Anti-DDoS Basic は、Alibaba Cloud 製品に組み込まれた無料の DDoS 保護サービスです。Elastic Compute Service (ECS) インスタンスなどの Alibaba Cloud サーバー、またはパブリック IP アドレスを持つクラウドリソースを購入すると、無料のセキュリティサービスとして Anti-DDoS Basic が自動的に有効になります。無効にすることはできません。Anti-DDoS Basic は 500 Mbps から 5 Gbps の緩和機能を提供し、パブリック IP 資産に対してネットワーク層 (L3) とトランスポート層 (L4) の攻撃防御およびトラフィックのスクラビングを行います。各クラウドサービスの特定の緩和機能については、「Anti-DDoS Basic におけるブラックホールフィルタリングをトリガーするしきい値」をご参照ください。
リソースが頻繁に標的にされる場合、プラットフォームの安定性を維持するため、過去の攻撃記録に基づいて緩和機能を調整します。
仕組み
Anti-DDoS Basic は、2 つのメカニズムを通じてクラウドリソースを保護します。
AI ベースのトラフィック分析:Anti-DDoS Basic は、デフォルトのスクラビングしきい値を適用します。このしきい値は手動で設定することも可能です。Alibaba Cloud のビッグデータ機能を活用して、インバウンドトラフィックを継続的に監視します。固定のしきい値のみに依存するのではなく、通常のトラフィックパターンを学習し、異常を検出します。トラフィックのスクラビングは、AI が DDoS 攻撃を検出し、インバウンドトラフィックが設定された BPS または PPS (秒間パケット数) のしきい値に達した場合にのみトリガーされます。この二重条件アプローチにより、通常のトラフィックスパイクによる誤検出を防ぎます。
ブラックホールフィルタリング:攻撃が緩和機能 (ブラックホールしきい値) を超えると、Alibaba Cloud は影響を受けるリソースへのすべてのインバウンドトラフィックを一時的にブロックします。これにより攻撃を封じ込め、プラットフォーム上の他の資産のパフォーマンスが低下するのを防ぎます。詳細については、「Alibaba Cloud のブラックホールフィルタリングポリシー」をご参照ください。
Anti-DDoS Basic は、UDP リフレクション攻撃や SYN/ACK フラッド攻撃などのネットワーク層およびトランスポート層の攻撃 (L3/L4) から防御します。HTTP フラッド攻撃や CC 攻撃などのアプリケーション層攻撃 (L7) からは防御しません。大量の HTTP フラッド攻撃や SYN フラッド攻撃、またはプラットフォームの仕様を超えるトラフィックなど、特定の条件下では、Anti-DDoS Basic がアクティブであってもサービスへのアクセスに影響が及ぶ可能性があります。
保護対象のクラウド製品
Anti-DDoS Basic は、以下の Alibaba Cloud 製品に統合され、デフォルトで有効になっています。無効にすることはできません。
Elastic Compute Service (ECS) インスタンス
Server Load Balancer (SLB) インスタンス
Elastic IP アドレス (EIP)
NAT ゲートウェイに関連付けられた EIP
IPv6 ゲートウェイ
Simple Application Server
Web Application Firewall (WAF) インスタンス
Global Accelerator (GA) インスタンス
Anycast EIP
サポートされているリージョン
エリア | リージョン |
アジア太平洋 | タイ (バンコク)、フィリピン (マニラ)、日本 (東京)、インドネシア (ジャカルタ)、マレーシア (クアラルンプール)、韓国 (ソウル)、シンガポール、中国 (香港)、中国 (成都)、中国 (広州)、中国 (河源)、中国 (深圳)、中国 (ウランチャブ)、中国 (フフホト)、中国 (張家口)、中国 (北京)、中国 (青島)、中国 (福州 - ローカルリージョン)、中国 (南京 - ローカルリージョン)、中国 (上海)、中国 (杭州) |
