すべてのプロダクト
Search
ドキュメントセンター

Anti-DDoS:用語

最終更新日:Dec 13, 2024

このトピックでは、Anti-DDoS Originの基本概念について説明します。

DDoS攻撃

分散型サービス拒否 (DDoS) 攻撃には、ボリューム攻撃とアプリケーション層攻撃が含まれます。

  • ボリューム攻撃は、サービスのネットワーク帯域幅をターゲットにします。 ほとんどの場合、攻撃者は複数のコンピューターまたは攻撃シミュレーターを操作して、多数の要求またはデータパケットをターゲットサーバーに送信します。 これにより、ネットワーク帯域幅が枯渇し、サービスが利用できなくなります。

  • アプリケーション層攻撃はサーバーを対象としています。 アプリケーション層攻撃の間、サーバのメモリが悪意のある要求によって使い果たされるか、またはサーバのCPUがカーネルおよびアプリケーションプログラムによって使い果たされる。 その結果、サーバーは通常のリクエストに応答できません。

トラフィッククリーニング

トラフィックのスクラブを実行する場合は、anti-DDoSデバイスまたはサービスを使用してトラフィックを分析およびフィルタリングできます。 anti-DDoSデバイスまたはサービスは、サービストラフィックと攻撃トラフィックを区別し、サービストラフィックのみをサーバーに返すことができます。 これにより、サーバーのプレッシャーとリスクが軽減されます。

ブラックホールのフィルタリング

DDoS攻撃がサービスに提供されている軽減機能を超えると、ブラックホールフィルタリングがトリガーされます。 ブラックホールフィルタリングは、サービス向けのすべてのインバウンドトラフィックを破棄するために使用されます。 これにより、攻撃されたサービスと同じネットワークにデプロイされている他のサービスを保護できます。 詳細については、「Alibaba Cloud のブラックホールフィルタリングポリシー」をご参照ください。

ベスト努力の保護

ベストエフォート保護は、クラウドデータセンターのネットワーク容量に基づいてDDoS攻撃から防御します。 Alibaba Cloudがネットワークインフラストラクチャを強化するにつれて、保護レベルは動的に向上しています。 しかしながら、データセンタリソースに対する需要が高いときには、保護レベルが低下する可能性がある。 さまざまなAnti-DDoS Originインスタンスの保護機能の詳細については、「軽減機能」をご参照ください。

軽減セッション

システムは攻撃トラフィックを5秒ごとにログ記録し、1分あたり12ログになります。 攻撃トラフィックがN Gbit/sを超えると、システムは、以下に示すように、XとYの値を合計することによって攻撃期間を計算します。 合計期間が15分または180ログを超えると、ベストエフォート保護のセッションが形成されます。

image.png

図の赤い曲線は、パブリックIPアドレスを持つアセットの受信帯域幅を表しています。

  • 中国本土内の資産の場合、Nは20 Gbit/sに設定されます。

  • 中国本土以外の資産の場合、Nは10 Gbit/sに設定されます。