Cloud Firewall:異常なインターネット境界トラフィックのトラブルシューティング

インターネット境界トラフィックの計算

Cloud Firewall がインターネット境界でトラフィックを処理する場合、インバウンドトラフィックとアウトバウンドトラフィックのピーク帯域幅値のうち、大きい方を使用します。総インバウンドトラフィック帯域幅と総アウトバウンドトラフィック帯域幅の計算式は次のとおりです。

• インバウンドトラフィック帯域幅 = インターネットへの露出リクエストトラフィック帯域幅 + インターネットへの露出応答トラフィック帯域幅

• アウトバウンドトラフィック帯域幅 = アウトバウンド接続リクエストトラフィック帯域幅 + アウトバウンド接続応答トラフィック帯域幅

Cloud Firewall は、一定期間にわたって集計されたデータを使用してピーク帯域幅を計算します。任意の時点での総帯域幅は、そのリクエストトラフィックと応答トラフィックの合計です。ただし、リクエストトラフィックの個別のピークと応答トラフィックのピークは、その期間内の異なる時間に発生する可能性があります。したがって、特定の時点での総ピーク帯域幅は、リクエストトラフィックと応答トラフィックの個別のピーク値の合計以下になります。

異常トラフィックのトラブルシューティング時期

ビジネス上のトラフィックに異常なピークや谷が観測された場合は、特定のアセット IP アドレスを特定し、詳細なアクセスパターンを把握する必要があります。たとえば、トラフィックが購入した保護帯域幅を超過した場合、超過の原因となっているアセット IP アドレスを特定する必要があります。

操作手順

ステップ 1: 異常トラフィックの方向の特定

1. Cloud Firewall コンソールにログインします。Cloud Firewall コンソール。左側のナビゲーションウィンドウで、Overview をクリックします。

2. Overview ページで、トラフィックトレンドを確認し、アウトバウンドまたはインバウンドのトラフィックで異常なピーク帯域幅が発生した時点を特定します。

   次の図は、10 月 10 日 15:00 のアウトバウンドトラフィックとインバウンドトラフィックの両方のピーク値が保護帯域幅を超過していることを示しています。

   説明

   トラフィックが保護帯域幅を超過した場合、トレンドチャートにはこの制限が表示され、超過量を視覚化するのに役立ちます。

   

ステップ 2: 異常な IP アドレスの特定

以下の手順では、インバウンドトラフィックを例として使用します。アウトバウンドトラフィックの調査手順も同様です。唯一の違いはトレンドチャートの表示場所であり、インバウンドトラフィックの場合、トラフィック分析 > パブリックネットワークの公開 > Traffic Analytics タブで表示します。アウトバウンドトラフィックの場合、トラフィック分析 > アクティブなアウトバウンド接続 > Traffic Analytics タブで表示します。

1. Overview ページの Traffic Trend セクションで、インバウンドトラフィックのピーク値をクリックすると、トラフィック分析 > パブリックネットワークの公開 > Traffic Analytics タブに移動します。10 月 10 日 15:00 のインバウンドトラフィックのピーク帯域幅を確認できます。

2. パブリック IP アドレスリストで、その時点でのアカウント内のすべてのアセットのソートされた総トラフィックを表示します。リスト内の順位によって異常なアセットを特定します。

   重要

   より正確な分単位のトラフィックデータについては、時間範囲を過去 24 時間に設定してください。

   次の図に示すように、IP アドレス 182.92.XX.XX を持つアセットは、10 月 10 日 15:00 の総トラフィックが他のアセットよりも著しく高かったため、異常トラフィックの発生源として特定されます。

   

3. 異常なアセットのトラフィックデータをさらに調査するには、その IP アドレスをクリックします。右側のトレンドチャートには、このアセットのリクエストおよび応答 (インバウンドおよびアウトバウンド) トラフィックデータが表示されます。

   

ステップ 3: トラフィックの正当性の確認

1. パブリック IP アドレスリストで、詳細 > View Logs を選択します。レスポンス検出 > ログ監査 > トラフィックログ > インターネット境界 タブで、トラフィックログをクエリします。インバウンドトラフィックを調査しているため、宛先 IP アドレスとして 182.92.XX.XX を使用し、時間を 10 月 10 日の 15:00 に設定します。

2. ログクエリの結果に基づいて、Source IP Address、送信元ポート、およびDestination Port を確認し、トラフィックが正当であるかどうかを判断します。

   

3. 調査結果に基づいて、さらにアクションを実行します。

   • Cloud Firewall の保護帯域幅をアップグレードする

     詳細については、「更新」をご参照ください。

   • サービスデプロイを最適化する

     たとえば、サービスが Alibaba Cloud OSS または SLS にアクセスする必要がある場合、パブリック帯域幅を節約するために内部エンドポイントを使用します。

   • 保護を必要としない IP アドレスに対して Cloud Firewall を無効にする

     詳細については、「インターネット境界ファイアウォールの無効化」をご参照ください。

SQL を使用した異常トラフィックのクエリ

異常なアセットのすべてのトラフィックをすばやくクエリするには、レスポンス検出 > ログ分析 > ログクエリ ページで SQL ステートメントを使用します。

• アウトバウンド接続を介して異常なアセット IP アドレスによってアクセスされたすべての宛先 IP アドレスとポートをクエリし、トラフィックを降順でソートします。

  log_type:internet_log and src_ip:182.92.XX.XX | select dst_ip,dst_port,app_name,sum(in_packet_bytes) as in_B,sum(out_packet_bytes) as out_B,sum(total_packet_bytes) as total_B,array_agg(distinct if(url='', domain, url)) as url group by dst_ip,dst_port,app_name order by total_B desc

  182.92.XX.XX をご利用のアセットの IP アドレスに置き換えてください。

• インターネットへの露出を介して異常なアセット IP アドレスにアクセスするすべての送信元 IP アドレスとポートをクエリし、トラフィックを降順でソートします。

  log_type:internet_log and dst_ip:182.92.XX.XX | select src_ip,dst_port,app_name,sum(in_packet_bytes) as in_B,sum(out_packet_bytes) as out_B,sum(total_packet_bytes) as total_B,array_agg(distinct url) as url group by src_ip,dst_port,app_name order by total_B desc

  182.92.XX.XX をご利用のアセットの IP アドレスに置き換えてください。

関連ドキュメント

• アセットの全体のトラフィック傾向を表示し、総トラフィックが Cloud Firewall の保護帯域幅を超えていないかを確認するには、「データ概要」をご参照ください。

• アセットのインターネットアクセス状況を確認するには、異常なアウトバウンドトラフィックのトレース、アセットがアクセスするインターネット上の送信先、およびパブリックおよびプライベートアセットからのアウトバウンド接続に関するデータを含む、「アウトバウンド接続」をご参照ください。

• インターネットがアセットにアクセスする方法 (異常なインバウンドトラフィックのトレース、公開されたパブリック IP アドレス、オープンポート、およびアプリケーションに関するデータを含む) を表示するには、「インターネットへの露出」をご参照ください。

• インターネット境界でのトラフィックに関する情報 (送信元 IP アドレス、宛先ポート、サポートされているプロトコル、アクションステータス、フローバイト、フローパケットなど) を表示するには、「ログ監査」をご参照ください。

• SQL ステートメントを使用してインターネット境界でのトラフィックの生ログをクエリするには、「ログのクエリと分析」をご参照ください。