大規模な DDoS 攻撃が Alibaba Cloud のリソースを標的にし、攻撃トラフィックのピーク値(bps:ビット/秒)がその DDoS 対策の保護レベルを超える場合、Alibaba Cloud は当該リソースへのインターネットトラフィックを一時的にすべて遮断する「ブラックホールフィルタリング」を自動的に開始します。この処置により、当該リソースへのさらなる被害が防がれ、他のリソースへの影響も抑制されますが、同時に通常のネットワーク通信も中断されます。本トピックでは、ブラックホールの防止方法および発生時の対応手順について説明します。
ベーシック DDoS 対策の保護レベル
一部の Alibaba Cloud パブリック IP リソースには、無料で利用可能なベーシック DDoS 対策が付与されており、保護レベルは 500 Mbps ~ 5 Gbps の範囲です。具体的な保護レベルは、リソースのリージョンおよび仕様によって異なります。詳細については、「ベーシック DDoS 対策のブラックホールしきい値」および「トラフィックスクラビングのしきい値の設定」をご参照ください。
ご利用の通常サービストラフィック(bps 単位)がブラックホールしきい値を超える場合は、速やかにリソースの仕様アップを実施してください。さもないと、トラフィックが異常と判定され、ブラックホールがトリガーされる可能性があります。
リソースの DDoS 対策保護レベルが高いほど、DDoS 攻撃によるブラックホール発生リスクは低減します。したがって、最も効果的な予防策は、リソースの DDoS 対策保護レベルを向上させることであり、これによりブラックホールしきい値も引き上げられます。
リソースのステータス、トラフィック、攻撃元 IP の確認
トラフィックセキュリティコンソール にログインします。
ご利用のリソースのステータスを確認します。
資産 ページの左上隅で、ご利用のパブリック IP リソースが配置されているリージョンを選択し、対応するリソースタブをクリックします。
リソース一覧で、IP ステータス が ブラックホール中 であることを確認します。
リソースのトラフィックおよび攻撃元 IP を確認します。
イベントセンター ページで、ブラックホールまたはトラフィックスクラビングのイベントを確認します。また、詳細の表示 をクリックして、インバウンドトラフィックレート(bps)および 1 秒あたりのパケット数(pps)を確認することもできます。
ページの右上隅で、キャプチャのダウンロード をクリックします。 Wireshark などのツールを使用して、ダウンロードしたパケットキャプチャを開き、攻撃 IP を確認します。
ブラックホールの自動解除時間
デフォルトでは、ブラックホールは 2.5 時間後に自動的に解除されます。ただし、実際の持続時間は、リソースに対する攻撃の頻度に応じて、30 分から最大 24 時間、あるいは稀にそれ以上となる場合があります。以下の要因が主に持続時間に影響を与えます。
攻撃の継続性: 攻撃が継続した場合、その持続時間は延長されます。削除タイマーは拡張の時点から再開します。
攻撃の頻度:リソースに対して初めて発生した攻撃の場合、ブラックホール期間は自動的に短縮されます。一方、頻繁に攻撃を受けるリソースについては、高リスク標的とみなされ、期間が延長されます。
頻繁にブラックホール状態となるリソースについては、Alibaba Cloud がブラックホール期間の延長およびブラックホールしきい値の引き下げを行う権利を有します。実際の解除時間は、セキュリティイベント通知に明記されます。
ブラックホールの解除方法
ブラックホール期間中、Alibaba Cloud は DDoS 攻撃を継続的に監視しています。攻撃が収束すると、ブラックホールは自動的に解除され、リソースへのインターネットアクセスが復旧します。ただし、ブラックホール状態中のサービスを緊急で復旧させる必要がある場合は、商用 DDoS 対策プロダクトを購入することで、ブラックホールを手動で解除できます。
商用 DDoS 対策プロダクト未導入の場合
手動での解除はサポートされていません。ブラックホール期間の満了を待って、自動的にサービスが復旧するのをお待ちください。サービスの緊急復旧またはサーバー上のファイルへのアクセスが必要な場合は、「ECS インスタンスがブラックホール状態になった後のサービス迅速復旧方法」をご参照ください。
ECS、EIP、SLB、Simple Application Server などのリソースで、攻撃を受けているパブリック IP を頻繁に変更または解放すると、他のテナントに悪影響を及ぼす可能性があり、プラットフォームレベルでの制限につながる場合があります。
リソースのパブリック IP を変更したり、サービスを新しいサーバーに移行したりしても、ドメイン名に対する PING などにより攻撃者が新たな IP を特定できる場合があります。根本原因の解決には、Anti-DDoS Native または Anti-DDoS Proxy の導入が必要です。
商用 DDoS 対策プロダクト導入済みの場合
ブラックホールの自動解除を待つことも、手動で解除することも可能です。ただし、手動解除は DDoS 攻撃そのものに対する防御ではなく、防御策の展開に必要な猶予時間を確保するための措置です。手動でブラックホールを解除した後も DDoS 攻撃が継続している場合、再度ブラックホール状態になる可能性があります。
DDoS 対策プロダクト | 手動解除方法 | 説明 |
Anti-DDoS Native |
| 月間の手動解除回数には上限がありますが、通常はご契約プランで保護対象となる IP 数以上となります。 |
Anti-DDoS Proxy (中国本土) |
|
|
Anti-DDoS Proxy (中国本土以外) | 手動解除は不要です。 | 中国本土向けの Anti-DDoS Proxy インスタンスは固定帯域幅ですが、中国本土以外向けの Anti-DDoS Proxy インスタンスは高度かつ弾力的な保護を提供し、上限はありません。そのため、通常は手動解除の必要がありません。 |
DDoS 対策プロダクトの選定方法
Anti-DDoS Native:Alibaba Cloud リソースの DDoS 対策能力を直接強化するセキュリティプロダクトです。導入が容易で、ネットワークアーキテクチャの変更を必要としません。レイヤー 4 ポートおよびレイヤー 7 ドメインの数に制限はありません。保護を有効化するには、クラウドリソースの IP を Anti-DDoS Native インスタンスに関連付けます。
Anti-DDoS Proxy:Alibaba Cloud が提供するプロキシ型 DDoS 対策サービスで、ボリューム型およびリソース枯渇型の両方の DDoS 攻撃に対応します。Alibaba Cloud 上、オンプレミス、または他社クラウド上でホストされているサーバーを保護できます。Anti-DDoS Proxy との統合後、DNS 解像度を用いて攻撃トラフィックをスクラビングセンターに転送し、スクラビングセンターはクリーンなトラフィックのみをオリジンサーバーへ転送します。
選定に関する詳細ガイドおよび請求情報については、「DDoS 対策プロダクトの選定」、「Anti-DDoS Native の課金」および「Anti-DDoS Proxy の課金」をご参照ください。