DDoS 攻撃は、システムを標的として、ユーザーがサービスを利用できないようにする悪意のあるネットワーク攻撃です。デフォルトでは、Alibaba Cloud は、Global Accelerator インスタンスのアクセラレーション IP アドレスとエンドポイントグループのパブリック IP アドレスに対して、Anti-DDoS Basic を無料で有効にします。この機能は、悪意のある攻撃を効果的に防ぎ、Global Accelerator インスタンスのセキュリティと DDoS 緩和機能を向上させます。
Anti-DDoS Basic の仕組み
緩和機能
Anti-DDoS Basic は、Global Accelerator インスタンスのアクセラレーション IP アドレスとエンドポイントグループのパブリック IP アドレスをデフォルトで保護します。Anti-DDoS Basic は、最大 5 Gbps の基本的な DDoS 緩和機能を提供します。無料の最大緩和機能は、リージョンによって異なります。
各リージョンの Anti-DDoS Basic でブラックホールフィルタリングをトリガーするデフォルトのしきい値の詳細については、「Anti-DDoS Basic でブラックホールフィルタリングをトリガーするしきい値」をご参照ください。
Global Accelerator インスタンスの実際のブラックホールトリガーしきい値は、リージョンと帯域幅の構成によって異なります。[アセット] ページに表示される値が優先されます。
仕組み
インターネットからのすべてのトラフィックは、Global Accelerator インスタンスに到達する前に DDoS 対策ネットワークを通過する必要があります。DDoS 対策ネットワークは、Global Accelerator インスタンスに入るトラフィックをリアルタイムでモニターします。DDoS 攻撃などの大量のトラフィックや異常トラフィックが検出されると、Anti-DDoS Basic は、通常のサービスを中断することなく、疑わしいトラフィックを元のネットワークパスからクリーニングデバイスにリダイレクトします。デバイスは悪意のあるトラフィックを識別して削除し、正当なトラフィックを宛先の Global Accelerator インスタンスに転送します。このプロセスはトラフィッククリーニングと呼ばれます。
インターネットからのトラフィックが DDoS 緩和機能を超えた場合、トラフィックはブラックホールにルーティングされ、クラスター全体が保護されます。この場合、すべてのインバウンドトラフィックがブロックされます。詳細については、「Alibaba Cloud ブラックホールフィルタリングポリシー」をご参照ください。
トラフィッククリーニングは、次の条件でトリガーされます。
トラフィックが攻撃トラフィックモデルの特徴と一致する場合、トラフィッククリーニングがトリガーされます。
Anti-DDoS Basic は、Global Accelerator インスタンスのアクセラレーション IP アドレスとエンドポイントグループのパブリック IP アドレスの帯域幅に基づいて、クリーニングしきい値を自動的に設定します。トラフィック量がこのしきい値に達すると、トラフィックが通常のサービストラフィックであるかどうかに関係なく、トラフィッククリーニングが開始されます。
トラフィッククリーニングのメソッドには、攻撃メッセージのフィルタリング、トラフィック速度の制限、パケット速度の制限などがあります。Anti-DDoS Basic は、次のクリーニングしきい値を使用します。
BPS クリーニングしきい値: インバウンドトラフィックが BPS クリーニングしきい値を超えると、トラフィッククリーニングがトリガーされます。
PPS クリーニングしきい値: インバウンドデータパケットの数が PPS クリーニングしきい値を超えると、トラフィッククリーニングがトリガーされます。
クリーニングしきい値
Global Accelerator インスタンスのエンドポイントグループのアクセラレーション IP アドレスとパブリック IP アドレスのクリーニングしきい値は、次の表に示すように計算されます。
表 1. 最大 BPS クリーニングしきい値
IP 帯域幅 (単位: Mbps) | 最大 BPS クリーニングしきい値 (単位: Mbps) |
≤300 | 450 |
>300 | アクセラレーション IP アドレスの帯域幅 × 1.5 |
表 2. 最大 PPS クリーニングしきい値
IP 帯域幅 (単位: Mbps) | 最大 PPS クリーニングしきい値 (単位: pps) |
