大量の DDoS 攻撃が Alibaba Cloud プロダクトを標的とし、そのピーク帯域幅がプロダクトの DDoS 緩和能力を超えた場合、Alibaba Cloud はブラックホールフィルタリングポリシーをトリガーします。このポリシーは、さらなる損害を防ぎ、攻撃が他の資産に影響を与えるのを阻止するために、プロダクトへのすべてのインターネットトラフィックを一時的にブロックします。その結果、通常のネットワーク通信が中断されます。このトピックでは、ブラックホールフィルタリングを防止し、対応する方法について説明します。
基本的な DDoS 緩和能力
デフォルトでは、パブリック IP アドレスが割り当てられている一部の Alibaba Cloud 資産には、500 Mbps から 5 Gbps の無料の基本的な DDoS 緩和能力が含まれています。特定の緩和能力は、資産のリージョンと仕様によって異なります。詳細については、「Anti-DDoS Basic でブラックホールフィルタリングをトリガーするしきい値」および「トラフィッククリーニングしきい値の設定」をご参照ください。
通常のサービストラフィック (bps 単位) がブラックホールトリガーしきい値を超えた場合は、速やかに資産の仕様をスペックアップする必要があります。そうしないと、サービストラフィックが攻撃として識別され、ブラックホールフィルタリングがトリガーされる可能性があります。
資産の DDoS 緩和能力が高いほど、DDoS 攻撃がブラックホールフィルタリングをトリガーするリスクは低くなります。したがって、ブラックホールフィルタリングを防止する最も効果的な方法は、資産の DDoS 緩和能力を高めることであり、これによりブラックホールトリガーしきい値が引き上げられます。
アセットのステータス、トラフィック、攻撃 IP を表示する
トラフィックセキュリティコンソール にログインします。
資産のステータスを表示します。
資産 ページの左上隅で、パブリック IP アドレスを持つ資産のリージョンを選択し、対応する資産タブをクリックします。
資産リストで、IP ステータス が [ブラックホール作動中] であることを確認します。
資産のトラフィックと攻撃 IP を表示します。
イベントセンター ページで、ブラックホールフィルタリングまたはクリーニングイベントを表示できます。[詳細の表示] をクリックして、bps および pps 単位のインバウンドトラフィックを表示することもできます。
ページの右上隅にある キャプチャのダウンロード をクリックします。Wireshark などのツールを使用して、ダウンロードしたデータパケットを開き、攻撃元の IP アドレスを表示できます。
ブラックホールフィルタリングの自動解除時間の見積もり
デフォルトのブラックホールフィルタリング期間は 2.5 時間です。実際の期間は 30 分から 24 時間まで変動し、攻撃の頻度によってはまれに長くなることがあります。自動解除時間は、主に次の要因の影響を受けます。
攻撃の永続化: 攻撃が継続する場合、ブラックホール期間は延長されます。ブラックホール期間のカウントダウンは、延長の瞬間から再開されます。
攻撃の頻度: 資産が初めて攻撃された場合、ブラックホール期間は自動的に短縮されます。逆に、頻繁に攻撃される資産の場合、持続的な攻撃の可能性が高くなり、ブラックホール期間が延長されます。
ブラックホールフィルタリングが過度に頻繁に発生する資産について、Alibaba Cloud はブラックホール期間を延長し、ブラックホールトリガーしきい値を下げる権利を留保します。特定の解除時間は、セキュリティイベント通知で提供されます。
資産に対する最後の攻撃の時刻を表示します。
Traffic Security コンソールにログインします。[イベントセンター] ページで、パブリック IP アドレスを持つ資産を見つけ、最後の攻撃の時刻を表示します。
説明資産が複数の DDoS 攻撃を受けた場合、ブラックホール期間は最後の DDoS 攻撃の終了時から計算されます。
現在のブラックホールフィルタリング期間を表示します。
[資産] ページでは、[ブラックホールフィルタリング解除時間] にブラックホールフィルタリングの合計期間が表示されます。
自動解除時間を見積もります。
たとえば、最後の攻撃が 12:30 に発生し、[ブラックホールフィルタリング解除時間] が 150 分の場合、ブラックホールフィルタリングは 15:00 に解除されると予想されます。
説明これはあくまで推定時間です。資産のパブリック IP アドレスが攻撃され続ける場合、ブラックホール期間が延長される可能性があります。
