS Premium は、オリジンサーバーのセキュリティポリシーを自動的に変更しません。オリジンサーバーでファイアウォール、セキュリティグループ、またはサードパーティ製のセキュリティソフトウェアを使用している場合は、Anti-DDoS Pro および Anti-DDoS Premium の back-to-origin IP CIDR ブロックをホワイトリストに必ず追加してください。そうしないと、オリジンサーバーはサービスによって転送されたすべての非悪意的なトラフィックをブロックしてしまいます。

    • プライベート IP アドレスをオリジン IP アドレスとして使用できますか?オリジン IP アドレスを変更する際に遅延はありますか?

      • オリジン IP アドレスのタイプいいえ、使用できません。Anti-DDoS Pro および Anti-DDoS Premium は、パブリックネットワークを介してオリジンサーバーと通信します。そのため、オリジン IP アドレスはパブリック IP アドレスである必要があります。

      • 変更の遅延はい、あります。オリジン IP アドレスを変更した後、新しい構成がすべての POP に反映されるまで約 5 分かかります。ビジネスへの影響を最小限に抑えるため、この変更はオフピーク時に行ってください。

      説明

      詳細については、「静的パブリック IP アドレス」をご参照ください。

    • Anti-DDoS Pro および Anti-DDoS Premium は、負荷分散、ヘルスチェック、セッション維持をどのように処理しますか?

      • 負荷分散:複数のオリジン IP アドレスを構成する場合:

        • レイヤー 7 (Web サイトサービス) の場合ラウンドロビン、IP ハッシュ、最小時間のアルゴリズムがサポートされています。

        • レイヤー 4 (非 Web サイトサービス) の場合:デフォルトのアルゴリズムはラウンドロビンです。アルゴリズムは変更できません。

      • ヘルスチェック:ヘルスチェックはサポートされています。ヘルスチェックは、Web サイトサービスではデフォルトで有効、非 Web サイトサービスではデフォルトで無効ですが、手動で有効にできます。サービスはオリジンサーバーのヘルス状態を監視し、異常なオリジン IP アドレスをローテーションから自動的に除外します。

        説明

        ヘルスチェックの詳細については、「SLB のヘルスチェック概要」および「ヘルスチェックの構成」をご参照ください。

      • セッション維持:ポートフォワーディング構成でセッション維持がサポートされています。この機能は、アプリケーションレイヤー保護が有効になっている場合は無効になります。セッション維持が有効な場合、サービスは指定された期間、同じクライアント IP アドレスからのリクエストを常に同じバックエンドサーバーに転送します。具体的な手順については、「セッション維持の構成」をご参照ください。

        説明

        クライアントのネットワーク環境が変更された場合 (例:Wi-Fi から 4G への切り替え)、パブリック IP アドレスが変更されます。これにより、セッション維持は失敗します。

    • Anti-DDoS Pro または Anti-DDoS Premium を CDN または DCDN と併用できますか?どのように構成すればよいですか?

      はい、可能ですが、直接連携させることは強く推奨されません。正しい方法は、Anti-DDoS Pro および Anti-DDoS Premium が提供するインテリジェント連携ソリューションを使用することです。これにより、高速化と保護のバランスが取れます。

      • 直接チェーンする方法:

        • トラフィックフロー:CDN/DCDN から Anti-DDoS Pro/Premium へ:CDN/DCDN の POP が攻撃されると、サンドボックス化される可能性があります。これにより、トラフィックが Anti-DDoS Pro または Anti-DDoS Premium に到達できなくなり、保護が無効になります。

        • トラフィックフロー:Anti-DDoS Pro/Premium から CDN/DCDN へ:Anti-DDoS Pro または Anti-DDoS Premium を経由する back-to-origin パスは遅延を追加するため、CDN/DCDN の高速化パフォーマンスに悪影響を及ぼします。

      • 連携ソリューション:Anti-DDoS Pro および Anti-DDoS Premium の拡張機能プランで利用可能な Sec-Traffic Manager を使用して、CDN/DCDN と連携します。

        • 仕組み:ドメイン名を Sec-Traffic Manager によって生成された CNAME レコードに解決します。通常時は、トラフィックは高速化のために CDN/DCDN を経由してルーティングされます。攻撃が検出されると、トラフィックは自動的にトラフィックスクラビングのために Anti-DDoS Pro または Anti-DDoS Premium に切り替えられます。攻撃が終了すると、トラフィックのルーティングは CDN/DCDN に戻ります。

        • 利点: このソリューションは、通常のアクセスに対する高速なユーザーエクスペリエンスと、攻撃中の高可用性の両方を提供します。

    機能とプロトコルのサポート

    • Anti-DDoS Pro および Anti-DDoS Premium がサポートする一般的なプロトコルは何ですか?

