このトピックでは、Anti-DDoS Pro および Anti-DDoS Premium コンソールでインスタンスとドメイン名のサービスデータと DDoS 攻撃の詳細を表示する方法について説明します。この情報は、アセットの DDoS 対策ステータスを理解し、DDoS 緩和ポリシーを迅速に調整するのに役立ちます。
概要
Anti-DDoS Pro および Anti-DDoS Premium では、過去 30 日間のデータを表示できます。セキュリティ概要 ページの右上隅にある トラフィックフロー図 をクリックすると、Anti-DDoS Pro および Anti-DDoS Premium のトラフィック関連の概念について学習できます。
前提条件
Anti-DDoS Proxy (中国本土) または Anti-DDoS Proxy (中国本土以外) インスタンスが購入済みであること。詳細については、「Anti-DDoS Pro または Anti-DDoS Premium インスタンスの購入」をご参照ください。
Web サイトサービスまたは非 Web サイトサービスが Anti-DDoS Proxy に追加されていること。詳細については、「Web サイトの追加」または「転送ルールの管理」をご参照ください。
インスタンスのセキュリティ概要の表示
Anti-DDoS Pro および Anti-DDoS Premium は、各インスタンスのサービス情報と DDoS 攻撃の詳細を表示します。
Anti-DDoS Proxy コンソールにログインします。
上部のナビゲーションバーで、インスタンスのリージョンを選択します。
Anti-DDoS Proxy (中国本土): [中国本土] リージョンを選択します。
Anti-DDoS Proxy (中国本土以外): [中国本土以外] リージョンを選択します。
左側のナビゲーションウィンドウで、セキュリティ概要 をクリックします。セキュリティ概要 ページの インスタンス タブで、次の情報を表示できます。
機能
説明
帯域幅 (前の図の 1)
Anti-DDoS Pro (中国本土) の場合、帯域幅 トレンドチャートには、指定された期間におけるインスタンスのインバウンド、アウトバウンド、攻撃、およびスロットリングトラフィックのトレンドが表示されます。トラフィックは bps または pps で測定されます。
Anti-DDoS Pro および Anti-DDoS Premium (中国本土以外) の場合、次のタブが提供されます。概要 には帯域幅のトレンドが表示され、インバウンド配信 にはインバウンドトラフィックの分布が表示され、アウトバウンド配信 にはアウトバウンドトラフィックの分布が表示されます。
接続 (前の図の 2)
同時接続: クライアントとインスタンス間で確立された TCP 接続の総数。
アクティブな接続: [Established] 状態にある TCP 接続の数。
非アクティブな接続: [Established] 以外の状態にある TCP 接続の数。
新しい接続: クライアントとインスタンス間で 1 秒あたりに確立された新しい TCP 接続の数。
攻撃イベント、仕様超過アラート、および 目的速度制限イベント (前の図の 3)
攻撃イベント:
攻撃された IP アドレスまたはポートにカーソルを合わせると、攻撃された IP アドレスとポート、攻撃タイプ、攻撃ピーク、および保護結果に関する情報が表示されます。
仕様超過アラート:
アラートは、クリーン帯域幅、新しい接続、同時接続などのイベントタイプでサポートされています。トラフィックまたは接続数が購入した仕様を超えると、アラートが生成されます。この場合、サービスは影響を受けませんが、仕様のスペックアップが推奨されます。詳細については、「インスタンスのスペックアップ」をご参照ください。
ステータス 列の 詳細 をクリックして システムログ ページに移動し、詳細を表示できます。
説明上限超過アラートのデータは、毎週月曜日の 10:00 (UTC + 08:00) に前日のデータで更新されます。内部メッセージ、ショートメッセージ、またはメールを使用して通知を設定している場合は、毎週月曜日の 10:00 (UTC + 08:00) に前日のデータを含む通知も受信します。
目的速度制限イベント
新しい接続数、同時接続数、サービス帯域幅などのメトリックがインスタンスの仕様を大幅に超えると、対応するスロットリングポリシーがトリガーされます。これはサービスに影響を与え、宛先レート制限イベントを生成します。
レート制限がサービストラフィックによってトリガーされた場合は、できるだけ早くインスタンスの仕様をスペックアップすることをお勧めします。詳細については、「インスタンスのスペックアップ」をご参照ください。
