Alibaba Cloud アセットで大量の DDoS 攻撃が発生し、DDoS 攻撃の量がアセットに提供される軽減機能を超えた場合、ブラックホールフィルタリングがトリガーされ、アセット宛てのすべてのインターネットトラフィックが一時的にブロックされます。これは、後続の攻撃からアセットを保護し、他のアセットがアセットによって悪影響を受けるのを防ぐのに役立ちます。このトピックでは、ブラックホールフィルタリングを防止および処理する方法について説明します。
Anti-DDoS Basic によって提供される基本的な軽減機能
Anti-DDoS Basic は、パブリック IP アドレスが割り当てられている一部の Alibaba Cloud アセットに対して、DDoS 攻撃から 500 Mbit/s から 5 Gbit/s までの基本的な軽減機能を無料で提供します。この機能は無料で提供されます。以下のセクションでは、パブリック IP アドレスが割り当てられている Alibaba Cloud アセットをアセットと呼びます。基本的な軽減機能は、アセットのリージョンと仕様によって異なります。詳細については、「Anti-DDoS Basic でブラックホールフィルタリングをトリガーするしきい値を表示する」および「トラフィッククリーニングしきい値を設定する」をご参照ください。
アセットのサービストラフィックがブラックホールフィルタリングしきい値を超えた場合は、できるだけ早くアセットをスペックアップすることをお勧めします。できるだけ早くアセットをスペックアップしないと、アセットのサービストラフィックが異常トラフィックとして識別され、ブラックホールフィルタリングがトリガーされる可能性があります。
軽減機能が高いほど、ブラックホールフィルタリングの可能性は低くなります。ブラックホールフィルタリングがトリガーされないようにするには、アセットの軽減機能(ブラックホールフィルタリングしきい値)を上げる必要があります。
アセットのステータス、トラフィック、および攻撃 IP の表示
流量安全コンソール にログインします。
アセットステータスの表示
資産 ページの左上隅で、アセットが存在するリージョンを選択し、対応するタブをクリックします。
アセットリストで、アセットの IP ステータス 列に [ブラックホール中] と表示されているかどうかを確認します。
アセットトラフィックと攻撃 IP の表示
イベントセンター ページで、アセットのブラックホールフィルタリングまたはトラフィックスクラブイベントを表示します。[詳細の表示] をクリックして、インバウンドトラフィックを bit/s および packet per second (pps) で表示することもできます。
ページの右上隅にある [ダウンロード] をクリックし、Wireshark などのツールを使用してダウンロードしたパケットを開き、攻撃 IP を表示します。
ブラックホールフィルタリングが自動的に解除される時間の推定
デフォルトでは、Alibaba Cloud は DDoS 攻撃が停止してから 2.5 時間後にブラックホールフィルタリングを自動的に解除します。実際のシナリオでは、Alibaba Cloud は DDoS 攻撃が停止してから 30 分から 24 時間後にブラックホールフィルタリングを自動的に解除します。期間は、アセットが攻撃される頻度によって異なります。まれに、期間が 24 時間を超える場合があります。ブラックホールフィルタリングの期間は、次の要因に基づいて変化します。
攻撃の期間。攻撃が長時間続くと、ブラックホールフィルタリングの期間が延長されます。
攻撃の頻度。アセットが初めて攻撃を受けた場合、ブラックホールフィルタリングの期間は自動的に短縮されます。アセットが頻繁に攻撃を受けた場合、アセットは継続的な攻撃を受ける可能性が高く、ブラックホールフィルタリングの期間は自動的に延長されます。
アセットに対してブラックホールフィルタリングが頻繁にトリガーされる場合、Alibaba Cloud はブラックホールフィルタリングの期間をさらに延長し、アセットのブラックホールフィルタリングをトリガーするしきい値を下げる権利を留保します。ブラックホールフィルタリングの実際の期間としきい値は、コンソールで確認できます。
アセットが最後に攻撃された時間を表示します。
流量安全コンソール にログインします。 [イベントセンター] ページで、管理するアセットを見つけ、アセットが最後に攻撃された時間を表示します。
説明アセットが複数の DDoS 攻撃を受けた場合、ブラックホールフィルタリングの期間は最後の DDoS 攻撃が停止した後に計算されます。
ブラックホールフィルタリングの期間を表示します。
[アセット] ページで、アセットのブラックホールフィルタリングの期間を表示します。
ブラックホールフィルタリングが自動的に解除される時間を推定します。
たとえば、アセットが 12:30 に攻撃され、ブラックホールフィルタリングの期間が 150 分であるとします。この場合、ブラックホールフィルタリングは 15:00 に解除される予定です。
説明推定時間はあくまでも参考です。アセットが継続的な DDoS 攻撃を受けた場合、ブラックホールフィルタリングの期間が長くなる可能性があります。