≤100 | 100,000 |
>100 | アクセラレーション IP アドレスの帯域幅 × 1,000 |
IP 帯域幅は次のように計算されます。
アクセラレーション IP アドレスの IP 帯域幅: 加速エリアに割り当てられた帯域幅の値。
エンドポイントグループのパブリック IP アドレスの帯域幅は、Global Accelerator インスタンスの課金方法と帯域幅課金方法によって異なります。
課金方法
帯域幅課金方法
IP 帯域幅
サブスクリプション
帯域幅課金 (基本帯域幅プランにバインド)
エンドポイントグループのパブリック IP アドレスの帯域幅 = 基本帯域幅プランのピーク帯域幅
従量課金
データ転送量課金 (CDT による統一決済)
1200 Mbps
たとえば、標準の Global Accelerator インスタンスの場合、アクセラレーション IP アドレスの加速エリアに割り当てられた帯域幅が 100 Mbps で、関連付けられた基本帯域幅プランのピーク帯域幅が 200 Mbps であるとします。この場合:
アクセラレーション IP アドレスの緩和しきい値: 最大 BPS クリーニングしきい値は 450 Mbps、最大 PPS クリーニングしきい値は 100,000 です。
エンドポイントグループのパブリック IP アドレスの緩和しきい値: 最大 BPS クリーニングしきい値は 450 Mbps、最大 PPS クリーニングしきい値は 200,000 です。
Global Accelerator インスタンスの緩和しきい値の表示
Global Accelerator コンソールにログインします。
インスタンス ページで、インスタンス ID をクリックします。
説明基本 Global Accelerator インスタンスの緩和しきい値を表示するには、Global Accelerator コンソールの左側のナビゲーションウィンドウで [基本インスタンス] を選択して、基本 Global Accelerator インスタンスリストページを開きます。
Global Accelerator インスタンスのアクセラレーション IP アドレスまたはエンドポイントグループのパブリック IP アドレスの緩和しきい値を表示するかどうかを選択します。
説明DDoS 対策アイコンは、ステータスを示すために色分けされており、[正常]、[クリーニング中]、または [ブラックホール作動中] のいずれかになります。ツールチップで詳細を表示できます。
アクセラレーション IP アドレスの緩和しきい値の表示
インスタンス詳細ページで、アクセラレーションエリア タブをクリックし、宛先のアクセラレーション IP アドレスを見つけ、高速化 IP アドレス または [セキュリティ保護] 列の DDoS 対策アイコンにカーソルを合わせます。表示されるツールチップで、BPS クリーニングしきい値、PPS クリーニングしきい値、およびブラックホールトリガーしきい値を表示できます。
エンドポイントグループのパブリック IP アドレスの緩和しきい値の表示
エンドポイントグループのパブリック IP アドレスの緩和しきい値は、標準の Global Accelerator インスタンスにのみ適用されます。
インスタンス詳細ページで、リスナー タブをクリックし、エンドポイントグループの宛先パブリック IP アドレスに関連付けられているリスナー ID をクリックします。
リスナー詳細ページで、エンドポイントグループ タブをクリックします。ターゲットエンドポイントグループのパブリック IP アドレスを見つけ、DDoS 対策アイコンにカーソルを合わせます。表示されるツールチップには、パブリック IP アドレスの BPS クリーニングしきい値、PPS クリーニングしきい値、およびブラックホールトリガーしきい値が表示されます。
関連操作
クリーニングしきい値の設定: デフォルトでは、Global Accelerator は、IP 帯域幅の最大しきい値に基づいて Anti-DDoS Basic 保護を適用します。ただし、一部の IP 帯域幅の最大 BPS クリーニングしきい値は、最適な保護を提供するには高すぎる場合があります。したがって、クリーニングしきい値を調整する必要がある場合があります。詳細については、「クリーニングしきい値の設定」をご参照ください。
他の DDoS 対策サービスの購入: Anti-DDoS Basic は、基本的なセキュリティ保護のみを提供します。より高いレベルのセキュリティ保護が必要な場合は、GA を Anti-DDoS Origin または Anti-DDoS Pro/Premium に接続できます。