Anti-DDoS Proxy インスタンスにサービスを追加すると、サービス宛てのトラフィックは Anti-DDoS Proxy インスタンスにリダイレクトされ、オリジンサーバーの安定性と信頼性が確保されます。 これにより、大量の DDoS 攻撃が発生した場合のサービス停止を防ぎます。 このトピックでは、さまざまなシナリオで Anti-DDoS Proxy インスタンスにサービスを追加し、軽減ポリシーを設定するためのベストプラクティスについて説明します。
シナリオ
シナリオ | 設定プロセス |
通常のシナリオでの設定 | |
サービスが攻撃を受けている緊急シナリオでの設定 | 緊急シナリオでの注意事項を読み、通常のシナリオの設定プロセスに基づいてサービスを追加します。 |
ステップ 1:サービスを分析する
Anti-DDoS Proxy インスタンスにサービスを追加する前に、サービスのステータスとデータを分析することをお勧めします。
項目 | 説明 | 提案 |
Web サイトとサービス情報 | ||
Web サイトまたはアプリケーションの 1 日のピークトラフィック(Mbit/秒単位の帯域幅とクエリ/秒(QPS)を含む) | リスクが発生する可能性のある時点を特定します。 | この情報は、Anti-DDoS Proxy インスタンスのクリーンな帯域幅と QPS を設定するために必要です。 |
ユーザーの地理的な位置など、主要なユーザーグループに関する情報 | 攻撃元を特定します。 | この情報は、ロケーションブラックリストを設定するために必要です。 詳細については、「ロケーションブラックリスト(ドメイン名)機能を設定する」をご参照ください。 |
サービスが C/S アーキテクチャにデプロイされているかどうか | C/S アーキテクチャを使用している場合は、アプリクライアント、Windows クライアント、Linux クライアント、コールバックに使用されるクライアント、およびその他の環境のクライアントがデプロイされているかどうかを判断します。 | なし。 |
オリジンサーバーが中国本土以外のリージョンにデプロイされているかどうか | Anti-DDoS Proxy インスタンスがネットワークアーキテクチャに適しているかどうかを判断します。 | オリジンサーバーが中国本土以外にデプロイされている場合は、Anti-DDoS Proxy(中国本土以外)を使用することをお勧めします。 詳細については、「Anti-DDoS Proxy とは」をご参照ください。 |
Linux や Windows などのオリジンサーバーのオペレーティングシステム、および Apache、NGINX、IIS などの Web サービスミドルウェア | オリジンサーバーにアクセス制御ポリシーが設定されているかどうかを判断します。 ポリシーは、Anti-DDoS Proxy のバックツーオリジン IP アドレスからのトラフィックをブロックする場合があります。 | アクセス制御ポリシーが設定されている場合は、バックツーオリジン IP アドレスがオリジンサーバーにアクセスできるようにする必要があります。 詳細については、「バックツーオリジン IP アドレスがオリジンサーバーにアクセスできるようにする」をご参照ください。 |
サービスが IPv6 をサポートする必要があるかどうか | なし。 | サービスが IPv6 をサポートする必要がある場合は、Anti-DDoS Origin を使用することをお勧めします。 詳細については、「Anti-DDoS Origin とは」をご参照ください。 |
サービスで使用されるプロトコル | なし。 | この情報は、Anti-DDoS Proxy インスタンスに Web サイトを追加するときにプロトコルを選択するために必要です。 |
サービスポート | なし。 | オリジンサーバーのサービスポートが Anti-DDoS Proxy でサポートされているかどうかを確認します。 詳細については、「カスタムポートを指定する」をご参照ください。 |
HTTP リクエストヘッダーにカスタムフィールドが含まれているかどうか、およびオリジンサーバーが検証メカニズムを提供しているかどうか | Anti-DDoS Proxy がカスタムフィールドに影響を与え、オリジンサーバーで検証エラーが発生するかどうかを判断します。 | なし。 |