ブラックホールフィルタリングを解除する方法
ブラックホールフィルタリング中、Alibaba Cloud は DDoS 攻撃のステータスを継続的に監視します。DDoS 攻撃が一定期間停止した後、Alibaba Cloud はアセットのブラックホールフィルタリングを自動的に解除します。その後、アセットにはインターネット経由でアクセスできるようになります。ブラックホールフィルタリング中にサービスを復元する場合、有料エディションの Anti-DDoS インスタンスによって保護されているアセットのブラックホールフィルタリングを手動で解除できます。
有料エディションの Anti-DDoS インスタンスが購入されていない場合
アセットのブラックホールフィルタリングを手動で解除することはできません。ブラックホールフィルタリング中にサービスを復元したり、サーバーにログインしてファイルを取得したりする場合は、「ブラックホールフィルタリングがトリガーされた ECS インスタンスのワークロードを復元する」に記載されている手順を参照してください。
Elastic Compute Service (ECS) インスタンス、Server Load Balancer (SLB) インスタンス、シンプルアプリケーションサーバー、エラスティック IP アドレス (EIP) などのアセットのパブリック IP アドレスを変更したり、アセットを頻繁にリリースしたりすると、クラウドテナント全体に影響が及ぼし、制限がトリガーされる可能性があります。
アセットのパブリック IP アドレスを変更したり、サーバーを変更したりした後も、攻撃者はドメイン名を ping することで新しい IP アドレスを取得し、再び攻撃を開始する可能性があります。前述の問題を解決するには、Anti-DDoS Origin または Anti-DDoS Proxy を購入することをお勧めします。
有料エディションの Anti-DDoS インスタンスが購入されている場合
ブラックホールフィルタリングの期間が経過した後に Alibaba Cloud が自動的にブラックホールフィルタリングを解除するのを待つか、手動でブラックホールフィルタリングを解除できます。ブラックホールフィルタリングを手動で解除する場合は、特定の期間内に軽減計画をデプロイできます。ただし、DDoS 攻撃は軽減できません。ブラックホールフィルタリングを手動で解除した後、DDoS 攻撃が停止しない場合、ブラックホールフィルタリングが再びトリガーされる可能性があります。
有料エディションの Anti-DDoS インスタンス | ブラックホールフィルタリングを手動で解除する方法 | 説明 |
Anti-DDoS Origin |
| Anti-DDoS Origin インスタンスによって保護されているアセットのブラックホールフィルタリングを、1 か月あたり特定の回数解除できます。回数は、インスタンスで保護できる IP アドレスの数以上です。 |
Anti-DDoS Proxy (中国本土) |
|
|
Anti-DDoS Proxy (中国本土以外) | ブラックホールフィルタリングを手動で解除する必要はありません。 | 保護帯域幅が固定されている Anti-DDoS Proxy (中国本土) インスタンスとは異なり、Anti-DDoS Proxy (中国本土以外) インスタンスは、利用可能なすべての機能を使用して DDoS 攻撃を軽減します。 Anti-DDoS Proxy (中国本土以外) インスタンスのブラックホールフィルタリングを手動で解除する必要はありません。 |
Anti-DDoS サービスの選択方法
Anti-DDoS Origin: Anti-DDoS Origin は、Alibaba Cloud サービスのリソースに対する DDoS 攻撃に対する軽減機能を強化するセキュリティサービスです。Anti-DDoS Origin はリソースを直接保護します。保護するリソースの IP アドレスを変更したり、レイヤー 4 ポートまたはレイヤー 7 ドメイン名の数に制限を考慮したりする必要はありません。保護のために、アセットの IP アドレスを Anti-DDoS Origin インスタンスに追加するだけで済みます。
Anti-DDoS Proxy: Anti-DDoS Proxy は、Alibaba Cloud によって提供されるプロキシベースのサービスであり、大量の DDoS 攻撃やリソース枯渇 DDoS 攻撃を軽減します。Anti-DDoS Proxy は、Alibaba Cloud、サードパーティクラウド、およびデータセンターにデプロイされているサーバーを保護できます。Anti-DDoS Proxy に追加されたサービスに対して大量の DDoS 攻撃が開始された場合、Anti-DDoS Proxy は DNS 解像度を使用してトラフィックを Anti-DDoS スクラブセンターに転送してスクラブを行い、サービストラフィックのみをオリジンサーバーに転送します。
選択手順と課金については、「シナリオ固有の Anti-DDoS ソリューション」、「Anti-DDoS Origin の課金説明」、および「Anti-DDoS Proxy の課金説明」をご参照ください。