Anti-DDoS Origin Basic は、DDoS 攻撃やトラフィックの異常が検出された場合に、Elastic Compute Service (ECS) インスタンスへのインバウンドトラフィックに対してスロットリングまたはトラフィックスクラビングを行う無料のサービスです。
Anti-DDoS Origin Basic は、最大 5 Gbit/s の無料の DDoS 緩和を提供します。実際の緩和容量はインスタンスタイプによって異なります。ECS インスタンスの容量は、トラフィックセキュリティコンソールで確認してください。詳細については、「Security Center とは」および「Anti-DDoS Origin Basic でブラックホールフィルタリングをトリガーするしきい値の表示」をご参照ください。
Anti-DDoS Origin Basic の仕組み
DDoS トラフィックスクラビング
Anti-DDoS Origin Basic が有効化されると、ECS インスタンスへのインバウンドトラフィックはリアルタイムで監視されます。DDoS 攻撃トラフィックなどの不審なトラフィックが検出されると、Anti-DDoS Origin Basic はトラフィックをスクラビングデバイスにリダイレクトします。スクラビングデバイスは悪意のあるトラフィックを削除し、正当なトラフィックを ECS インスタンスに転送して戻します。このプロセスはトラフィックスクラビングと呼ばれます。詳細については、「Anti-DDoS Origin とは」をご参照ください。
ECS インスタンスへのインバウンドインターネットトラフィックが 5 Gbit/s を超えると、Anti-DDoS Origin Basic はブラックホールフィルタリングをトリガーします。インスタンスへのすべてのトラフィックが破棄され、すべてのインターネットアクセスがブロックされることで、クラスター全体のセキュリティが保護されます。詳細については、「Alibaba Cloud ブラックホールポリシー」をご参照ください。
トラフィックスクラビングをトリガーする条件
トラフィックスクラビングは、次のいずれかの条件が満たされるとトリガーされます。
-
トラフィックパターン:インバウンドトラフィックが既知の攻撃パターンに一致する場合。
-
トラフィック量:ECS インスタンスへのインバウンドトラフィックが設定されたしきい値を超えた場合。
トラフィックスクラビングの方法
トラフィックスクラビングの方法には、攻撃パケットのフィルタリング、帯域幅のスロットリング、パケット転送レートのスロットリングなどがあります。次のメトリクスに対して、トラフィックスクラビングのしきい値を設定できます。
-
BPS ベースのスクラビングしきい値:インバウンドトラフィックがこの値を超えるとスクラビングがトリガーされます。
-
PPS ベースのスクラビングしきい値:インバウンドパケット転送レートがこの値を超えるとスクラビングがトリガーされます。
ECS インスタンスのスクラビングしきい値
サポート対象リージョン:中国 (河源)、中国 (広州)、中国 (成都)、中国 (フフホト)、中国 (ウランチャブ)、中国 (香港)、アラブ首長国連邦 (ドバイ)、英国 (ロンドン)、ドイツ (フランクフルト)、フィリピン (マニラ)、マレーシア (クアラルンプール)、インドネシア (ジャカルタ)、日本 (東京)、米国 (バージニア)、米国 (シリコンバレー)、シンガポール。
ECS インスタンスのスクラビングしきい値は、購入したパブリック帯域幅とインスタンスタイプによって異なります。
|
購入したパブリック帯域幅 (Mbit/s) |
BPS ベースの最大スクラビングしきい値 (Mbit/s) |
PPS ベースの最大スクラビングしきい値 (pps) |
|
≤ 300 |
インスタンスタイプの最大帯域幅と 450 のうち、いずれか小さい方。 |
インスタンスタイプの最大パケット転送レートと 100,000 のうち、いずれか小さい方。 |
|
> 300 |
インスタンスタイプの最大帯域幅と、購入した帯域幅 × 1.5 のうち、いずれか小さい方。 |
インスタンスタイプの最大パケット転送レートと、購入した帯域幅 × 1,000 のうち、いずれか小さい方。 |
-
帯域幅とパケット転送レートの値については、インスタンスファミリーの概要の[ネットワーク帯域幅]および[パケット転送レート]の行をご参照ください。
-
インスタンスファミリーの帯域幅メトリクスが利用できない場合、トラフィックセキュリティコンソールに表示されるスクラビングしきい値が優先されます。
-
トラフィックセキュリティコンソールに表示されるブラックホールフィルタリングのしきい値が優先されます。詳細については、「Anti-DDoS Origin Basic でブラックホールフィルタリングをトリガーするしきい値の表示」をご参照ください。
例:購入したパブリック帯域幅が 100 Mbit/s の ecs.g5.16xlarge インスタンスの場合、最大帯域幅は 20,000 Mbit/s、最大パケット転送レートは 4,000,000 です。スクラビングしきい値は次のように計算されます。
|
購入したパブリック帯域幅 (Mbit/s) |
BPS ベースの最大スクラビングしきい値 (Mbit/s) |
PPS ベースの最大スクラビングしきい値 (pps) |
|
100 < 300 |
20,000 と 450 のうち、いずれか小さい方。 結果は 450 です。 |
4,000,000 と 100,000 のうち、いずれか小さい方。 結果は 100,000 です。 |
トラフィックセキュリティコンソールに表示される実際のスクラビングしきい値が優先されます。詳細については、「資産ページの表示」をご参照ください。
関連ドキュメント
Anti-DDoS Origin Basic は、ECS インスタンスではデフォルトで有効化されています。ECS インスタンスを作成した後、次の操作を実行できます。
-
トラフィックスクラビングのしきい値を設定する。デフォルトでは、インスタンスタイプの最大しきい値が使用されます。ビジネス要件に基づいてしきい値を調整してください。
-
(非推奨) トラフィックスクラビングのキャンセル。スクラビングは通常のトラフィックに影響を与える可能性があります。手動で無効にできますが、これは推奨されません。
警告ECS インスタンスのトラフィックスクラビングを無効にした場合、インスタンスへのインバウンドトラフィックが 5 Gbit/s を超えると、すべてのトラフィックがブラックホールにルーティングされます。注意して操作してください。
-
BGP ネットワーク品質、AI ベースの防御、およびより高い緩和容量を備えた強化された DDoS 保護については、「Anti-DDoS Proxy とは?」をご参照ください。
-
詳細については、「ビジネスに適した DDoS 保護の選択」をご参照ください。