ヨーロッパおよびアメリカ | 英国 (ロンドン)、ドイツ (フランクフルト)、米国 (バージニア)、米国 (シリコンバレー) |
中東 | サウジアラビア (リヤド - パートナーリージョン)、アラブ首長国連邦 (ドバイ) |
攻撃の種類と対象範囲
攻撃の種類 | OSI 層 | 仕組み | Anti-DDoS Basic の対象範囲 |
ボリューム型攻撃 | L3 | 不正なパケットや大量のトラフィック (例:UDP リフレクション攻撃) をネットワークにフラッディングさせることで、サーバーの帯域幅を消費します | はい |
トランスポート層フラッド攻撃 | L4 | プロトコルハンドシェイク (例:SYN フラッド攻撃、ACK フラッド攻撃) をフラッディングさせることで、接続状態を枯渇させます | はい |
アプリケーション層攻撃 (L7) | L7 | 正規に見えるリクエスト (例:HTTP フラッド攻撃、CC 攻撃、DNS フラッド攻撃) でサーバーの処理能力を消費します | いいえ |
次のステップ
スクラビングしきい値の調整:トラフィックのスクラビングがトリガーされる BPS および PPS のしきい値をカスタマイズします。最大しきい値は、クラウド製品インスタンスの仕様によって異なります。詳細については、「スクラビングしきい値の設定」および「クラウド製品の仕様とスクラビングしきい値」をご参照ください。
製品ごとのブラックホールしきい値の確認:サポートされている各クラウド製品のブラックホールフィルタリングしきい値を確認します。詳細については、「Anti-DDoS Basic におけるブラックホールフィルタリングをトリガーするしきい値」をご参照ください。
保護のアップグレード:Anti-DDoS Basic が要件を満たさない場合は、有料製品をご検討ください。
Anti-DDoS Native:IP アドレスを変更せずに、強化されたボリューム型攻撃保護を提供します。詳細については、「Anti-DDoS Native とは」をご参照ください。
Anti-DDoS Proxy:スクラビングセンターベースの保護により、大規模な攻撃やアプリケーション層の脅威に対応します。詳細については、「Anti-DDoS Proxy とは」をご参照ください。
製品選択については、「シナリオ別の Anti-DDoS ソリューション」をご参照ください。
よくある質問
インスタンスが DDoS 攻撃の標的になるのはなぜですか?
ボリューム型攻撃などの DDoS 攻撃は、インターネット上で一般的な悪意のある活動です。攻撃者は、標的に大量の悪意のあるトラフィックをフラッディングさせることで、標的の帯域幅リソースを枯渇させ、サービス拒否 (DoS) を引き起こします。
パブリック IP アドレスを持つリソースは、すべて DDoS 攻撃の標的になる可能性があります。DDoS 攻撃は特定のユーザーや業界に限定されるものではなく、インターネットに接続された資産はすべて潜在的なリスクにさらされています。
Alibaba Cloud Anti-DDoS Basic は、DDoS 攻撃を自動的に検出し、トラフィックのスクラビングを開始して悪意のあるトラフィックをフィルタリングし、通常のビジネスアクセスを維持します。攻撃量が Anti-DDoS Basic の緩和機能を超える場合は、Anti-DDoS Native または Anti-DDoS Proxy へのアップグレードを検討し、保護を強化してください。
Anti-DDoS Basic は UDP パケットとトラフィックのブロックをサポートしていますか?
UDP リフレクション攻撃やその他のボリューム型攻撃を防ぐため、Anti-DDoS Basic は、デフォルトでサイズの大きな UDP パケットと断片化された UDP トラフィックをブロックします。
このデフォルトのフィルタリングにより、以下のようなサイズの大きな UDP パケットや UDP の断片化に依存するサービスで、接続障害や異常が発生する可能性があります:
カスケード接続を使用する GB28181 ベースのビデオ監視システム
大きな UDP データグラムを送信するその他のアプリケーション
お使いのサービスでサイズの大きな UDP パケットや断片化された UDP トラフィックが必要な場合は、Anti-DDoS Proxy などのカスタム UDP フィルタリングポリシーをサポートする有料の保護製品にアップグレードしてください。