Anti-DDoS Proxy インスタンスにサービスを追加した後、インスタンスで検出された攻撃のイベントと詳細を表示して、攻撃の送信元 IP アドレス、攻撃タイプの分布、送信元ロケーション別の攻撃分布などの情報を取得できます。これにより、透過的な保護プロセスを確保し、保護分析のユーザーエクスペリエンスを向上させることができます。カスタム構成を指定することもできます。このトピックでは、攻撃分析ページで攻撃イベントをクエリする方法について説明します。
攻撃イベントタイプ
攻撃イベントタイプ | 説明 |
Web リソース消耗タイプ | 攻撃者は正規ユーザーをシミュレートして、ドメイン名が Anti-DDoS Proxy インスタンスに追加されている Web サービスにサービスリクエストを送信します。攻撃者は、Web サービス内の大量のリソースを消費するページに頻繁にアクセスします。その結果、サーバーのリソースが枯渇し、Web サービスは通常のサービスリクエストに応答できなくなります。 攻撃者が Anti-DDoS Proxy インスタンスに追加されている複数のドメイン名に同時にサービスリクエストを送信した場合、[Web リソース枯渇] タイプの複数の攻撃イベントが記録されます。 |
接続タイプ | 攻撃者は、Anti-DDoS Proxy インスタンスに追加されているサービスポートへの TCP または UDP 接続を確立します。その結果、サービスのサーバーが過負荷になり、新しい接続リクエストを処理できなくなり、サービス障害が発生する可能性があります。 攻撃者が Anti-DDoS Proxy インスタンスに追加されている複数のサービスポートに同時に接続リクエストを送信した場合、接続フラッド攻撃の複数のイベントが記録されます。 |
トラフィックタイプ | 攻撃者は、多数のゾンビサーバーから Anti-DDoS Proxy インスタンスの IP アドレスに、同時に大量のサービスリクエストを送信します。その結果、ネットワークデバイスとサーバーが過負荷になり、ネットワーク輻輳とサービス障害が発生する可能性があります。 攻撃者が複数の Anti-DDoS Proxy インスタンスの IP アドレスに同時にサービスリクエストを送信した場合、複数のボリュメトリック攻撃イベントが記録されます。 説明 デフォルトでは、Anti-DDoS Proxy は、インバウンドトラフィックが 1 Gbit/s を超え、スクラブされたトラフィックが 100 Mbit/s に達した場合にのみ攻撃イベントを生成します。このようにして、生成される攻撃イベントは少なくなります。実際のインバウンドトラフィックが上記のしきい値未満の場合、攻撃イベントは生成されません。ビジネス要件に基づいてカスタムアラートしきい値を構成できます。カスタムアラートしきい値を構成するには、変更を保存セキュリティの概要 ページの をクリックします。カスタムアラートしきい値は、スクラブされたトラフィックがコンソールに表示されているときに攻撃イベントが生成されないという問題の解決に役立ちます。 |
前提条件
Anti-DDoS Proxy (中国本土) または Anti-DDoS Proxy (中国本土以外) インスタンスが購入されていること。詳細については、「Anti-DDoS Proxy インスタンスを購入する」をご参照ください。
Web サイトサービスまたは Web サイト以外のサービスが Anti-DDoS Proxy に追加されていること。詳細については、「Web サイトを追加する」または「転送ルールを管理する」をご参照ください。
攻撃イベントをクエリする
Anti-DDoS Proxy コンソール にログオンします。
上部のナビゲーションバーで、インスタンスのリージョンを選択します。
Anti-DDoS Proxy (中国本土): [中国本土] リージョンを選択します。
Anti-DDoS Proxy (中国本土以外): 標準翻訳: リージョンを選択します。
左側のナビゲーションウィンドウで、 を選択します。
アタック分析 ページで、攻撃タイプと時間範囲を選択して攻撃イベントをクエリします。
説明過去 180 日間の攻撃イベントのみをクエリできます。
オプション。操作 列の 詳細を見る をクリックして、攻撃イベントの詳細を表示します。
イベント詳細 ページの右上隅にある レポートのエクスポート をクリックし、画像のエクスポート または PDF のエクスポート をクリックして、現在のイベント詳細ページを PNG または PDF 形式でコンピューターに保存できます。
攻撃イベントの保護効果についてご提案やご質問がある場合は、攻撃イベントの 操作 列の 効果のフィードバック をクリックしてください。ご提案に基づいて、保護効果の最適化と改善を継続していきます。