      • IPv6:Anti-DDoS Pro (中国本土) は IPv6 をサポートしています。Anti-DDoS Premium (中国本土以外) は現時点では IPv6 をサポートしていません。

      • WebSocket:WebSocket はサポートされています。詳細については、「Anti-DDoS Pro および Anti-DDoS Premium の WebSocket 構成」をご参照ください。

      • NTLM 認証:NTLM 認証はサポートされていません。Anti-DDoS Pro または Anti-DDoS Premium を経由して転送されたリクエストは、オリジンサーバーでの NTLM 認証に失敗する可能性があります。代わりに Anti-DDoS Origin を使用してください。

      • gRPC:gRPC はサポートされていません。

      • Server-Sent Events (SSE):SSE はサポートされています。

    • Anti-DDoS Pro および Anti-DDoS Premium のデフォルトの接続タイムアウトはどのくらいですか?

      • レイヤー 4 TCP 接続: 900 秒。

      • レイヤー 7 HTTP/HTTPS 接続: 120 秒。

    • Anti-DDoS Pro および Anti-DDoS Premium は HTTPS をどのようにサポートしますか?

      • HTTPS 相互認証:HTTPS 相互認証はサポートされています。詳細なガイドについては、「Anti-DDoS Pro および Anti-DDoS Premium を使用して HTTPS 相互認証をデプロイする」をご参照ください。

        • レイヤー 7 ([Web サイト設定]) の場合:コンソールでサーバー側証明書とクライアント CA 証明書をアップロードする必要があります。Anti-DDoS POP がクライアント証明書の検証を処理します。

        • レイヤー 4 ([ポート設定]) の場合:サービスは透過的な転送チャネルとして機能し、オリジンサーバーが相互認証プロセス全体を処理します。

      • SSL プロトコルと暗号スイート:TLS 1.0 から 1.3 までがサポートされています。ECDHE-ECDSA-AES128-GCM-SHA256 を含む、主流およびレガシーの幅広い暗号スイートもサポートされています。コンソールで TLS セキュリティポリシーをカスタマイズできます。

        詳細については、「HTTPS 証明書の TLS セキュリティポリシーをカスタマイズする」をご参照ください。

      • SNI の互換性の問題:古いブラウザや特定の Android クライアントを使用しているユーザーが HTTPS サイトにアクセスできない場合、そのクライアントがサーバ名表示 (SNI) をサポートしていない可能性が高いです。Anti-DDoS Pro および Anti-DDoS Premium は、複数の HTTPS ドメイン名をホストするために SNI を使用します。互換性のないクライアントは TLS ハンドシェイクを完了できません。SNI に関連する問題の詳細については、「SNI が原因で発生する可能性のある HTTPS アクセス例外」をご参照ください。

    保護とセキュリティメカニズム

    • クリーン帯域幅とは何ですか?上限を超えるとどうなりますか?

      クリーン帯域幅とは、保護対象のサービスに向けられた非悪意的なサービストラフィックのことです。システムはインバウンドおよびアウトバウンドトラフィックの両方を測定し、高い方の値を課金対象として使用します (単位:Mbit/s)。

      上限を超えた場合の影響:実際のサービストラフィックがインスタンスのクリーン帯域幅の仕様を超えた場合、システムはレート制限をトリガーします。これにより、サービスの途切れ、応答の遅延、断続的な接続障害、またはランダムなパケット損失が発生する可能性があります。この問題は次のように解決します:

      1. 帯域幅使用量の確認 Anti-DDoS Pro および Anti-DDoS Premium コンソールで、[インスタンス] ページに移動します。インスタンスの帯域幅チャートを監視して、使用量が購入した仕様を超えていないか確認します。

      2. 緊急インスタンスアップグレード

        • 目的:クリーン帯域幅の上限を引き上げて、サービスのパフォーマンスを回復させます。

        • 手順

          1. Anti-DDoS Pro および Anti-DDoS Premium コンソールにログインします。

          2. [インスタンス] ページで対象のインスタンスを見つけ、[操作] 列の [スペックアップ] をクリックします。

          3. [クリーン帯域幅] セクションで、より高い仕様を選択し、支払いを完了します。

        • 有効化までの時間:構成の変更がネットワーク全体に反映されるまで 3~5 分かかります。

    • ブラックホールフィルタリングにはどのように対処すればよいですか?Anti-DDoS Pro または Anti-DDoS Premium インスタンスのブラックホールフィルタリングを手動で解除できますか?

