ECS ブラックホールイベント発生後のビジネスの迅速な復旧方法 -

ECS インスタンスがブラックホールフィルタリング対象となった場合、Alibaba Cloud はそのパブリック IP アドレスに対するすべてのインバウンドトラフィックを破棄するため、当該インスタンスはパブリックインターネットから到達不能になります。サービスを復旧するには、ECS インスタンスのパブリック IP アドレスを変更するか、ワークロードを別の ECS インスタンスに移行します。ビジネス要件によって待機が可能な場合は、まずブラックホールフィルタリングが自動的に解除される時刻を推定してください。

重要

ECS インスタンスのパブリック IP アドレスを変更したり、別のサーバーに切り替えたりしても、攻撃者は停止しません。攻撃者はドメイン名を解決して新しい IP アドレスを特定し、再度攻撃を仕掛ける可能性があります。根本原因に対処するには、Anti-DDoS Origin または Anti-DDoS Pro をご購入ください。

ブラックホールフィルタリングの自動解除時刻の推定

Anti-DDoS Origin および Anti-DDoS Pro をいずれもご購入されていない場合、ブラックホールフィルタリングの有効期限が切れるまで待機する必要があります。一方、これらの製品のいずれかをご購入済みで、ワークロードが保護されている場合は、待機することなく手動でブラックホールフィルタリングを解除できます。手順については、「ブラックホールの解除」および「ブラックホールフィルタリングの自動解除機能の設定」をご参照ください。

ECS インスタンスに対する直近の攻撃時刻を確認します。

トラフィックセキュリティコンソールにログインし、イベントセンター ページに移動します。ECS インスタンスのパブリック IP アドレスを特定し、詳細を見る をクリックして、直近の攻撃時刻を確認します。

説明
対象リソースが複数回攻撃を受けている場合、ブラックホールフィルタリングの自動解除時刻は、直近の DDoS 攻撃終了時刻から算出されます。
現在のブラックホールフィルタリングの自動解除時刻を確認します。

資産ページで、現在のブラックホールフィルタリングの自動解除時刻を確認します。ブラックホールフィルタリングの総持続時間はデフォルトで 2.5 時間ですが、攻撃頻度に応じて変動します — 通常は 30 分～24 時間程度ですが、それより長くなる場合もあります。
ブラックホールフィルタリングの自動解除時刻を推定します。

たとえば、直近の攻撃が 12:30 に発生し、現在のブラックホールフィルタリングの自動解除時間が 150 分（2 時間 30 分）である場合、ブラックホールフィルタリングは約 15:00 に解除されます。

説明
これはあくまで推定値です。パブリック IP アドレスに対して引き続き DDoS 攻撃が行われている場合、自動解除時刻が延長される可能性があります。

ブラックホールフィルタリングの有効期限が切れた時点で、自動的に解除されます。ビジネス要件が時間に厳しい場合は、以下のいずれかのオプションを用いて、即座にサービスを復旧してください。

重要

ECS インスタンスのパブリック IP アドレスを変更した場合やサーバーを切り替えた場合、DNS レコード、データベース接続文字列など、旧 IP アドレスを参照するすべての設定を更新してください。

オプション 1：ECS インスタンスのパブリック IP アドレスを変更

重要

攻撃中である ECS インスタンスに対して、パブリック IP アドレスを繰り返し変更すると、Alibaba Cloud プラットフォームにリスクが及ぶ可能性があります。この場合、Alibaba Cloud はアカウントレベルの制限（例：新規インスタンスの購入禁止）を課すことがあります。

EIP の変更

（任意）新しい EIP を申請します。

詳細については、「EIP の申請」をご参照ください。
現在の EIP を ECS インスタンスから関連付けを解除します。

詳細については、「クラウドリソースからの EIP の関連付け解除」をご参照ください。
重要
- 従量課金 EIP をクラウドリソースから関連付け解除した後も、EIP 構成料金が継続して課金されます。不要な課金を回避するには、EIP をリリースしてください。
  - EIP 構成料金の詳細については、「従量課金」をご参照ください。
  - 従量課金 EIP のリリース方法については、「従量課金 EIP のリリース」をご参照ください。
- EIP をクラウドリソースから関連付け解除した後、サブスクリプション EIP を今後使用しない場合は、登録を解除できます。詳細については、「」および「リソースの登録解除ルール」をご参照ください。
新しい EIP を ECS インスタンスに関連付けます。

詳細については、「ECS インスタンスへの EIP の関連付け」をご参照ください。

固定パブリック IP アドレスの変更

作成後 6 時間未満のインスタンス
1. ECS コンソールにログインします。左側ナビゲーションウィンドウで、インスタンス をクリックします。
2. ECS インスタンスの操作列で、 > ネットワークとセキュリティグループ > パブリック IP アドレスの変更 を選択します。
作成後 6 時間以上のインスタンス
1. インスタンスが固定帯域幅課金方式のサブスクリプションインスタンスである場合、まず課金方法をトラフィック課金に変更します。
  
  手順については、「固定帯域幅からトラフィック課金への変更」をご参照ください。
2. VPC 内の ECS インスタンスの固定パブリック IP アドレスを Elastic IP Address（EIP）に変換します。
  