攻撃イベントの詳細
Web リソース枯渇
イベントの詳細を表示し、サービスのドメイン名に特定の保護項目を構成できます。
情報 | 説明 |
攻撃イベントの基本情報 |
|
攻撃からの保護の詳細 | このセクションには、インバウンドのクエリ/秒 (QPS) の合計、攻撃中にさまざまな軽減モジュールのポリシーをトリガーした QPS の傾向、トリガーされたポリシーの [ポリシーの有効時間] と [ブロックされたリクエスト] が表示されます。[攻撃軽減の詳細] セクションの右上隅で、時間範囲を指定してクエリできます。 軽減モジュールには、[ブラックリスト]、[ロケーションブラックリスト]、[頻度制御]、[正確なアクセス制御]、[その他] が含まれます。[その他] 軽減モジュールは、CAPTCHA 検証に失敗したリクエストなどのリクエストをブロックします。さまざまな保護モジュールの構成方法の詳細については、「Web サイトサービスの保護」をご参照ください。 |
保護モジュールフィルタリングの分布 | このセクションには、さまざまな保護モジュールによってブロックされた攻撃リクエストの分布が表示されます。 [保護モジュール別にブロックされたリクエスト] セクションの右上隅にある 軽減設定 をクリックし、さまざまな保護モジュールの設定を構成できます。さまざまな保護モジュールの構成方法の詳細については、「Web サイトサービスの保護」をご参照ください。 |
保護ポリシートップ 10 | このセクションには、最も頻繁にヒットした上位 10 件の軽減ポリシーとヒット数が表示されます。詳細 をクリックすると、最も頻繁にヒットした上位 100 件の軽減ポリシーのヒット数を表示できます。 [上位 10 件のヒットポリシー] セクションの右上隅にある 軽減設定 をクリックし、さまざまな保護モジュールのポリシーを構成できます。さまざまな保護モジュールの構成方法の詳細については、「Web サイトサービスの保護」をご参照ください。 |
ソースの場所 | このセクションには、送信元ロケーション別の攻撃リクエストの分布が表示されます。グローバル と 中国本土 を切り替えて、国別または中国の行政区別のロケーションを表示できます。詳細 をクリックすると、さまざまな送信元ロケーションの攻撃リクエストの割合を表示できます。 特定のロケーションからのリクエストをブロックするには、[送信元ロケーション] セクションの右上隅にある 軽減設定 をクリックします。次に、ブロックされたリージョン (ドメイン名) 機能を構成します。詳細については、「ロケーションブラックリスト (ドメイン名) 機能を構成する」をご参照ください。 |
[URL] | このセクションには、最も多くのリクエストを受信した上位 5 つの URL が表示されます。URL は、受信リクエスト数の降順で表示されます。詳細 をクリックすると、すべてのリクエストされた URL と URL のリクエスト数を表示できます。[詳細] をクリックすると、リクエストされた URI と URI が属するドメイン名が表示されます。 特定の URI のレート制限設定を構成するには、[URL] セクションの右上隅にある 軽減設定 をクリックします。次に、頻度制御 機能を構成します。詳細については、「HTTP フラッド攻撃緩和機能の設定」をご参照ください。 |
読み込みが遅い URI | このセクションには、応答時間が最長の URI の上位 5 件が表示されます。URI 応答時間は、クライアントが特定の URI のリソースを取得するためのリクエストを送信してから、クライアントがサーバーから応答を受信してリクエストが完了するまでの合計時間です。 このセクションに基づいて HTTP フラッド軽減機能を構成できます。詳細については、「HTTP フラッド軽減機能を構成する」をご参照ください。 |
攻撃元 IP アドレス | このセクションには、最も疑わしい接続が確立された上位 10 件の IP アドレスと、IP アドレスが属するロケーションが表示されます。詳細 をクリックすると、上位 100 件の送信元 IP アドレスに関する情報を表示できます。 説明 攻撃の上位 100 件の送信元 IP アドレスのみを表示できます。 特定の IP アドレスからのトラフィックをブロックするには、[攻撃者 IP アドレス] セクションの右上隅にある 軽減設定 をクリックします。次に、ブラックリストおよびホワイトリスト (ドメイン名) 機能を構成します。詳細については、「ドメイン名のブラックリストとホワイトリストを構成する」をご参照ください。 |
