Web Application Firewall (WAF) インスタンスがDDoS攻撃を受けている場合、そのインスタンスに対してブラックホールフィルタリングがトリガーされる可能性があります。 このトピックでは、ブラックホールフィルタリングがトリガーされた後の影響とソリューションについて説明します。
影響
ブラックホールフィルタリングがトリガーされると、WAFインスタンスにリダイレクトされたすべてのトラフィックが破棄されます。 これには、通常トラフィックと攻撃トラフィックの両方が含まれます。 ブラックホールフィルタリング中、WAFインスタンスに追加されたすべてのドメイン名にアクセスできません。
ブラックホールフィルタリングを無効にし、DDoS攻撃を軽減する方法
DDoS攻撃を軽減する場合は、
ドメイン名を保護するためのAnti-DDoS ProまたはAnti-DDoS Premium。 Anti-DDoS ProまたはAnti-DDoS Premiumを使用してWAFをデプロイしても、WAFに対してブラックホールのフィルタリングがトリガーされている場合は、新しいチケットページアフターチームに連絡します。ブラックホールフィルタリングがトリガーされるWAFに関するFAQ
- WAFインスタンスに対してブラックホールフィルタリングがトリガーされます。 すぐに無効にできますか? いいえ、ブラックホールフィルタリングはトリガー後すぐに無効にすることはできません。 ブラックホールフィルタリングは、Alibaba Cloudがインターネットサービスプロバイダー (ISP) から購入します。 ISPは、ブラックホールフィルタリングを非アクティブ化するための時間および頻度に厳しい制限を有する。 したがって、ブラックホールフィルターを手動で無効にすることはできません。 ブラックホールのフィルタリングが自動的に無効になるまで待つ必要があります。説明 ブラックホールフィルタリングをすぐに無効にすることができたとしても、WAFインスタンスがまだDDoS攻撃を受けている場合は、再びトリガーされます。
- WAFインスタンスに複数のドメイン名が追加されます。 攻撃を受けているドメイン名を確認するにはどうすればよいですか?
攻撃者は、WAFに追加されたドメイン名を解決して、WAFインスタンスのIPアドレスを取得できます。 その後、攻撃者はIPアドレスに対してDDoS攻撃を開始します。 DDoS攻撃は、WAFインスタンスのデフォルトの排他的IPアドレスを対象としています。 攻撃トラフィックに基づいて、攻撃されているドメイン名を特定することはできません。
ただし、ドメイン名のDNSレコードを変更して、攻撃されたドメイン名を特定できます。 たとえば、一部のドメイン名をWAFに、残りのドメイン名をECS、Alibaba Cloud CDN、Server Load Balancer (SLB) などの他のサービスに解決できます。 この操作後にブラックホールのフィルタリングがトリガーされなくなった場合、攻撃されたドメイン名は、他のサービスに解決されたドメイン名に含まれます。 ただし、この方法は複雑であり、オリジンサーバーのIPアドレスなどの一部の資産がインターネット上に公開される可能性があります。 より深刻なセキュリティ問題が発生する可能性があります。 したがって、攻撃されたドメイン名を特定するためにこの方法を使用しないことをお勧めします。
- WAFインスタンスに対してブラックホールフィルタリングがトリガーされます。 WAFインスタンスのIPアドレスを変更してこの問題を防ぐことはできますか?
いいえ、IPアドレスを変更してブラックホールのフィルタリングを防ぐことはできません。 攻撃者がドメイン名をターゲットにした場合、IPアドレスを変更するかどうかに関係なく、ドメイン名をpingしてWAFインスタンスのIPアドレスを取得できます。
- DDoS攻撃とHTTPフラッド攻撃の違いは何ですか? WAFがDDoS攻撃から防御できないのはなぜですか?
DDoS攻撃はレイヤー4で一般的であり、HTTPフラッド攻撃はレイヤー7で一般的です。 HTTPフラッド攻撃は、HTTP GETまたはPOSTリクエストを使用する可能性があります。 WAF は HTTP フラッド攻撃に対して防御します。 DDoS攻撃から防御するには、WAFがトラフィックをスクラブする前に大量のトラフィックを受信できる必要があります。 ただし、この場合、WAFは十分な帯域幅を提供できません。 したがって、Anti-DDoS ProまたはAnti-DDoS Premiumを使用してDDoS攻撃から防御することを推奨します。