レート制限が DDoS 攻撃によってトリガーされた場合は、できるだけ早く緩和ポリシーを調整することをお勧めします。詳細については、「IP アドレスのブラックリストとホワイトリストの設定」をご参照ください。
ステータス 列の 詳細 をクリックして システムログ ページに移動し、詳細情報を表示できます。
ソースリージョン および ソースサービスプロバイダー (前の図の 4)
ソースリージョン: サービストラフィックの発信元となるソースロケーションの分布。
ソースサービスプロバイダー: サービストラフィックの発信元となるインターネットサービスプロバイダー (ISP) の分布。
ドメイン名のセキュリティ概要の表示
Anti-DDoS Pro および Anti-DDoS Premium は、各ドメイン名のサービス情報と DDoS 攻撃イベントの詳細を表示します。
Anti-DDoS Proxy コンソールにログインします。
上部のナビゲーションバーで、インスタンスのリージョンを選択します。
Anti-DDoS Proxy (中国本土): [中国本土] リージョンを選択します。
Anti-DDoS Proxy (中国本土以外): [中国本土以外] リージョンを選択します。
左側のナビゲーションウィンドウで、セキュリティ概要 をクリックします。セキュリティ概要 ページの ドメイン名 タブで、次の情報を表示できます。
インスタンス別の合計 QPS の表示
すべてのドメイン ドロップダウンリストから、インスタンスの合計 QPS タブをクリックし、必要な専用 IP アドレスを選択して、確定 をクリックします。
機能
説明
リクエスト数 (前の図の 1)
各 Anti-DDoS Pro または Anti-DDoS Premium インスタンスのリクエストレートのトレンドグラフを表示します。時間の粒度は、指定された時間範囲によって異なります。
応答コードとリクエスト数 (前の図の 2)
各インスタンスの Anti-DDoS Pro および Anti-DDoS Premium からの応答コードを表示します。記録された応答コードの数は、時間の粒度内の累積値です。次のリストは、応答コードについて説明しています。
2XX: リクエストはサーバーによって正常に受信、理解、および受け入れられました。
説明2XX 応答コードの統計には、200 応答コードの統計が含まれます。
3XX: クライアントはリクエストを完了するためにさらなる操作を実行する必要があります。これらの状態コードは通常、リダイレクトに使用されます。
4XX: クライアントでエラーが発生した可能性があり、サーバーがリクエストを処理できなくなっています。
5XX: サーバーがリクエストを処理中にエラーまたは例外が発生しました。
ドメイン名別の QPS の表示
すべてのドメイン ドロップダウンリストから、詳細ドメイン QPS タブをクリックし、ドメイン名を選択して、確定 をクリックします。
機能
説明
リクエスト数 (前の図の 1)
各ドメイン名のリクエストレートのトレンドグラフを表示します。時間の粒度は、指定された時間範囲によって異なります。
帯域幅 (前の図の 2)
ドメイン名のアウトバウンドおよびインバウンド帯域幅のピークのトレンドグラフを表示します。
説明ペイロードフィールドのみがカウントされます。これにより、インスタンスレベルの bps トレンドグラフから乖離する可能性があります。
応答コードとリクエスト数 (前の図の 3)
Anti-DDoS Pro および Anti-DDoS Premium からの応答コードと、オリジンサーバーからの応答コードが含まれます。記録された応答コードの数は、時間の粒度内の累積値です。次のリストは、応答コードについて説明しています。
2XX: リクエストはサーバーによって正常に受信、理解、および受け入れられました。
説明2XX には、200 から 299 までのすべての状態コードが含まれます。
200: リクエストは成功しました。
3XX: クライアントはリクエストを完了するためにさらなる操作を実行する必要があります。これらの状態コードは通常、リダイレクトに使用されます。
4XX: クライアントでエラーが発生した可能性があり、サーバーがリクエストを処理できなくなっています。
説明4XX には、400 から 499 までのすべての状態コードが含まれます。
403: サーバーはクライアントのリクエストを理解しましたが、その実行を拒否しました。
404: サーバーはクライアントがリクエストしたリソースを見つけることができませんでした。