      攻撃トラフィックがインスタンスの最大防御能力を超えると、システムは Alibaba Cloud データセンター全体の安定性を保護するために、インスタンスの IP アドレスにブラックホールフィルタリングを適用します。インスタンスを経由するすべてのサービスは完全にアクセス不能になります。この問題は次のように解決します:

      1. 攻撃状況の評価 Anti-DDoS Pro および Anti-DDoS Premium コンソールにログインします。[セキュリティ概要] ページで、攻撃のピークトラフィックと傾向を確認し、攻撃が停止または弱まっているかを確認します。

      2. ブラックホールの解除

        • Anti-DDoS Pro (中国本土) インスタンス

          • 目的:攻撃トラフィックがインスタンスの防御能力の範囲内に低下したことを確認した後、手動でサービスアクセスを復旧させます。

          • 前提条件:各 Alibaba Cloud アカウントは、1 日に 5 回まで手動でブラックホールを解除する機会があります。この回数は毎日 00:00 にリセットされます。

          • 手順:ブラックホールを手動で解除する詳細な手順については、「ブラックホールの解除」をご参照ください。

            1. Anti-DDoS Pro および Anti-DDoS Premium コンソールにログインします。左側のナビゲーションウィンドウで、軽減設定 > 一般的なポリシー を選択します。表示されたページで、ブラックホールを解除したいインスタンスを見つけて選択します。

            2. インスタンスの ブラックホール状態を無効化 セクションで、ブラックホールを無効化 をクリックします。

        • Anti-DDoS Premium (中国本土以外) インスタンス

          • 制限事項:現在、ブラックホールの手動解除はサポートされていません。

          • 推奨事項

            • Insurance プラン:月間の高度な防御セッションをすべて使い果たしたためにブラックホールフィルタリングがトリガーされた場合は、直ちにインスタンスを Unlimited プランにスペックアップしてください。スペックアップ後、ブラックホールフィルタリングは自動的に解除されます。

            • Unlimited プラン:これらのインスタンスは無制限の高度な防御を提供するため、防御能力の超過によるブラックホールフィルタリングの対象にはなりません。もし発生した場合は、チケットを送信してください。

    • スクラビングしきい値に達していないのに、[セキュリティ概要] ページにスクラビングされたトラフィックが表示されるのはなぜですか?

      これは正常な動作です。Anti-DDoS Pro および Anti-DDoS Premium は、TCP プロトコル標準に準拠しない小さな SYN パケットや異常なフラグを持つパケットなど、インバウンドトラフィックからすべての不正な形式のネットワークパケットを自動的にフィルタリングします。これらの遮断されたパケットは「スクラビングされたトラフィック」としてカウントされます。そのため、サービスが大規模な攻撃を受けていない場合でも、少量のスクラビングされたトラフィックが記録されることがあります。

    • Anti-DDoS Pro および Anti-DDoS Premium は、中国本土以外の IP アドレスからのアクセスをブロックすることをサポートしていますか?

      はい、サポートしています。Anti-DDoS Pro および Anti-DDoS Premium はロケーションブラックリスト機能を提供しています。国や地域に基づいてアクセス制御ポリシーを構成し、中国本土以外の IP アドレスからのトラフィックを正確にブロックまたは許可することができます。

    • HTTPS 証明書と秘密鍵をアップロードしても安全ですか?Anti-DDoS Pro および Anti-DDoS Premium は HTTPS リクエストの内容を復号化してログに記録しますか?

      • キーのセキュリティはい、非常に安全です。Anti-DDoS Pro および Anti-DDoS Premium は、専用の証明書サーバー (キーサーバー) を使用して証明書と秘密鍵を保存・管理します。このサービスは Alibaba Cloud Key Management Service (KMS) 上に構築されており、ISO 27001、SOC 1/2/3、PCI DSS などの複数の国際的なセキュリティ認証機関によって認定されており、キーのセキュリティを保証します。これは、Alibaba Cloud 自体を保護しているのと同じレベルのセキュリティとコンプライアンスです。詳細については、Alibaba Cloud トラストセンターをご参照ください。

      • トラフィックのプライバシーいいえ、リクエストの全内容をログに記録しません。Anti-DDoS Pro および Anti-DDoS Premium は、リアルタイムの検査のためにのみ HTTPS トラフィックを復号化します。リクエストやレスポンスの全内容をログに記録することはありません。サービスは、攻撃が検出された場合にのみ、レポート分析のために攻撃の特徴の一部 (ペイロード) をログに記録します。

      説明

      Anti-DDoS Pro または Anti-DDoS Premium を使用して HTTPS サービスを保護する場合、デュアル証明書ソリューションを使用することもできます。これは、Anti-DDoS サービスで 1 つの証明書とキーペアを使用し、オリジンサーバーで別のペアを使用することを意味します。両方のペアが有効である必要があります。これにより、サービスにアップロードした証明書とキーを、オリジンサーバー上のものとは別に管理できます。

    • Anti-DDoS Pro および Anti-DDoS Premium クラスターのオープンポートはセキュリティリスクをもたらしますか?

      いいえ、もたらしません。Anti-DDoS Pro および Anti-DDoS Premium クラスターは、トラフィックの取り込みと転送にのみオープンポートを使用します。サービストラフィックは、コンソールでドメイン名またはサービスに構成した特定のポートにのみ転送されます。サービスで構成されていないオリジンサーバーのポートへのリクエストは転送されません。したがって、追加のセキュリティリスクをもたらすことはありません。