このトピックでは、Anti-DDoS Originの基本概念について説明します。
DDoS攻撃
分散型サービス拒否 (DDoS) 攻撃には、ボリューム攻撃とアプリケーション層攻撃が含まれます。
ボリューム攻撃は、サービスのネットワーク帯域幅をターゲットにします。 ほとんどの場合、攻撃者は複数のコンピューターまたは攻撃シミュレーターを操作して、多数の要求またはデータパケットをターゲットサーバーに送信します。 これにより、ネットワーク帯域幅が枯渇し、サービスが利用できなくなります。
アプリケーション層攻撃はサーバーを対象としています。 アプリケーション層攻撃の間、サーバのメモリが悪意のある要求によって使い果たされるか、またはサーバのCPUがカーネルおよびアプリケーションプログラムによって使い果たされる。 その結果、サーバーは通常のリクエストに応答できません。
トラフィッククリーニング
トラフィックのスクラブを実行する場合は、anti-DDoSデバイスまたはサービスを使用してトラフィックを分析およびフィルタリングできます。 anti-DDoSデバイスまたはサービスは、サービストラフィックと攻撃トラフィックを区別し、サービストラフィックのみをサーバーに返すことができます。 これにより、サーバーのプレッシャーとリスクが軽減されます。
ブラックホールのフィルタリング
DDoS攻撃がサービスに提供されている軽減機能を超えると、ブラックホールフィルタリングがトリガーされます。 ブラックホールフィルタリングは、サービス向けのすべてのインバウンドトラフィックを破棄するために使用されます。 これにより、攻撃されたサービスと同じネットワークにデプロイされている他のサービスを保護できます。 詳細については、「Alibaba Cloud のブラックホールフィルタリングポリシー」をご参照ください。
ベスト努力の保護
ベストエフォート型保護は、ローカルのanti-DDoSスクラビングセンターのネットワーク機能とリソースを活用して、DDoS攻撃を軽減します。 Alibaba Cloudのネットワーク容量が増加するにつれて、ベストエフォート保護の有効性も向上します。 このアップグレードは追加料金なしです。
軽減セッション
システムは攻撃トラフィックを5秒ごとにログ記録し、1分あたり12ログになります。 攻撃トラフィックがN Gbit/sを超えると、システムは、以下に示すように、XとYの値を合計することによって攻撃期間を計算します。 合計期間が15分または180ログを超えると、ベストエフォート保護のセッションが形成されます。
図の赤い曲線は、パブリックIPアドレスを持つアセットの受信帯域幅を表しています。
中国本土内の資産の場合、Nは20 Gbit/sに設定されます。
中国本土以外の資産の場合、Nは10 Gbit/sに設定されます。