ブラックホールフィルタリングを解除する方法
ブラックホールフィルタリング中、Alibaba Cloud は DDoS 攻撃のステータスを継続的に監視します。攻撃が終了すると、指定された期間の後に資産のブラックホールフィルタリングが自動的に解除され、インターネットアクセスが復旧します。ブラックホールフィルタリング中に緊急にサービスを復旧するには、商用の Anti-DDoS プロダクトを購入できます。これにより、ブラックホールフィルタリングを手動で解除できます。
商用の Anti-DDoS プロダクトが購入されていない場合
手動での解除はサポートされていません。サービスが自動的に復旧する前に、ブラックホールフィルタリング期間が終了するのを待つ必要があります。緊急にサービスを復旧したり、サーバーにログインしてファイルを取得したりするには、「ECS インスタンスがブラックホールフィルタリングに入った後にサービスを迅速に復旧する方法」をご参照ください。
攻撃されたクラウド資産 (ECS インスタンス、EIP、SLB インスタンス、Simple Application Server など) を頻繁に変更または解放すると、他のテナントに悪影響を及ぼし、プラットフォームレベルの制限がトリガーされる可能性があります。
資産のパブリック IP アドレスを変更したり、サービスを別のサーバーに移動したりした後でも、攻撃者はドメイン名への ping などの方法で新しい IP アドレスを発見し、別の攻撃を開始する可能性があります。根本的な問題を解決するには、Anti-DDoS Origin または Anti-DDoS Pro および Anti-DDoS Premium を購入してください。
商用の Anti-DDoS プロダクトが購入されている場合
ブラックホールフィルタリング期間が終了して自動的に解除されるのを待つか、手動で解除することができます。手動での解除は DDoS 攻撃から防御するものではありません。防御計画を展開するための時間枠を提供するだけです。手動での解除後に DDoS 攻撃が終了していない場合、資産は再び攻撃されてブラックホールフィルタリングに入る可能性があります。
商用の Anti-DDoS プロダクト | 手動解除方法 | 説明 |
Anti-DDoS Origin |
| 1 か月あたりの利用可能な手動解除の回数には制限があります。この制限は通常、プランで指定された保護対象 IP アドレスの数以上です。 |
Anti-DDoS Pro および Anti-DDoS Premium (中国本土) |
|
|
Anti-DDoS Pro および Anti-DDoS Premium (中国本土以外) | 手動での解除は必要ありません。 | 固定の保護帯域幅を持つ中国本土のインスタンスとは異なり、中国本土以外のインスタンスは無制限の高度な緩和を提供します。したがって、通常、手動での解除は必要ありません。 |
Anti-DDoS プロダクトの選択方法
Anti-DDoS Origin: Anti-DDoS Origin は、他の Alibaba Cloud プロダクトの DDoS 緩和能力を強化するセキュリティプロダクトです。デプロイが簡単で、ネットワークアーキテクチャの変更は必要ありません。レイヤー 4 ポートまたはレイヤー 7 ドメイン名の数に制限はありません。クラウドプロダクトを保護するには、その IP アドレスを Anti-DDoS Origin インスタンスにアタッチするだけです。
Anti-DDoS Pro および Anti-DDoS Premium: Anti-DDoS Pro および Anti-DDoS Premium は、ボリューム型およびリソース枯渇型の DDoS 攻撃から防御するプロキシベースのサービスです。Alibaba Cloud 上、他のクラウド、またはオンプレミスのデータセンターにあるサーバーを保護できます。サービスを Anti-DDoS Pro または Anti-DDoS Premium に追加すると、トラフィックは DNS 解析を通じて Anti-DDoS クリーニングセンターに再ルーティングされます。クリーニングセンターは攻撃トラフィックをフィルタリングし、クリーンなトラフィックのみをオリジンサーバーに転送します。
プロダクトの選択と課金の詳細については、「Anti-DDoS プロダクトの選択方法」、「Anti-DDoS Origin の課金」、および「Anti-DDoS Pro および Anti-DDoS Premium の課金」をご参照ください。