  手順については、「VPC 型 ECS インスタンスの固定パブリック IP アドレスを EIP への変換」をご参照ください。
3. EIP を ECS インスタンスから関連付けを解除します。
  
  手順については、「クラウドリソースからの EIP の関連付け解除」をご参照ください。
  
  __
  
  重要
  - 従量課金 EIP を関連付け解除した後も、EIP 構成料金が継続して課金されます。EIP を今後使用しない場合は、リリースしてください。
    - EIP 構成料金の詳細については、「従量課金」をご参照ください。
    - 従量課金 EIP をリリースするには、「従量課金 EIP のリリース」をご参照ください。
  - サブスクリプション EIP を関連付け解除した後、今後使用しない場合は、直接登録を解除できます。詳細については、「登録解除ルール」をご参照ください。
4. ECS インスタンスのパブリック帯域幅を 1 Mbps より大きい値に調整し、新しい固定パブリック IP アドレスを割り当てます。
  
  手順については、「サブスクリプションインスタンスの帯域幅の変更」または「従量課金インスタンスの帯域幅の変更」をご参照ください。

オプション 2：カスタムイメージから同一構成の ECS インスタンスを作成し、ワークロードを切り替える

ブラックホール状態の ECS インスタンスからカスタムイメージを作成します。手順については、「カスタムイメージの作成」をご参照ください。

説明
運用中のベストプラクティスとして、ECS インスタンスの定期的なスナップショット取得を推奨します。サービスを迅速に復旧する必要がある場合、スナップショットからカスタムイメージを作成します。手順については、「自動スナップショットポリシーの作成」および「スナップショットからのカスタムイメージの作成」をご参照ください。
カスタムイメージを使用して、同一構成の新しい ECS インスタンスを作成します。手順については、「カスタムイメージまたは共有イメージからの ECS インスタンスの作成」をご参照ください。

オプション 3：Server Migration Center を使用して移行し、ワークロードを新しいインスタンスに切り替える

Server Migration Center (SMC) を使用して、ブラックホール状態の ECS インスタンスをカスタムイメージに移行し、そのイメージから新しい ECS インスタンスを作成します。

ブラックホール状態の ECS インスタンスを SMC の移行元として追加します。手順については、「ステップ 1：移行元の情報をインポート」をご参照ください。
システム構成および業務データをカスタムイメージにパッケージ化する移行ジョブを作成します。手順については、「ステップ 2：移行タスクの作成と開始」をご参照ください。
カスタムイメージを使用して、同一構成の新しい ECS インスタンスを作成します。手順については、「カスタムイメージまたは共有イメージからの ECS インスタンスの作成」をご参照ください。

オプション 4：ブラックホール状態の ECS インスタンスに接続してデータを移行

ブラックホール状態の ECS インスタンスはパブリックインターネット経由では到達できませんが、Workbench、セッション管理、VNC、または同一 VPC 内の他の ECS インスタンスを介して接続できる場合があります。

Workbench、セッション管理、または VNC を使用した接続手順については、「インスタンスへの接続」をご参照ください。以下では、同一 VPC 内の別の ECS インスタンスを用いた接続方法について説明します。

前提条件

接続元となる ECS インスタンスは、ブラックホール状態のインスタンスと同じリージョン、VPC、およびセキュリティグループに属している必要があります。また、ネットワーク接続が確立されていることを確認してください。セキュリティグループの詳細については、「セキュリティグループの概要」をご参照ください。

操作手順

正常な ECS インスタンスのプライベート IP アドレスまたはパブリック IP アドレスを使用してログインします。

正常な ECS インスタンスから、ブラックホール状態のインスタンスのプライベート IP アドレスまたはパブリック IP アドレスを使用して接続します。

以下の表に、一般的な接続方法を示します。

ブラックホール状態の ECS インスタンスの OS	正常な ECS インスタンスの OS	接続方法	リファレンス
Windows	Windows	Remote Desktop Connection（MSTSC）を使用して接続します。	Remote Desktop または Windows アプリを使用した Windows インスタンスへの接続
Windows	Linux	rdesktop を使用して接続します。	Remote Desktop または Windows アプリを使用した Windows インスタンスへの接続
Linux	Windows	PuTTY を使用して接続します。	OpenSSH または Xshell を使用した Linux インスタンスへの接続ユーザー名とパスワードを使用した Linux インスタンスへの接続
Linux	Linux	SSH を使用して接続します。 `ssh root@<固定パブリック IP アドレスまたは EIP>`

ファイルを正常な ECS インスタンスに転送します。

参照

Alibaba Cloud のブラックホールポリシーの詳細については、「Alibaba Cloud ブラックホールポリシー」をご参照ください。
ECS およびその他のクラウド製品におけるブラックホールしきい値については、「Anti-DDoS Basic におけるブラックホールフィルタリングのトリガーしきい値の確認」をご参照ください。
DDoS 対策製品の概要については、「Anti-DDoS Origin とは」および「Anti-DDoS Proxy とは」をご参照ください。