すべてのプロダクト
Search

このプロダクト

    Anti-DDoS:DDoS 攻撃の緩和ソリューション

    ドキュメントセンター

    Anti-DDoS:DDoS 攻撃の緩和ソリューション

    最終更新日:Jan 17, 2026

    分散型サービス妨害 (DDoS) 攻撃は、ターゲットシステムに対する悪意のあるネットワーク攻撃です。DDoS 攻撃は、多くの場合、ターゲットのサービスをユーザーが利用できない状態にし、これはサービス妨害として知られています。

    一般的な攻撃タイプ

    攻撃タイプ

    一般的な手法

    攻撃の特徴

    ネットワークレイヤー攻撃

    NTP Flood 攻撃などの UDP リフレクション攻撃。

    大量のトラフィックを使用してターゲットのネットワーク帯域幅を輻輳させます。これにより、ターゲットのサービスがユーザーのリクエストに応答できなくなります。

    トランスポートレイヤー攻撃

    SYN フラッド攻撃およびコネクションフラッド攻撃。

    サーバーの接続プールリソースを枯渇させ、サービス妨害を引き起こします。

    セッションレイヤー攻撃

    SSL-VPN 接続攻撃

    サーバーの SSL セッションリソースを枯渇させ、サービス妨害を引き起こします。

    アプリケーションレイヤー攻撃

    DNS フラッド攻撃、HTTP Flood 攻撃 (CC 攻撃とも呼ばれる)、およびゲームにおけるボット攻撃。

    サーバーのアプリケーション処理リソースとコンピューティングリソースを枯渇させ、サービス妨害を引き起こします。

    ソリューション

    システムの堅牢化

    • 攻撃対象領域の最小化

      • 目的:スキャンや攻撃のエントリーポイントを減らします。

      • アクション:Elastic Compute Service (ECS) コンソールで、インスタンスに関連付けられているセキュリティグループを見つけ、セキュリティグループルールを作成します。セキュリティグループの詳細については、「セキュリティグループの作成」をご参照ください。

      • :以下は、Web サーバーのセキュリティグループルールのサンプルです:

        • ポート 80 と 443 のみをインターネットに開放します。

        • リモート管理ポート 22 または 3389 は、オフィスのネットワークなど、特定の IP アドレスにのみ開放します。

        • オリジンサーバーの前に Server Load Balancer (SLB) インスタンスまたは Anti-DDoS Proxy インスタンスがデプロイされている場合は、これらのプロダクトのバックツーオリジン IP アドレス範囲からのトラフィックのみを許可するようにセキュリティグループを設定します。

    • Virtual Private Cloud (VPC) の使用

      • 目的:ネットワークを論理的に分離し、内部ネットワーク内での攻撃の拡散を防ぎます。

      • アクション:Virtual Private Cloud (VPC) を使用して、論理的に分離されたネットワークを作成できます。これにより、内部ネットワーク内の侵害されたマシンからの攻撃を防ぐことができます。詳細については、「Virtual Private Cloud (VPC) とは」をご参照ください。

    • サーバーセキュリティの堅牢化

      • 目的:コネクションレイヤー攻撃を処理するサーバーの能力を向上させ、リソースの枯渇を遅らせます。

      • アクション

        • システムアップグレード:オペレーティングシステムとアプリケーションソフトウェアが最新バージョンであることを確認します。セキュリティパッチを迅速に適用してください。

        • アクセスとサービスの制御:

          • アクセス元を確認します。不要なサービスとポートをシャットダウンします。たとえば、Web サーバーはポート 80 のみを開放する必要があります。

          • 外部ネットワークからのファイル共有を制限し、コアファイルが改ざんされるのを防ぎます。

        • ネットワークポリシーの最適化

          • ルーターで、速度制限、パケットフィルタリング、なりすまし送信元パケットの破棄、SYN しきい値の設定、ICMP および UDP ブロードキャストの無効化などの緩和ポリシーを設定できます。

          • iptables などのソフトウェアファイアウォールを使用して、悪意のある疑いのある IP アドレスからの新規 TCP 接続を制限できます。また、これらの IP アドレスからの接続数と伝送レートを制限することもできます。

          • SYN ハーフコネクションの数を制限し、そのタイムアウト期間を短縮し、SYN や ICMP などの特定のトラフィックをレート制限できます。

        • ログ監視:ネットワークデバイスとサーバーのシステムログを注意深く調査し、脆弱性や攻撃の兆候を迅速に検出します。

    ビジネスアーキテクチャの最適化

    • ビジネスアーキテクチャの体系的なパフォーマンス評価

      サービスのデプロイ前後で、技術チームはサービスアーキテクチャのパフォーマンステストを実行する必要があります。このテストは、現在のアーキテクチャのスループット容量を評価し、DDoS 緩和計画のための主要なメトリクスを提供します。

    • Server Load Balancer (SLB) のデプロイ

      • 目的:ユーザーのアクセストラフィックを複数のサーバーに均等に分散させることで、サービスのスループットを向上させ、単一障害点を回避します。これにより、単一サーバーへの負荷が軽減されます。

      • アクション:SLB インスタンスをサービストラフィックのエントリーポイントとして使用し、複数の ECS サーバーをバックエンドにアタッチできます。詳細については、「IPv4 サービスのロードバランシングを迅速に有効化」をご参照ください。