オリジンサーバーに、クライアントの送信元 IP アドレスを取得して検証するメカニズムがあるかどうか | サービスを Anti-DDoS Proxy に追加すると、リクエストの送信元 IP アドレスが変更されます。 サービスの中断を防ぐために、オリジンサーバーが送信元 IP アドレスを取得するために使用するメカニズムを調整するかどうかを決定します。 | 詳細については、「リクエストの送信元 IP アドレスを取得する」をご参照ください。 |
サービスが TLS 1.0 または弱い暗号スイートを使用しているかどうか | サービスの暗号スイートがサポートされているかどうかを判断します。 | サービスが追加されたら、TLS ポリシーを設定する必要があります。 詳細については、「カスタム TLS セキュリティポリシーを設定する」をご参照ください。 |
(HTTPS サービス) オリジンサーバーが相互認証を使用しているかどうか | なし。 | |
(HTTPS サービス) クライアントが SNI をサポートしているかどうか | なし。 | HTTPS Web サイトのドメイン名を Anti-DDoS Proxy に追加した後、クライアントとサーバーの両方を SNI をサポートするように設定する必要があります。 |
(HTTPS サービス) セッション維持が有効になっているかどうか | HTTP および HTTPS のデフォルトの接続タイムアウト期間は 120 秒です。 | ファイルのアップロードやユーザーログインなどのシナリオでサービスが永続セッションを必要とする場合は、Cookie を使用してレイヤー 7 でセッション維持を実装することをお勧めします。 |
サービスが空のデータパケットの送信を必要とするかどうか | たとえば、サーバーはセッションの中断を防ぐために空のパケットを送信します。 サービスを Anti-DDoS Proxy インスタンスに追加すると、サービスが影響を受ける可能性があります。 | なし。 |
サービスインタラクションプロセス | 軽減ポリシーが設定されているサービスインタラクションプロセスと処理ロジックを決定します。 | なし。 |
アクティブユーザー数 | 緊急の攻撃イベントの重大度を判断し、低リスクの対策を講じます。 | なし。 |
サービスと攻撃情報 | ||
サービスの種類と特性(たとえば、サービスがゲーム、Web サイト、またはアプリサービスのいずれであるか) | 攻撃の特性を分析します。 次に、対策を講じます。 | なし。 |
インバウンドサービストラフィックの量 | 悪意のあるトラフィックが存在するかどうかを判断します。 たとえば、毎日のアクセストラフィックの平均量は 100 Mbit/秒です。 トラフィック量が 100 Mbit/秒を超える場合は、攻撃が発生した可能性があります。 | なし。 |
アウトバウンドサービストラフィックの量 | 攻撃が発生しているかどうか、およびクリーンな帯域幅を増やすかどうかを判断します。 | なし。 |
ユーザー別または IP アドレス別のインバウンドトラフィックの量と接続 | 個々の IP アドレスにレート制限ポリシーを設定できるかどうかを判断します。 | 詳細については、「HTTP フラッド攻撃緩和機能の設定」をご参照ください。 |
ユーザー | たとえば、ユーザーは家庭用 LAN、インターネットカフェ、プロキシサーバーからサービスにアクセスできます。 | この情報は、単一の出口 IP アドレスから同時リクエストが送信されているかどうかを判断し、Anti-DDoS Proxy がサービストラフィックをブロックするのを防ぐために必要です。 |
サービスが大量攻撃を受けたかどうか、および攻撃の種類 | 過去の攻撃の種類に基づいて DDoS 軽減ポリシーを設定します。 | なし。 |
サービスが経験した攻撃のピーク量 | ピーク攻撃トラフィックに基づいて Anti-DDoS Proxy インスタンスの仕様を選択します。 | 詳細については、「Anti-DDoS Proxy インスタンスを購入する」をご参照ください。 |
サービスが HTTP フラッド攻撃を受けたかどうか | 過去の攻撃の特性を分析し、予防ポリシーを設定します。 | なし。 |
サービスが経験した HTTP フラッド攻撃のピーク QPS | 過去の攻撃の特性を分析し、予防ポリシーを設定します。 | なし。 |
