すべてのプロダクト
Search

このプロダクト

    Anti-DDoS:よくある質問

    ドキュメントセンター

    Anti-DDoS:よくある質問

    最終更新日:Apr 01, 2026

    Anti-DDoS Basic が 20 Mbit/s の攻撃から ECS インスタンスを保護できないのはなぜですか?

    Anti-DDoS Basic は無料のサービスであり、最小クリーニングしきい値は 100 Mbit/s です。攻撃トラフィックがご利用のインスタンスの帯域幅を超え、かつ 100 Mbit/s 未満の場合、サービスは攻撃を検出しますが、トラフィックスクラブはトリガーされず、インスタンスは無防備な状態になります。

    100 Mbit/s 未満の攻撃に対しては、以下の手順を順番に実行してください。

    1. サーバーの最適化: アプリケーションを調整して、より多くの接続負荷を処理できるようにし、高負荷時のリソース枯渇を軽減します。

    2. ホストベースのファイアウォールのインストール: Yunsuo などのツールを使用すると、悪意のある IP をブロックし、ホストレベルで接続のレート制限を行うことができます。

    3. 有料の保護プランへのアップグレード: Anti-DDoS Proxy インスタンスを購入して、より高いクリーニングしきい値と専用の保護レベルを確保します。詳細については、「Anti-DDoS Proxy インスタンスの購入」をご参照ください。

    Anti-DDoS Basic インスタンスのブラックホールを手動で解除できないのはなぜですか?

    ブラックホールは、Alibaba Cloud のインフラストラクチャ上ではなく、インターネットサービスプロバイダー (ISP) のネットワーク上で実行されます。一度トリガーされると、ISP レベルで攻撃トラフィックを破棄し、同じインフラストラクチャを共有する他のテナントを含む広範なネットワークを保護します。ISP はブラックホールを解除できる頻度に厳しい制限を設けているため、Alibaba Cloud がお客様に代わって即座にそれを解除することはできません。

    Alibaba Cloud のセキュリティチームは、インテリジェントなアルゴリズムを使用して、ブラックホールを安全に解除できるタイミングを判断します。ほとんどの場合、解除までには 30 分から 24 時間かかります。攻撃が頻繁に再発する場合、その期間は自動的に延長されます。攻撃が停止する前にブラックホールを解除すると、新たなブラックホールイベントがトリガーされ、タイマーがリセットされて共有ネットワーク上の他のテナントに影響が及びます。

    ブラックホールを解除したとしても、DDoS 攻撃を緩和することはできません。ブラックホールによる頻繁なフラッピングは、ネットワークの安定性に影響を与えます。

    繰り返されるブラックホールイベントを回避するには、専用の保護レベルを持つサービスを使用してください。Anti-DDoS Origin は、Alibaba Cloud リソースに対して常時保護を提供します。Anti-DDoS Proxy は、大容量のスクラビングセンターを介してトラフィックをプロキシします。

    ACL を使用して DDoS 攻撃を緩和し、ブラックホールを回避することはできますか?

    いいえ、アクセス制御リスト (ACL) を使用して DDoS 攻撃を緩和したり、ブラックホールを回避したりすることはできません。ACL は、ご利用のサーバーが存在する Alibaba Cloud ネットワークのエッジでのみ有効になります。その時点では、複数のボットネットから仕掛けられた DDoS 攻撃はすでにアップストリーム帯域幅を消費しており、ネットワークのエッジに到達するトラフィック量は ACL が吸収できる量をはるかに超えています。

    効果的な DDoS 対策には、ISP のバックボーンネットワークに展開されたスクラビングセンターが必要です。DDoS 攻撃は、攻撃が開始された場所に最も近いスクラビングセンターでスクラブされ、悪意のあるトラフィックがインフラストラクチャに到達する前にフィルタリングされます。クラウドプロバイダーはこれを Software as a Service (SaaS) モデルとして提供しているため、スクラビングインフラストラクチャはユーザー間で共有され、ユーザーあたりのコストを管理しやすくしています。ACL では、このようなアップストリームでの防御を再現することはできません。

    Anti-DDoS Origin コンソールのトラフィックデータが CloudMonitor と異なるのはなぜですか?

    攻撃中、Anti-DDoS Origin コンソールのトラフィックは、CloudMonitor よりもほぼ常に高く表示されます。これは、各サービスがデータを収集する方法における以下の 4 つの違いによって生じる想定内の動作です。

    ディメンションAnti-DDoS OriginCloudMonitor
    収集ポイントAlibaba Cloud とインターネット間の境界ゲートウェイデバイスAlibaba Cloud 内部の転送デバイス
    収集タイミングトラフィックスクラブ前トラフィックスクラブ後
    トラフィックの範囲悪意のあるパケットを含むすべてのトラフィック正常なトラフィックのみ (スクラブ後)
    サンプリング間隔第 2 レベルの間隔(早期攻撃検出用)分単位の間隔 (集計チャートとして表示)

    例:DDoS 攻撃によって 2.5 Gbit/s でスクラブがトリガーされた場合、CloudMonitor ではインバウンド帯域幅が 1.2 Gbit/s のみ表示されることがあります。これは、スクラブ後に残った正当なトラフィックです。

    説明

    この差異は、Elastic Compute Service (ECS)、Server Load Balancer (SLB)、Elastic IP Address (EIP)、NAT Gateway インスタンスなど、インターネットアクセスをサポートするすべてのサービスとしてのインフラストラクチャ (IaaS) リソースに適用されます。