Anti-DDoS ProまたはAnti-DDoS Premiumにサービスを追加した後、攻撃トラフィックがスクラブされずにオリジンサーバーを直接ターゲットにしている場合、オリジンサーバーのIPアドレスが公開されている可能性があります。 この場合、オリジンサーバーのIPアドレスを変更する必要があります。
IPアドレスの公開を引き起こすリスクを確認する
配信元サーバーのIPアドレスを変更する前に、すべてのリスクを排除して、IPアドレスが再び公開されないようにしてください。 次のエクスポージャーリスクを確認できます。
- オリジンサーバーにトロイの木馬やバックドアなどのセキュリティリスクがあるかどうかを確認します。
セキュリティの脆弱性の確認と修正には、Alibaba Cloud Security Centerを使用することを推奨します。 詳細については、「」をご参照ください。セキュリティセンターとは.
- 配信元サーバーが、Anti-DDoS ProまたはAnti-DDoS Premiumに追加されていないサービスを実行しているかどうかを確認します。 たとえば、MXレコードを追加して電子メールサーバーを構成したり、その他のDNSレコードを追加して配信元サーバーのBBS Webサイトを構成したりしたとします。重要 ドメイン名をオリジンサーバーのIPアドレスにマッピングするDNSレコードがないことを確認します。
- Webサイトのソースコードが公開されているかどうかを確認します。 例えば、
phpinfo()関数は、オリジンサーバのIPアドレスを含むことができる。 - オリジンサーバーに悪意のあるスキャンが発生していないか確認します。 配信元サーバーにアクセスするには、Anti-DDoS ProまたはAnti-DDoS Premiumのback-to-origin IPアドレスからのインバウンドトラフィックのみを許可できます。 詳細については、「オリジンサーバーのACLの設定」をご参照ください。
配信元サーバーのIPアドレスを変更する
露出を引き起こす可能性のあるすべてのリスクを排除した後、オリジンサーバーのIPアドレスを変更できます。 詳細については、「ECSオリジンサーバーのパブリックIPアドレスの変更」をご参照ください。
IPアドレスを変更しない場合、または新しいIPアドレスも公開される場合は、SLBインスタンスをデプロイしてECSインスタンスに接続することを推奨します。 詳細については、「SLBのクイックスタート」をご参照ください。 次のネットワークアーキテクチャを採用できます。クライアント> Anti-DDoS ProまたはAnti-DDoS Premium > SLBインスタンス> ECSインスタンス。
このアーキテクチャでは、配信元サーバーがブラックホールのフィルタリングをトリガーする攻撃に遭遇しても、サービスは中断されません。 SLBインスタンスからオリジンサーバーへのトラフィックは、内部ネットワークを介して送信されます。 配信元サーバーのパブリックIPアドレスに対してブラックホールフィルタリングがトリガーされた場合でも、Anti-DDoS ProまたはAnti-DDoS PremiumはSLBインスタンスを介して配信元サーバーにアクセスできます。
説明 上記のネットワークアーキテクチャを適用するには、Anti-DDoS ProまたはAnti-DDoS Premiumコンソールで、配信元サーバーアドレスをSLBインスタンスのIPアドレスに設定する必要があります。