サービスが API 操作をサポートしているかどうか | なし。 | API 操作がサポートされている場合は、Anti-DDoS Proxy の頻度制御機能を使用しないことをお勧めします。 API アクセスの特性を分析し、特性に基づいて HTTP フラッド軽減ポリシーを設定できます。 これにより、通常の API リクエストがブロックされるのを防ぎます。 |
サービスでストレステストが実行されるかどうか | オリジンサーバーのリクエスト処理パフォーマンスを評価し、サービス例外が攻撃によって発生しているかどうかを判断します。 | なし。 |
ステップ 2:準備をする
テスト環境で Anti-DDoS Proxy インスタンスにサービスを追加することをお勧めします。 サービスが期待どおりに実行されていることを確認したら、本番環境で Anti-DDoS Proxy インスタンスにサービスを追加します。
Anti-DDoS Proxy インスタンスにサービスを追加する前に、次の表に示す準備を行います。
サービスタイプ | 準備 |
Web サイトサービス |
|
Web サイト以外のサービス |
|
ステップ 3:Anti-DDoS Proxy インスタンスにサービスを追加し、軽減ポリシーを設定する
Anti-DDoS Proxy インスタンスにサービスを追加します。
説明Anti-DDoS Proxy インスタンスにサービスを追加する前にサービスが攻撃を受けている場合は、オリジンサーバーの IP アドレスを変更することをお勧めします。 IP アドレスを変更する前に、クライアントまたはアプリのコードに IP アドレスが含まれているかどうかを確認します。 クライアントまたはアプリのコードに IP アドレスが含まれている場合は、IP アドレスを変更する前にコードを更新して、通常のサービスアクセスへの悪影響を回避します。
Anti-DDoS Proxy インスタンスとサービスシナリオに基づいてサービスを追加します。
オリジンサーバーの保護を設定します。
攻撃者が Anti-DDoS Proxy をバイパスしてオリジンサーバーを攻撃するのを防ぐために、オリジンサーバーの保護を設定します。 詳細については、「オリジンサーバーの保護を設定する」をご参照ください。
軽減ポリシーを設定します。
ドメイン名を使用して提供される Web サイトサービス
HTTP フラッド攻撃保護
注: このチュートリアルでは、WordPress のバージョン 4.7 以降がインストールされていることを前提としています。
サービスが HTTP フラッド攻撃を受けている場合: Anti-DDoS Proxy コンソールの [セキュリティ概要] ページに移動して、最もリクエストの多い URL や IP アドレス、送信元 IP アドレス、ユーザーエージェントなど、ドメイン名に関する情報を取得します。 次に、取得した情報に基づいて周波数制御ルールを設定し、保護効果を確認します。 詳細については、「セキュリティ概要」および「HTTP フラッド攻撃緩和機能の設定」をご参照ください。
重要[緊急] モードの [周波数制御] は、特定のサービスタイプのトラフィックをブロックする可能性があります。 [緊急] を [周波数制御] のモードとして指定しないことをお勧めします。サービスがアプリまたは Web API サービスの場合は、[緊急] モードを使用しないでください。
[周波数制御] の [標準] モードを使用しているにもかかわらずサービストラフィックがブロックされている場合は、サービス IP アドレスをホワイトリストに追加します。
Web サイト サービスのインテリジェント保護
[厳格] モードのインテリジェント保護は、サービス トラフィックをブロックする可能性があります。Anti-DDoS Proxy インスタンスに Web サイトのドメイン名を追加すると、サービスはレイヤー 4 DDoS 攻撃から保護されます。[厳格] モードではなく、[標準] モードを使用することをお勧めします。詳細については、「インテリジェント保護機能を使用する」をご参照ください。
ログ分析
ログ分析機能を有効にすることをお勧めします。詳細については、「ログ分析機能を使用する」をご参照ください。サービスが レイヤー 7 DDoS 攻撃を受けた場合、ログ分析機能を使用して攻撃の特徴を分析し、軽減ポリシーを設定できます。
説明ログ分析機能を有効にすると、追加料金が発生します。
ポートを使用して提供される Web サイト以外のサービス
