すべてのプロダクト
Search

このプロダクト

    Edge Security Acceleration:DDoS 攻撃

    ドキュメントセンター

    Edge Security Acceleration:DDoS 攻撃

    最終更新日:Mar 26, 2026

    ESA は、DDoS 攻撃対策のデータ分析ダッシュボードとネットワーク層/トランスポート層(L3/L4)およびアプリケーション層(L7)の保護機能を統合することで、分散型サービス拒否(DDoS)攻撃から保護します。

    DDoS 攻撃とは

    分散型サービス拒否(DDoS)攻撃は、データの窃取を目的としていません。その目的は、ご利用のリソースを枯渇させ、サービスを機能不全に陥らせることです。DDoS 攻撃は通常、以下の 3 段階で実行されます:

    1. ボットネットの構築: 攻撃者は、ウイルス、トロイの木馬、脆弱性の悪用などの手法を用いて、多数のインターネット接続デバイスに感染・制御を及ぼします。これらの侵害されたデバイスは、コマンド駆動型の巨大なネットワーク(ボットネット)を形成します。

    2. 攻撃コマンドの発行: 攻撃者は、コマンド・アンド・コントロール(C&C)サーバーを介して、すべての侵害されたマシンに攻撃コマンドを送信し、IP アドレスやドメイン名などのターゲットを指定します。

    3. 集中攻撃の開始: 侵害されたマシンは、全世界に分散して配置されているにもかかわらず、受信したコマンドに従って同時に大量のリクエストをご利用のサーバーに送信し、悪意あるトラフィックの洪水を引き起こします。これにより、サービスが圧倒されます。

    攻撃元が世界中に分散しているため、攻撃源の特定およびブロックは極めて困難です。

    DDoS 攻撃の一般的な種類

    DDoS 攻撃は、標的とするネットワーク層に応じて、以下の 2 種類に分類されます:

    • ネットワーク層/トランスポート層(L3/L4)攻撃

      • 仕組み: このタイプの攻撃は、主にネットワークインフラを標的にします。TCP や UDP の偽装パケットを大量に送信し、サーバーの帯域幅や接続テーブルを迅速に枯渇させ、正当なユーザーからのリクエストがサーバーに到達することを妨げます。

      • 代表的な攻撃: SYN Flood、UDP Flood、ACK Flood など。

      • 特徴: 大規模なトラフィック量によるブルートフォース攻撃であり、単純な流量の多さで標的を圧倒することを目的としています。

    • アプリケーション層(L7)攻撃

      • 仕組み: このタイプの攻撃は、正当なユーザーの動作を模倣し、HTTP GET/POST などの一見有効なリクエストを大量に標的アプリケーションに送信します。ネットワークを混雑させる攻撃とは異なり、この手法はサーバーのアプリケーション処理リソース(CPU やメモリなど)を枯渇させることを目的としています。

      • 代表的な攻撃: HTTP Flood(CC 攻撃:Challenge Collapsar)。

      • 特徴: トラフィック量が必ずしも大規模である必要はありませんが、リクエストは複雑で、サーバーのリソースを大幅に消費するよう設計されています。攻撃トラフィックは正当なユーザーのトラフィックと混在しており、識別および緩和が困難です。

    DDoS 攻撃の検出方法

    以下のいずれかの症状が観測される場合、ご利用のサービスが DDoS 攻撃を受けている可能性があります:

    • ウェブサイトまたはアプリケーションが突然アクセス不能になったり、応答が極端に遅くなったりする。

    • ネットワークトラフィックが異常に急増し、通常のピーク業務レベルを大幅に上回る。この変化は、ESA コンソールの データ概要 レポート(サイトの概要 ページ)で確認できます。

    • サーバーの CPU 使用率またはメモリ使用率が急上昇し、長時間にわたり 100% 近くで推移する。

    • ログに大量のリクエストが記録されており、通常はランダムな多数の IP アドレスから発生しています。ESA コンソールの セキュリティ分析 機能(セキュリティ保護 メニュー下)を活用すると、迅速な調査が可能です。

    ESA における DDoS 対策

    カテゴリ

    機能

    説明

    ネットワーク層/トランスポート層(L3/L4)攻撃の緩和

    基本 DDoS 対策

    ESA では、エントラント版、プロ版、プレミアム版プランにおいて、プラットフォームレベルの保護としてデフォルトで基本 DDoS 対策を提供します。これは最大 10 Gbps の DDoS 攻撃に対処可能ですが、保証値ではありません。

    ベストエフォート保護

    エンタープライズ版をご利用の場合、最大 Tbps レベルの追加ベストエフォート保護を購入でき、同時に レイヤー 4 プロキシ サービスも保護できます。

    アプリケーション層(L7)攻撃の緩和

    HTTPS DDoS 攻撃緩和

    HTTP DDoS 攻撃対策 は、Alibaba Cloud の DDoS 対策エンジンが、豊富な過去の攻撃・防御経験に基づいて開発した汎用保護ルールに依拠しています。これらのルールにより、攻撃発生直後にオリジンサーバーに到達する CC 攻撃の数を削減します。

