Anti-DDoS Origin Basic は、Elastic IP Address (EIP) 向けの無料の組み込み DDoS 対策レイヤーです。デフォルトで有効化されており、最大 5 Gbit/s のボリューム攻撃を吸収でき、構成は不要です。
仕組み
すべてのインバウンドトラフィックは、ご利用の EIP に到達する前に Alibaba Cloud Security を通過します。Alibaba Cloud Security は継続的にトラフィックをクリーニングし、攻撃トラフィックをフィルタリングします。基盤となるテクノロジーの概要については、「Anti-DDoS Origin とは」をご参照ください。
トラフィックのクリーニングは、次の 2 つの要因によってトリガーされます。
トラフィックパターン: トラフィックパターンが既知の攻撃シグネチャと一致する場合、クリーニングは直ちに開始されます。
トラフィック量: Anti-DDoS Origin Basic は、ご利用の EIP 帯域幅に基づいてクリーニングしきい値を自動的に設定します。インバウンドトラフィックがしきい値を超えると、トラフィックが正当なものか悪意のあるものかに関わらず、クリーニングがトリガーされます。
クリーニングには、攻撃パケットフィルタリング、帯域幅調整、パケット調整の 3 つの方法が使用されます。
スクラビングが作動するタイミングは、次の 2 種類のしきい値によってコントロールされます:
BPS ベースのしきい値 (1 秒あたりのビット数): 1 秒あたりのインバウンドトラフィックがこの値を超えると、クリーニングが開始されます。
PPS ベースのしきい値 (1 秒あたりのパケット数): 1 秒あたりのインバウンドパケットがこの値を超えると、クリーニングが開始されます。
クラスターへのインバウンドトラフィックが Anti-DDoS Origin Basic の容量を超えると、トラフィックはブラックホールにルーティングされ、すべてのトラフィックがブロックされます。リージョンごとのデフォルトのブラックホールフィルタリングしきい値については、「Anti-DDoS Origin Basic でブラックホールフィルタリングをトリガーするしきい値を表示する」をご参照ください。
クリーニングしきい値
しきい値は、ご利用の EIP の帯域幅から計算されます。
BPS ベースのクリーニングしきい値
| EIP 帯域幅 | 最大 BPS ベースのしきい値 |
|---|---|
| ≤ 300 Mbit/s | 450 Mbit/s |
| > 300 Mbit/s | EIP 帯域幅 × 1.5 |
PPS ベースのクリーニングしきい値
| EIP 帯域幅 | 最大 PPS ベースのしきい値 |
|---|---|
| ≤ 100 Mbit/s | 100,000 パケット/秒 |
| > 100 Mbit/s | EIP 帯域幅 × 1,000 |
例: 帯域幅 200 Mbit/s の EIP の場合、最大 BPS ベースのしきい値は 450 Mbit/s であり、最大 PPS ベースのしきい値は 200,000 パケット/秒です。
EIP をクラウドリソースに関連付けた後、クリーニングしきい値が更新されます。現在のしきい値は、Anti-DDoS コンソールの [アセット] ページで確認できます。手順については、「アセットページの表示」をご参照ください。
EIP のクリーニングしきい値を表示する
EIP コンソールにログインします。
上部のナビゲーションバーで、EIP が作成されたリージョンを選択します。
[Elastic IP アドレス] ページで、EIP を見つけます。[保護] 列で、[Alibaba Cloud Security] アイコンにポインターを合わせます。ツールチップに、BPS ベースのクリーニングしきい値、PPS ベースのクリーニングしきい値、およびブラックホールフィルタリングしきい値が表示されます。