ほとんどの場合、Web サイト以外のサービスを Anti-DDoS Proxy インスタンスに追加し、デフォルトの保護設定を使用できます。サービスが 2 ~ 3 日間実行された後、サービスの特性に基づいてレイヤー 4 インテリジェント保護のモードを調整し、レイヤー 4 HTTP フラッド攻撃に対する保護を最適化できます。詳細については、「レイヤー 4 サービスのインテリジェント保護機能を構成する」をご参照ください。
説明サービスが頻繁に呼び出される API を提供する場合、または企業ネットワークのエグレス IP アドレスやサーバー IP アドレスなど、単一の IP アドレスからアクセスされる場合は、インテリジェント保護に [厳格] レベルを使用しないでください。[厳格] レベルを使用する場合は、サービスの中断を回避するために、このレベルを選択する前に、Alibaba Cloud テクニカルサポートに連絡してサービスを分析してください。
攻撃トラフィックがオリジンサーバーに透過的に送信される場合は、送信元速度制限と宛先速度制限を有効にできます。詳細については、「Anti-DDoS 対策ポリシーを作成する」をご参照ください。最初に、送信元新規接続レート制限と送信元同時接続レート制限を 5 に設定することをお勧めします。サービストラフィックがブロックされている場合は、制限値を大きくすることができます。
サービスのオリジンサーバーが空のデータパケットを送信する場合は、サービスへの悪影響を回避するために、空の接続を無効にする必要があります。詳細については、「Anti-DDoS 対策ポリシーを作成する」をご参照ください。
サービスをテストします。
構成が完了したら、構成の精度をテストします。
説明オンプレミスコンピュータの hosts ファイルを変更して、テストを実行できます。
表 1. 構成の確認項目
番号
確認項目
ドメイン名を使用して提供される Web サイトサービス (必須)
1
追加されたドメイン名が正しいかどうかを確認します。
2
ドメイン名の ICP 登録が完了しているかどうかを確認します。
3
構成されたプロトコルが正しいかどうかを確認します。
4
構成されたポートが正しいかどうかを確認します。
5
オリジンサーバーの IP アドレスが正しいかどうかを確認します。Anti-DDoS Proxy インスタンスまたは別のサービスの IP アドレスを入力していないことを確認してください。
6
アップロードされた証明書が正しいかどうかを確認します。
7
証明書が有効かどうかを確認します。たとえば、暗号化アルゴリズムが無効であるか、別のドメイン名の証明書をアップロードした可能性があります。
8
証明書チェーンが完全かどうかを確認します。
9
Anti-DDoS Proxy (中国本土) のバースト保護の課金方法を把握していることを確認します。
10
WebSocket と WebSockets が有効になっているかどうかを確認します。
11
周波数制御の緊急モードまたは厳格モードが有効になっているかどうかを確認します。
ポートを使用して提供される Web サイト以外のサービス (必須)
1
サービスポートにアクセスできるかどうかを確認します。
2
UDP または TCP プロトコルが正しく構成されているかどうかを確認します。
3
オリジンサーバーの IP アドレスが正しいかどうかを確認します。Anti-DDoS Proxy インスタンスまたは別のサービスの IP アドレスを入力していないことを確認してください。
4
Anti-DDoS Proxy (中国本土) のバースト保護の課金方法を把握していることを確認します。
5
インテリジェント保護の厳格レベルが選択されているかどうかを確認します。
表 2. サービスの可用性の確認項目
番号
確認項目
1 (必須)
サービスに期待どおりにアクセスできるかどうかをテストします。
2 (必須)
ユーザーログインのセッション維持機能が期待どおりに機能するかどうかをテストします。
3 (必須)
(ドメイン名を使用して提供される Web サイトサービスの場合) 返された応答の 4XX および 5XX 状態コードの数を確認し、バックツーオリジン IP アドレスがブロックされていないことを確認します。
4 (必須)
(ドメイン名を使用して提供される Web サイトサービスの場合) サービスがアプリサービスである場合は、HTTPS リンクが正常かどうかをテストします。SNI が期待どおりに構成されているかどうかを確認します。