[User-Agent] | このセクションには、リクエストに最も頻繁に含まれる上位 5 つの User-Agent エントリが表示されます。User-Agent は、アクセスリクエストを開始したクライアントのブラウザ ID、レンダリングエンジン ID、バージョン情報などのブラウザ関連の情報を示します。 このセクションに基づいて HTTP フラッド軽減機能を構成できます。詳細については、「HTTP フラッド軽減機能を構成する」をご参照ください。 |
[Referer] | このセクションには、アクセスリクエストに最も頻繁に含まれる上位 5 つの Referer エントリが表示されます。Referer は、アクセスリクエストの送信元 URL を示します。 このセクションに基づいて HTTP フラッド軽減機能を構成できます。詳細については、「HTTP フラッド軽減機能を構成する」をご参照ください。 |
[HTTP-Method] | このセクションには、アクセスリクエストで最も頻繁に使用される上位 5 つのリクエストメソッドが表示されます。 このセクションに基づいて HTTP フラッド軽減機能を構成できます。詳細については、「HTTP フラッド軽減機能を構成する」をご参照ください。 |
[クライアントフィンガープリント] | このセクションには、アクセスリクエストで最も頻繁に使用される上位 5 つのクライアントフィンガープリントが表示されます。クライアントフィンガープリントは、リクエストを開始したクライアントの TLS フィンガープリントに基づいて、Alibaba Cloud が開発したアルゴリズムを使用して計算されます。クライアントフィンガープリントは、保護のためにアクセスリクエストを照合するために使用されます。 このセクションに基づいて HTTP フラッド軽減機能を構成できます。詳細については、「HTTP フラッド軽減機能を構成する」をご参照ください。 |
[HTTP/2 フィンガープリント] | このセクションには、アクセスリクエストで最も頻繁に使用される上位 5 つの HTTP/2 フィンガープリントが表示されます。HTTP/2 フィンガープリントは、保護のために HTTP/2 アクセスリクエストを照合するために使用されます。 このセクションに基づいて HTTP フラッド軽減機能を構成できます。詳細については、「HTTP フラッド軽減機能を構成する」をご参照ください。 |
[JA3 フィンガープリント] | このセクションには、アクセスリクエストで最も頻繁に使用される上位 5 つの JA3 フィンガープリントが表示されます。これらは、Web ブラウザ、モバイルアプリケーション、マルウェアなど、さまざまな TLS クライアントを識別および区別するのに役立ちます。 このセクションに基づいて HTTP フラッド軽減機能を構成できます。詳細については、「HTTP フラッド軽減機能を構成する」をご参照ください。 |
[JA4 フィンガープリント] | このセクションには、アクセスリクエストで最も頻繁に使用される上位 5 つの JA4 フィンガープリントが表示されます。JA4 は、ブラウザのバージョンやオペレーティングシステムなど、追加のコンテキスト情報とアルゴリズムを提供して、JA3 フィンガープリントの冗長性の問題を軽減し、実際のユーザーと偽装者のより正確な識別を可能にし、誤検知率を低下させます。 このセクションに基づいて HTTP フラッド軽減機能を構成できます。詳細については、「HTTP フラッド軽減機能を構成する」をご参照ください。 |
接続タイプ
イベントの詳細を表示し、Anti-DDoS Proxy インスタンスに特定の保護項目を構成できます。
情報 | 説明 |
攻撃時間 | 攻撃が発生した時点。 |
攻撃ターゲット | 攻撃されたインスタンスの IP アドレスとポート。 攻撃ターゲット の右側にある 軽減設定 をクリックできます。表示されるページの インフラストラクチャの保護 タブで、攻撃されたインスタンスの軽減設定を構成できます。詳細については、「インフラストラクチャの保護」をご参照ください。 |
攻撃からの保護の詳細 | このセクションには、新しい接続 と 同時接続 の傾向が表示されます。[攻撃軽減の詳細] セクションの右上隅で、時間範囲を指定してクエリできます。 新しい接続の傾向には、さまざまな軽減設定によってブロックされた疑わしい接続が表示されます。軽減設定には、[ブラックリスト]、[ロケーションブラックリスト]、[送信元レート制限] が含まれます。[送信元レート制限] 設定には、[送信元ごとの新しい接続制限]、[送信元ごとの同時接続制限]、[送信元ごとの PPS 制限]、[送信元ごとの帯域幅制限] が含まれます。軽減設定の構成方法の詳細については、「IP アドレスのブラックリストとホワイトリストを構成する」、「ロケーションブラックリスト機能を構成する」、および「送信元 IP アドレスの速度制限を構成する」をご参照ください。 同時接続の傾向には、[アクティブ] 接続と [非アクティブ] 接続が表示されます。 |