    • 冗長帯域幅のプロビジョニング

      • 目的:通常のトラフィックバーストや小規模な攻撃による帯域幅の飽和を防ぎ、通常のユーザーへの影響を回避します。

      • アクション:サービスの 1 日のピーク帯域幅を評価します。たとえば、Cloud Monitor から過去 30 日間の P95 帯域幅の値を取得できます。その後、予算に基づいて、ピーク値の 50% から 100% などの予備容量をプロビジョニングできます。

    • Auto Scaling の設定

      • 目的:CC 攻撃などのアプリケーションレイヤー攻撃によって CPU 使用率やメモリ使用量が高くなった場合に、サーバーの数を自動的に増やして処理能力を向上させます。

        説明

        Auto Scaling はネットワークレイヤー攻撃には効果がありません。攻撃中に無制限のスケーリングによる高額なコストを防ぐために、インスタンスの最大数を設定できます。

      • アクション:スケーリンググループを作成し、スケーリングルールを設定できます。たとえば、「平均 CPU 使用率が 3 分間連続で 75% を超えた場合、ECS インスタンスを 1 つ追加する」などです。詳細については、「Auto Scaling とは」をご参照ください。

    • DNS 名前解決の最適化

      • 目的:スマート解析で DNS 名前解決を最適化し、DNS フラッド攻撃のリスクを効果的に回避します。

      • アクション:

        • サービス冗長性:複数の DNS プロバイダーでサービスをホストすることで、DNS 名前解決の高可用性を実現できます。

        • トラフィックフィルタリング

          • 未承諾の DNS 応答、不明なソースからのクエリ、およびバーストリクエストを破棄できます。

          • 異常な高速再送パケットを破棄できます。

        • アクセス制御

          • アクセス制御リスト (ACL)、BCP38 (送信元アドレス検証)、および IP レピュテーション調査機能を適用して、悪意のあるソースを制限できます。

          • DNS クライアント検証メカニズムを有効にできます。

        • 効率の最適化

          • 適切な TTL 値を設定できます。

          • DNS 応答キャッシュを有効にして、オリジンサーバーの負荷を軽減できます。

    専門的なセキュリティサービスの購入 (任意)

    サービス

    保護の詳細

    シナリオ

    Web Application Firewall (WAF)

    一般的な HTTP Flood 攻撃に対して、Web Application Firewall (WAF) を使用して、コネクションレイヤー、セッションレイヤー、およびアプリケーションレイヤーの攻撃を効果的に防御できます。詳細については、「Web Application Firewall とは」をご参照ください。

    Web サイト、API、H5 ページなどの HTTP/HTTPS サービス。

    Anti-DDoS Origin

    クラウドプロダクトの IP アドレスに対して、DDoS 攻撃に対する共有型の無制限保護を提供します。この保護は即時に有効になります。詳細については、「Anti-DDoS Origin とは」をご参照ください。

    すでに Alibaba Cloud 上にあり、基本的な緩和能力を強化し、ブラックホールフィルタリングを回避したいサービス。

    Anti-DDoS Proxy

    ボリューム型のネットワークレイヤー、トランスポートレイヤー、およびアプリケーションレイヤーの攻撃から防御します。詳細については、「Anti-DDoS Proxy とは」をご参照ください。

    ゲーム、重要な金融アプリケーション、E コマースプラットフォームなど、大規模なボリューム型攻撃を受けやすいサービス。

    サービス監視の設定

    • 基本的な Anti-DDoS 監視:

      • お使いのサービスが DDoS 攻撃を受けている場合、Anti-DDoS Origin Basic は、デフォルトでショートメッセージと E メールでアラートを送信します。

        説明

        アラートメッセージの受信者を設定する方法の詳細については、「Anti-DDoS Origin Basic と Anti-DDoS Origin の攻撃イベントのアラートを設定する」をご参照ください。

      • トラフィックセキュリティコンソールでは、イベントセンターに移動して、進行中の攻撃イベント、攻撃タイプ、およびトラフィックのピークを確認できます。

    • Cloud Monitor:Cloud Monitor サービスは、Alibaba Cloud リソースのメトリクスまたはカスタムメトリクスを収集します。サービスの可用性を検出し、特定のメトリクスに対してアラートを設定できます。詳細については、「Cloud Monitor とは」をご参照ください。

    本番環境への適用

    DDoS 攻撃は、ネットワーク環境全体の安定性に損害を与える可能性があります。共有ネットワークリソースを維持し、すべてのユーザーサービスの可用性を確保するために、次のルールにご注意ください。

    • クラウドプロダクト (OSS、DNS、ECS、SLB、Elastic IP Address (EIP) など) のメカニズムを使用して、クラウド上で DDoS 緩和サービスを構築および提供したり、悪用したりしないでください。

    • ブラックホールフィルタリング状態にあるインスタンスを解放しないでください。

    • ブラックホールフィルタリング状態にあるサーバーに対して、SLB インスタンス、Elastic IP Address (EIP)、NAT Gateway などの IP ベースのプロダクトを継続的に交換、デタッチ、または追加しないでください。

    • 防御のために IP プールを構築したり、多くの IP アドレスに攻撃トラフィックを分散させたりしないでください。

    • 攻撃を受けているサービスを保護するために、CDN や OSS など、ネットワークセキュリティ用に設計されていない Alibaba Cloud プロダクトを使用しないでください。

    • 前述のルールを回避するために複数のアカウントを使用しないでください。