5 (推奨)
オリジンサーバーがリクエストの発信元 IP アドレスを取得するように構成されているかどうかを確認します。
6 (推奨)
(ドメイン名を使用して提供される Web サイトサービスの場合) オリジンサーバーの軽減ポリシーが構成されているかどうかを確認します。これにより、攻撃者が Anti-DDoS Proxy をバイパスしてオリジンサーバーを攻撃することを防ぎます。
7 (必須)
TCP サービスポートにアクセスできるかどうかをテストします。
Anti-DDoS Proxy にサービストラフィックを切り替えます。
すべての確認項目を確認した後、DNS レコードを個別に変更して、サービストラフィックを Anti-DDoS Proxy に徐々に切り替えることをお勧めします。これは、潜在的なサービス例外を防ぎます。サービストラフィックが Anti-DDoS Proxy にリダイレクトされた後に例外が発生した場合は、DNS レコードを復元する必要があります。
説明DNS レコードの変更は、約 10 分で有効になります。
サービストラフィックを切り替えた後、サービス可用性の確認項目を再度確認して、サービスが期待どおりに実行されていることを確認します。
モニタリングとアラートを設定します。
CloudMonitor を使用して、Anti-DDoS Proxy によって保護されているドメイン名、転送ポート、およびオリジンサーバーポートの可用性と返された HTTP ステータスコード(5XX および 4XX)を監視します。 これにより、サービス例外をできるだけ早く特定できます。 詳細については、「Anti-DDoS Proxy のアラートルールを設定する」をご参照ください。
定期的な O&M を実行します。
保険軽減プランの Anti-DDoS Proxy (中国本土) のバースト保護と Anti-DDoS Proxy (中国本土以外) の高度軽減セッションを使用します。
Anti-DDoS Proxy (中国本土) インスタンスを初めて購入すると、3 つの Anti-DDoS プランを無料で入手できます。 各 Anti-DDoS プランは 1 つの軽減セッションを提供し、最大 300 Gbit/s の保護帯域幅に対して課金される料金を相殺するために使用できます。 詳細については、「Anti-DDoS プラン」をご参照ください。 プランを Anti-DDoS Proxy (中国本土) インスタンスにバインドし、バースト保護帯域幅を 300 Gbit/s に設定することをお勧めします。 トラフィック量が 300 Gbit/s を超えない DDoS 攻撃が 1 暦日以内に発生した場合、プランを使用してその日のバースト保護料金を相殺できます。
説明プランの軽減セッションが使い果たされた後、またはプランの有効期限が切れた後にバースト保護を使用しない場合は、バースト保護帯域幅を基本保護帯域幅に変更します。
Anti-DDoS Proxy (中国本土) のバースト保護を有効にする場合は、課金方法を確認してコストを判断することをお勧めします。 詳細については、「Anti-DDoS Proxy (中国本土) の課金」をご参照ください。
保険軽減プランの Anti-DDoS Proxy (中国本土以外) インスタンスを購入すると、毎月 2 つの高度な軽減セッションを無料で入手できます。 ビジネス要件に基づいてエディションと軽減プランを選択します。
攻撃タイプを特定します。
HTTP フラッド攻撃と DDoS 攻撃が発生した場合、Anti-DDoS Proxy コンソール の [セキュリティ概要] ページで攻撃情報を表示して、特定の攻撃のタイプを特定できます。 詳細については、「セキュリティ概要」をご参照ください。
DDoS 攻撃: [インスタンス] タブでは、保護レポートに攻撃トラフィックの変動が表示され、トラフィックスクラビングがトリガーされます。 ただし、[ドメイン] タブの保護レポートには変動は表示されません。
HTTP フラッド攻撃: [インスタンス] タブでは、保護レポートに攻撃トラフィックの変動が表示され、トラフィックスクラビングがトリガーされます。 [ドメイン] タブの保護レポートにも変動が表示されます。
詳細については、「Anti-DDoS Proxy インスタンスに対する攻撃のタイプを特定する方法」をご参照ください。
サービスアクセス遅延とパケット損失を処理します。