405: サーバーはクライアントのリクエストのリソースパスを理解しましたが、リクエストで使用された HTTP メソッド (GET、POST、PUT、DELETE など) はそのリソースでは許可されていません。
410: リソースはサーバーから削除されました。
499: サーバーが処理を完了する前に、クライアントがリクエストをキャンセルしました。
5XX: サーバーがリクエストを処理中にエラーまたは例外が発生しました。
説明5XX には、500 から 599 までのすべての状態コードが含まれます。
502: プロキシサーバーとして機能する Anti-DDoS Pro および Anti-DDoS Premium が、リクエストを処理しようとしたときにアップストリームサーバーから無効な応答を受信しました。
503: サーバーは現在リクエストを処理できません。一時的なサーバーメンテナンスや過負荷が原因である可能性があります。
504: プロキシサーバーとして機能する Anti-DDoS Pro および Anti-DDoS Premium が、リクエストを処理しようとしたときにアップストリームサーバーからタイムリーな応答を受信しませんでした。
最もリクエストされた URI および 読み込みが遅い URI (前の図の 4)
このセクションには、URI リクエスト、URI 応答時間、User-Agent、Referer、HTTP-Method、クライアントフィンガープリント、HTTP/2 フィンガープリント、JA3 フィンガープリント、JA4 フィンガープリントの各メトリックのトップ 5 データが表示されます。詳細 をクリックすると、より多くのデータを表示できます。これらのメトリックの詳細については、「付録 1: サポートされている HTTP リクエストフィールド」をご参照ください。
説明URI 応答時間は、Anti-DDoS Pro および Anti-DDoS Premium がクライアントリクエストを受信してから、処理を完了して応答を返すまでの経過時間です。これはミリ秒単位で測定されます。URI に複数の応答時間がある場合は、最大値が使用されます。
攻撃イベント (前の図の 5)
アプリケーション層で発生したスクラビングイベントを表示します。ドメイン名にカーソルを合わせると、攻撃されたドメイン名、攻撃ピーク、攻撃タイプに関する情報を表示できます。
ソースの場所 (前の図の 6)
アクセスソースロケーションの分布。
キャッシュヒット率 (前の図の 7)
これは、静的ページキャッシュ機能が有効になっているシナリオに適用されます。詳細については、「Anti-DDoS Lab」をご参照ください。
アラートしきい値の設定
ボリューム型攻撃の場合、Anti-DDoS Pro および Anti-DDoS Premium のデフォルトポリシーは、過剰な数のアラートを防ぐように設計されています。デフォルトでは、フラッド攻撃アラートイベントは、インバウンドトラフィックが 500 Mbps 以上で、スクラビングトラフィックが 100 Mbps を超える場合にのみ生成されます。通常のサービストラフィックが少ない場合、小規模な攻撃に対するアラートを受信しないことがあります。これに対処するために、カスタムのアラートしきい値を設定できます。これにより、デフォルトのしきい値を満たさない攻撃に対してコンソールでスクラビングトラフィックが表示されている場合でも、攻撃イベントが生成されるようになります。
Anti-DDoS Proxy コンソールにログインします。
上部のナビゲーションバーで、インスタンスのリージョンを選択します。
Anti-DDoS Proxy (中国本土): [中国本土] リージョンを選択します。
Anti-DDoS Proxy (中国本土以外): [中国本土以外] リージョンを選択します。
左側のナビゲーションウィンドウで、セキュリティ概要 をクリックします。セキュリティ概要 ページの [アラートしきい値の設定] エリアで、カスタムの攻撃アラートしきい値を設定できます。
図に示すように、次の点に基づいてインバウンド帯域幅のしきい値を設定できます。しきい値は、Anti-DDoS インスタンスの単一の IP アドレスが受信する合計インバウンド帯域幅に適用されます。
インバウンドトラフィックには、攻撃トラフィックとサービストラフィックが含まれます。
インバウンドトラフィックがカスタムしきい値以上で、スクラビングトラフィックが 100 Mbps を超える場合にアラートイベントが生成されます。
この設定は、Anti-DDoS インスタンスのすべての IPv4 アドレスに適用されます。IPv6 アドレスのカスタム調整はサポートされていません。