攻撃元IP アドレス | このセクションには、最も疑わしい接続が確立された上位 5 つの IP アドレスと、IP アドレスが属するロケーションが表示されます。詳細 をクリックすると、攻撃の上位 100 件の送信元 IP アドレスに関する情報を表示できます。 説明 攻撃の上位 100 件の送信元 IP アドレスのみを表示できます。 特定の IP アドレスからのトラフィックをブロックする場合は、攻撃されたインスタンスの ブラックリストおよびホワイトリスト (宛先 IP) 機能を構成できます。詳細については、「IP アドレスのブラックリストとホワイトリストを構成する」をご参照ください。 |
攻撃のタイプ | このセクションには、プロトコル別の攻撃リクエストの分布が表示されます。詳細 をクリックすると、さまざまなプロトコルの攻撃リクエストの割合を表示できます。 |
攻撃元エリア | このセクションには、送信元ロケーション別の攻撃リクエストの分布が表示されます。詳細 をクリックすると、さまざまな送信元ロケーションの攻撃リクエストの割合を表示できます。 特定のロケーションからのリクエストをブロックする場合は、攻撃されたインスタンスの ブロックされたリージョン 機能を構成できます。詳細については、「ロケーションブラックリスト機能を構成する」をご参照ください。 |
ボリュメトリック
イベントの詳細を表示し、Anti-DDoS Proxy インスタンスに特定の保護項目を構成できます。
情報 | 説明 |
攻撃時間 | 攻撃が発生した時点。 |
攻撃ターゲット | 攻撃されたインスタンスの IP アドレス。 攻撃ターゲット の右側にある 軽減設定 をクリックできます。表示されるページの インフラストラクチャの保護 タブで、攻撃されたインスタンスの軽減設定を構成できます。詳細については、「インフラストラクチャの保護」をご参照ください。 |
攻撃からの保護の詳細 | [bps] タブには、インバウンド帯域幅とアウトバウンド帯域幅、およびトラフィックスクラビング帯域幅の傾向が表示されます。 [pps] タブには、インバウンドパケットとアウトバウンドパケット、およびトラフィックスクラビングパケットの傾向が表示されます。 説明 アラートは、[インバウンドトラフィック] が 1 Gbit/s 以上 で、[スクラブされたトラフィック] が 100 Mbit/s を超える 場合にのみ生成されます。 |
ソース IP | このセクションには、最も多くのリクエストが開始された上位 10 件の IP アドレスと、IP アドレスが属するロケーションが表示されます。詳細 をクリックすると、上位 100 件の送信元 IP アドレスに関する情報を表示できます。 説明 上位 100 件の送信元 IP アドレスには、攻撃の送信元 IP アドレスのみが含まれます。 特定の IP アドレスからのトラフィックをブロックする場合は、[送信元 IP アドレス] セクションの左下隅にある ブラックリスト設定 をクリックします。次に、ブラックリストおよびホワイトリスト (宛先 IP) 機能を構成します。詳細については、「IP アドレスのブラックリストとホワイトリストを構成する」をご参照ください。 |
攻撃元プロバイダー | このセクションには、攻撃トラフィックの発信元であるインターネットサービスプロバイダー (ISP) 別の攻撃リクエストの分布が表示されます。詳細 をクリックすると、さまざまな ISP の攻撃リクエストの割合を表示できます。 説明
|
攻撃元エリア | このセクションには、送信元ロケーション別の攻撃リクエストの分布が表示されます。詳細 をクリックすると、さまざまな送信元ロケーションの攻撃リクエストの割合を表示できます。 特定のロケーションからのトラフィックをブロックする場合は、[攻撃送信元ロケーション] セクションの左下隅にある リージョンブロック設定 をクリックします。次に、ブロックされたリージョン 機能を構成します。詳細については、「ロケーションブラックリスト機能を構成する」をご参照ください。 説明 表示されるトラフィックには、攻撃トラフィックのみが含まれます。 |
攻撃のタイプ | このセクションには、プロトコル別の受信リクエストの分布が表示されます。詳細 をクリックすると、さまざまなプロトコルのリクエストの割合を表示できます。 説明 受信リクエストには、攻撃リクエストと通常の リクエストの両方が含まれます。 |
宛先ポート | このセクションでは、各インバウンド リクエストの宛先ポートの割合を示します。詳細 をクリックすると、各宛先ポートの割合が表示されます。 説明 インバウンド リクエストには、攻撃リクエストと通常の両方のリクエストが含まれます。 |