オリジンサーバーが中国本土以外にデプロイされ、サービスのユーザーが中国本土からのものである場合、キャリア間のネットワークアクセスのリンクが不安定なため、ユーザーは高い遅延とパケット損失を経験する可能性があります。 この場合、中国本土アクセラレーション (CMA) 軽減プランの Anti-DDoS Proxy (中国本土以外) インスタンスを購入することをお勧めします。
ドメイン名またはポート フォワーディング ルールを削除します。
ドメイン名またはポート フォワーディング ルールを削除する場合は、サービストラフィックが Anti-DDoS Proxy に切り替えられているかどうかを確認します。
サービストラフィックが切り替えられていない場合は、Anti-DDoS Proxy コンソール でドメイン名またはポート フォワーディング ルールを削除します。
サービストラフィックが切り替えられている場合は、Alibaba Cloud DNS コンソールに移動して DNS レコードを変更し、トラフィックをオリジンサーバーに切り替えます。 その後、ドメイン名またはポート フォワーディング ルールを削除します。
説明ドメイン名またはポート フォワーディング ルールを削除する前に、ドメイン名の DNS レコードまたはサービストラフィックがオリジンサーバーに切り替えられていることを確認してください。
ドメイン名またはポート フォワーディング ルールを削除すると、Anti-DDoS Proxy はサービスを保護しなくなります。
緊急時の注意事項
サービスが攻撃を受けている場合は、次のシナリオに基づいて Anti-DDoS Proxy インスタンスにサービスを追加します。
サービスが DDoS 攻撃を受けている場合。
ほとんどの場合、サービスを Anti-DDoS Proxy インスタンスに追加し、デフォルトの保護設定を使用できます。
レイヤー 4 HTTP フラッド攻撃のトラフィックがオリジンサーバーに透過的に送信される場合は、送信元速度制限と宛先速度制限を有効にできます。 詳細については、「Anti-DDoS 対策ポリシーを作成する」をご参照ください。
オリジンサーバーの IP アドレスに対してブラックホールフィルタリングがトリガーされる場合。
Elastic Compute Service (ECS) インスタンスまたは Server Load Balancer (SLB) インスタンスをオリジンサーバーとして使用できます。 攻撃を受けたサービスを Anti-DDoS Proxy インスタンスに追加していないにもかかわらず、ブラックホールフィルタリングがトリガーされた場合は、オリジンサーバーのパブリック IP アドレスを変更する必要があります。 詳細については、「ECS オリジンサーバーのパブリック IP アドレスを変更する」をご参照ください。 IP アドレスを変更した後、できるだけ早く Anti-DDoS Proxy インスタンスにサービスを追加して、新しい IP アドレスが公開されないようにします。
オリジンサーバーの IP アドレスを変更したくない場合、または新しい IP アドレスが既に公開されている場合は、ECS インスタンスを接続するためにオリジンサーバーとして SLB インスタンスをデプロイし、SLB インスタンスのパブリック IP アドレスを Anti-DDoS Proxy に追加することをお勧めします。
説明サービスが攻撃を受けているにもかかわらず、オリジンサーバーが Alibaba Cloud にデプロイされていない場合は、緊急対応のために Anti-DDoS Proxy にサービスを追加できます。 この場合、サービスのドメイン名が ICP 登録を完了していることを確認し、Alibaba Cloud テクニカルサポートに連絡して必要な支援を受けてください。 その後、サービスを Anti-DDoS Proxy インスタンスに追加します。
サービスが HTTP フラッド攻撃またはクローラー攻撃を受けている場合。
サービスが HTTP フラッド攻撃またはクローラー攻撃を受けている場合は、サービスを Anti-DDoS Proxy インスタンスに追加します。 次に、HTTP アクセスログを分析して攻撃の特徴を特定し、軽減ポリシーを設定します。 たとえば、送信元 IP アドレス、URL、Referer、User-Agent、Params、Header などのリクエストフィールドが正しいかどうかを確認できます。