DDoS 攻撃が Alibaba Cloud サービスの無料緩和キャパシティの上限を超えると、ブラックホールフィルタリングが発動します。これにより、そのサービスへのすべてのインバウンドトラフィックが破棄され、サービスにアクセスできなくなります。トラフィックセキュリティコンソールのイベントセンターを使用して、ブラックホールイベントの発生日時や、攻撃中のトラフィックの急増状況を確認します。
背景情報
Anti-DDoS Native Basic は、特定の Alibaba Cloud サービスに対して、500 Mbit/s から 5 Gbit/s の緩和キャパシティを持つ無料の DDoS 緩和を提供します。ピーク攻撃帯域幅がこのキャパシティを超えると、影響を受けるサービスを保護し、攻撃が他のサービスに影響を与えるのを防ぐために、ブラックホールフィルタリングが作動します。
お使いのサービスが基本的な DDoS 緩和 (有料版ではない) のみの場合、ブラックホールフィルタリングは手動で解除できず、設定された期間が経過した後に自動的に解除されます。詳細については、「ブラックホールフィルタリング期間の表示」をご参照ください。
ブラックホールフィルタリングをトリガーするしきい値については、「Anti-DDoS Native Basic でブラックホールフィルタリングをトリガーするしきい値の表示」および「Cloud Web Hosting におけるブラックホールフィルタリングのしきい値と期間」をご参照ください。
制限事項
すべてのアセットと期間でイベント詳細の表示がサポートされているわけではありません。次の表に、アセットタイプごとの適用内容をまとめます。
イベントがサポートされている期間外の場合、[詳細の表示] は選択不可になり、クリックできません。アセットがアカウントから解放されている場合は、代わりに "You cannot view traffic details because the asset is removed from the current account." というメッセージが表示されます。
アセットタイプ | 利用可能なイベント履歴 | [詳細の表示] ボタン |
IPv4 アドレス | イベントから 7 日以内 | アクティブ |
IPv6 アドレス | イベントから 3 時間以内 | アクティブ |
Anycast EIP | 利用不可 | 選択不可 (利用不可) |
解放されたアセット | 利用不可 | エラーメッセージ表示 |
ブラックホールフィルタリングイベントの表示
トラフィックセキュリティコンソールにログインし、左側メニューで、[DDoS] を選択します。
左側メニューで、イベントセンター をクリックします。
アセットの IP アドレスを入力し、イベントタイプを ブラックホール に設定し、時間範囲を選択してイベントを検索します。
(任意) 操作 列で、詳細を見る をクリックするとイベント詳細ページが開き、ブラックホールイベントに関する 2 つのトレンドチャート、トラフィックとインバウンドトラフィック (pps) が表示されます。
(任意) DDoS 攻撃の証拠をダウンロードするには、キャプチャのダウンロード ([イベントセンター] ページの トラフィック推移 にあります) をクリックします。
次のステップ
ブラックホールフィルタリングによって Elastic Compute Service (ECS) インスタンスへのアクセスが妨げられている場合、別のインスタンスからファイル転送や設定変更ができます。詳細については、「ブラックホールフィルタリングがトリガーされた ECS インスタンスへの接続」をご参照ください。
Anti-DDoS Native Basic の緩和キャパシティは限定的です。ビジネスクリティカルなサービスを保護するには、有料の Anti-DDoS エディションにアップグレードしてください。詳細については、「シナリオ別の DDoS 対策ソリューション」をご参照ください。
ブラックホールフィルタリングポリシーの全体像を理解するには、「Alibaba Cloud のブラックホールフィルタリングポリシー」をご参照ください。
よくある質問
ブラックホールフィルタリングはいつ解除されますか。
正確な解除時刻を照会したり、手動で解除したりすることはできません。期間の計算に関する詳細については、「ブラックホールフィルタリング期間の表示」をご参照ください。
自動解除: ブラックホールフィルタリングは、攻撃が収まり、特定のクーリングオフ期間が経過した後に、システムによって自動的に解除されます。
期間の目安:
デフォルト期間: 約 2.5 時間。
一般的な期間: 通常 30 分から 24 時間。
変動要因: 正確な期間は、攻撃の深刻度、頻度、種類、現在のネットワーク負荷などの要因によって異なります。
IP アドレスがブラックホールフィルタリングの対象になった場合、どのドメイン名が影響を受けますか。
ブラックホールフィルタリングは IP レベルで動作し、その IP に解決されるすべてのドメインに影響します。
一般的な影響:IP アドレスがブラックホールに入れられると、その IP へのすべてのインバウンドトラフィックが破棄されます。その結果、その IP アドレスに解決されるすべてのドメイン名がアクセス不能になります。
Web Application Firewall (WAF) への影響:
ブラックホールに入れられた IP が WAF インスタンスの仮想 IP (VIP) である場合、その WAF インスタンスに関連付けられているすべてのドメインが影響を受けます。
理由:多くの場合、複数のドメインが同じ WAF VIP を共有しています。トラフィックは、ドメインの識別や転送のために WAF エンジンに到達する前に、ネットワーク (IP) 層でブロックされます。したがって、WAF はブラックホールイベント中にホストされているドメインのいずれも区別したり、サービスを提供したりすることができません。
確認:WAF コンソールにログインして、影響を受けるインスタンスにバインドされているすべてのドメインのリストを表示できます。