    ディープラーニングと保護

    攻撃発生時に、保護エンジンは攻撃の特徴を継続的に学習し、動的かつより的確な保護ポリシーを自動生成します。このプロセスにより、ブロッキング効果が向上し、通常数分以内に完了します。

    DDoS 攻撃データ分析

    DDoS 攻撃分析

    攻撃詳細分析

    攻撃の詳細 タブでは、検出および緩和された DDoS 攻撃のフォレンジックログを提供します。このログは、時間および攻撃タイプでフィルター処理でき、特定のインシデントの調査に役立ちます。このビューは以下のような用途に有用です:

    保護レベル

    サービスリージョン

    保護レベル

    説明

    中国本土

    保証 30 Gbps、最大 300 Gbps の保護

    30 Gbps までの攻撃に対して保証された保護を提供します。また、最大 300 Gbps まで柔軟に保護帯域幅を設定できます。たとえば、200 Gbps に設定した場合、30 Gbps ~ 200 Gbps の攻撃帯域幅については弾性保護価格で課金されます。設定した弾性保護帯域幅を超える攻撃が発生した場合、ブラックホールがトリガーされ、サイトのサービスが中断されます。

    保証 60 Gbps、最大 600 Gbps の保護

    60 Gbps までの攻撃に対して保証された保護を提供します。また、最大 600 Gbps まで柔軟に保護帯域幅を設定できます。たとえば、500 Gbps に設定した場合、60 Gbps ~ 500 Gbps の攻撃帯域幅については弾性保護価格で課金されます。設定した弾性保護帯域幅を超える攻撃が発生した場合、ブラックホールがトリガーされ、サイトのサービスが中断されます。

    グローバル(中国本土を除く)

    最大 300 Gbps

    300 Gbps までの攻撃を保護します。攻撃が 300 Gbps を超えた場合、ブラックホールがトリガーされ、サイトのサービスが中断されます。

    テラビットレベル Anycast 無制限保護(月 2 回)

    1 Tbps までの攻撃を保護し、月あたり 2 回の保護インスタンスを提供します。攻撃が 1 Tbps を超えた場合、ブラックホールがトリガーされ、サイトのサービスが中断されます。

    説明

    ピークが 20 Gbps を超えるネットワーク層攻撃のみが保護インスタンスを消費します。アプリケーション層の CC 攻撃はインスタンスを消費しません。ネットワーク層攻撃イベントは、完全終了後約 30 分後に 1 回のインスタンス消費としてカウントされ、その後カウンターがリセットされます。

    テラビットレベル Anycast 無制限保護(無制限インスタンス)

    1 Tbps までの攻撃を保護します。1 Tbps の保護上限を超える攻撃が発生した場合、ブラックホールがトリガーされ、サイトのサービスが中断されます。

    説明

    • 攻撃トラフィックが保護しきい値を超え、ブラックホール機構がトリガーされた場合、当該イベントの弾性攻撃帯域幅は課金されません。

      • 例 1:ベストエフォート保護(保証 30 Gbps、最大弾性保護 300 Gbps)を購入した場合、実際の流入攻撃トラフィックが 500 Gbps に達し、ESA が最終的にブラックホールをトリガーした場合、当該イベントにおける 30 Gbps ~ 300 Gbps の弾性保護帯域幅は課金されません。

      • 例 2:ベストエフォート保護(保証帯域幅 60 Gbps、最大弾性保護 600 Gbps)を購入したと仮定します。複数の大規模攻撃が同時発生し、ESA プラットフォームの保護リソースが不足した結果、オンラインサービスへの流入攻撃トラフィックが 500 Gbps に達した時点で、ESA が事前にブラックホールをトリガーした場合、60 Gbps ~ 500 Gbps の間で使用された弾性保護帯域幅は課金されません。

    • 中国本土向けの保護は、グローバル(中国本土を除く)向けの保護と独立しています。たとえば、サイトがグローバルでアクセラレーションされているものの、中国本土向けには最大弾性 600 Gbps のベストエフォート保護のみを購入している場合、中国本土以外のリージョンで攻撃が発生した際、ESA はトラフィックスクラブのために可能な限り中国本土へのリクエストルーティングを行おうとします。ただし、ICP 登録などの問題により、グローバル(中国本土を除く)でアクセラレーションされたサイトに対するクロスリージョン保護は、現時点ではサポートされていません。

    • エラスティック保護の料金については、お問い合わせください。

    プラン別の機能可用性

    機能カテゴリ

    詳細機能

    エントランス (0 USD/月)

    プロ版(15 USD/月)

    プレミアム版(249 USD/月)

    エンタープライズ版(カスタム価格は営業担当へお問い合わせ)

    DDoS

    基本 DDoS 対策

    対応

    対応

    対応

    対応

    無制限保護

    非対応

    非対応

    非対応

    カスタム価格は営業担当へお問い合わせください

    HTTP DDoS 攻撃保護

    非対応

    非対応

    非対応

    対応

    ディープラーニングと保護

    非対応

    非対応

    非対応

    対応

    シナリオベースのポリシー

    非対応

    非対応

    非対応

    対応