Anti-DDoS Basic は、一部の Alibaba Cloud プロダクト向けの無料サービスで、一般的なネットワークレイヤーおよびトランスポートレイヤーの DDoS 攻撃に対して 500 Mbps から 5 Gbps の緩和機能を提供します。
はじめに
Anti-DDoS Basic は、一部の Alibaba Cloud プロダクトにネットワークレイヤーおよびトランスポートレイヤーの保護を提供する無料のセキュリティサービスです。このサービスはクラウドプロダクトに統合されており、デフォルトで有効になっていて、無効にすることはできません。500 Mbps から 5 Gbps の DDoS 緩和機能を提供します。各クラウドプロダクトの具体的な緩和機能の詳細については、「Anti-DDoS Basic でブラックホールフィルタリングをトリガーするしきい値」をご参照ください。
お客様が頻繁に攻撃を受ける場合、プラットフォームの安定性を確保するために、プラットフォームはお客様の過去の攻撃レコードに基づいて緩和機能を調整します。
通常の状況では、Anti-DDoS Basic はユーザーのアクセスに影響を与えません。ただし、HTTP Flood 攻撃、SYN Flood 攻撃、ACK Flood 攻撃などの攻撃タイプ、攻撃メソッド、またはビジネスシナリオによっては、アクセスが影響を受ける場合があります。たとえば、トラフィックがプラットフォームまたはプロダクトの仕様を超えると、アクセスが影響を受ける可能性があります。Anti-DDoS Basic が要件を満たさない場合は、Anti-DDoS Origin や Anti-DDoS Pro、Anti-DDoS Premium などのより高度な保護プロダクトを使用できます。詳細については、「Anti-DDoS Origin とは」、「Anti-DDoS Pro および Anti-DDoS Premium とは」、および「DDoS 対策プロダクトの選択方法」をご参照ください。
仕組み
Anti-DDoS Basic は、デフォルトのクリーニングしきい値を使用します。これは手動で設定することもできます。トラフィックがクリーニングの条件を満たすと、Anti-DDoS Basic はインターネットからのすべてのインバウンドトラフィックをフィルターおよびスクラブして、UDP リフレクション攻撃や SYN/ACK Flood 攻撃などの一般的なネットワークレイヤーおよびトランスポートレイヤーの攻撃から防御します。ただし、Anti-DDoS Basic は、HTTP Flood 攻撃や CC 攻撃などのアプリケーションレイヤーの攻撃からは防御しません。
1 秒あたりのパケット数 (PPS) と 1 秒あたりのビット数 (BPS) で設定されたトラフィックスクラビングしきい値に加えて、Anti-DDoS Basic は AI 分析も使用します。Alibaba Cloud のビッグデータ機能を活用することで、Anti-DDoS Basic はビジネスのトラフィックのベースラインを学習し、アルゴリズムを使用して異常な攻撃を特定します。トラフィックスクラビングは、AI 分析が DDoS 攻撃を検出し、トラフィックが設定された BPS または PPS のしきい値に達した場合にのみアクティブになり、通常のトラフィック変動による誤検知を防ぎます。
インバウンドトラフィックが緩和機能 (ブラックホールトリガーしきい値) を超えると、クラウドプロダクトはブラックホールフィルタリングの対象となります。これにより、DDoS 攻撃がクラウドプロダクトにさらなる損害を与えたり、他の資産に影響を与えたりするのを防ぎます。ブラックホールフィルタリングとは、Alibaba Cloud がインターネットからクラウドプロダクトへのすべてのインバウンドトラフィックを一時的にブロックすることを意味します。詳細については、「Alibaba Cloud のブラックホールフィルタリングポリシー」をご参照ください。
保護対象のクラウドプロダクト
Elastic Compute Service (ECS) インスタンス、Server Load Balancer (SLB) インスタンス、Elastic IP アドレス (EIP)、NAT ゲートウェイに関連付けられた EIP、IPv6 ゲートウェイ、Simple Application Server、Web Application Firewall (WAF) インスタンス、Global Accelerator (GA) インスタンス、および Anycast EIP。
サポート対象リージョン
次の表に、Anti-DDoS Basic がサポートされているリージョンを示します。
エリア | リージョン |
アジアパシフィック | タイ (バンコク)、フィリピン (マニラ)、日本 (東京)、インドネシア (ジャカルタ)、マレーシア (クアラルンプール)、韓国 (ソウル)、シンガポール、中国 (香港)、中国 (成都)、中国 (広州)、中国 (河源)、中国 (深セン)、中国 (ウランチャブ)、中国 (フフホト)、中国 (張家口)、中国 (北京)、中国 (青島)、中国 (福州 - ローカルリージョン)、中国 (南京 - ローカルリージョン)、中国 (上海)、中国 (杭州) |
ヨーロッパおよびアメリカ | 英国 (ロンドン)、ドイツ (フランクフルト)、米国 (バージニア)、米国 (シリコンバレー) |
中東 | サウジアラビア (リヤド - パートナーリージョン)、アラブ首長国連邦 (ドバイ) |
用語集
ネットワークレイヤー攻撃: 一般的な攻撃タイプには、UDP リフレクション攻撃、大ボリュームの SYN および ACK Flood 攻撃、IP プロトコルに準拠していない不正な形式のパケットなどがあります。これらの攻撃は、サーバーの帯域幅を消費してサービス拒否を引き起こします。
アプリケーションレイヤー攻撃: 一般的な攻撃タイプには、HTTP Flood 攻撃、CC 攻撃、DNS Flood 攻撃などがあります。これらは、サービスの特徴を利用した消費ベースの攻撃です。これらの攻撃は、サーバーの処理パフォーマンスを消費してサービス拒否を引き起こします。
関連ドキュメント
クラウドプロダクトに設定できる最大のクリーニングしきい値は、プロダクトインスタンスの仕様によって異なります。詳細については、「クラウドプロダクトの仕様とクリーニングしきい値」をご参照ください。
クリーニングしきい値の設定方法の詳細については、「クリーニングしきい値の設定」をご参照ください。