このトピックでは、Anti-DDoS Origin の基本的な概念について説明します。
DDoS 攻撃
分散型サービス拒否 (DDoS) 攻撃には、ボリューム攻撃とアプリケーション層攻撃が含まれます。
ボリューム攻撃は、サービスのネットワーク帯域幅を標的にします。攻撃者は通常、複数の制御されたコンピューターまたは攻撃シミュレーターを使用して、大量の リクエスト またはデータ パケット をターゲット サーバー に送信します。これにより、ネットワーク帯域幅が枯渇し、サービスが利用できなくなります。
アプリケーション層攻撃は、サーバーを標的にします。これらの攻撃の間、悪意のある リクエスト によってサーバーの メモリ または CPU リソース が枯渇します。その結果、サーバーは通常の リクエスト に応答できなくなります。
トラフィックスクラビング
トラフィックスクラビングは、専門の Anti-DDoS デバイス または サービス を使用してトラフィックを分析およびフィルタリングします。通常のトラフィックと攻撃トラフィックを区別し、通常のトラフィックのみをオリジン サーバー に転送します。これにより、サーバーの負荷とリスクが軽減されます。
ブラックホールフィルタリング
ブラックホールフィルタリングは、DDoS 攻撃トラフィックがスクラビング サービス の最大軽減能力を超えた場合にトリガーされます。同じネットワーク上の他の サービス の 可用性 を保護するために、ターゲット IP アドレス へのすべてのトラフィックがドロップされます。詳細については、「Alibaba Cloud のブラックホールフィルタリング ポリシー」をご参照ください。
ベストエフォート保護
ベストエフォート保護は、クラウド データセンター のネットワーク容量に基づいて DDoS 攻撃 から防御します。保護の レベル は 動的 であり、Alibaba Cloud がネットワーク インフラストラクチャ を強化するにつれて向上します。ただし、データセンター リソース の需要が高い時期には、保護 レベル が低下する可能性があります。さまざまな Anti-DDoS Origin インスタンス の保護機能の詳細については、「軽減機能」をご参照ください。
軽減セッション
システムは 5 秒ごとにトラフィック データポイント を記録します (1 分あたり 12 個)。攻撃トラフィックが N Gbps を超えると、図に示すように、システムは X+Y で示される攻撃期間を累積します。累積攻撃時間が 15 分 (データポイント 180 個に相当) ごとに、ベストエフォート保護セッションが 1 つ消費されます。
赤い線は、パブリック IP 対応アセットの インバウンドトラフィック を表しています。
中国本土の保護対象アセットの場合、N は 20 です。
中国本土以外の保護対象アセットの場合、N は 10 です。
たとえば、20 Gbps を超える 2 つの攻撃を受け、それぞれ 10 分と 12 分 (合計 22 分) 継続した中国本土のアセットは、最初の 15 分後に 1 つのセッションを消費します。残りの 7 分は 2 番目のセッションに適用されます。同じ月に追加の攻撃が発生し、累積期間が 15 分に達すると、2 番目のセッションが消費されます。