このトピックでは、Anti-DDoS Originに関するよくある質問に対する回答を提供します。
Anti-DDoS Originのベストエフォート保護の課金方法と、Anti-DDoS Proxyのバースト可能保護帯域幅機能の課金方法の違いは何ですか。
Anti-DDoS Originは、ベストエフォート型の保護を提供します。 詳細については、「ベストエフォート保護 (Anti-DDoS Origin) 」をご参照ください。 攻撃が発生すると、Anti-DDoS Originは、anti-DDoS Originインスタンスが存在するリージョンで最大のAnti-DDoS機能を自動的にスケジュールして、ベストエフォート保護を提供します。 購入したAnti-DDoS Originインスタンスにはベストエフォート保護が含まれており、ベストエフォート保護のための追加料金は発生しません。
Anti-DDoS Proxy (中国本土) は、バースト可能な保護帯域幅機能を提供します。 毎日のピーク受信帯域幅に基づいて課金されます。 詳細については、「バースト可能な保護帯域幅機能の課金」をご参照ください。
Anti-DDoS Originによって保護されているIPアドレスに対してブラックホールフィルタリングがトリガーされた場合はどうすればよいですか。
Anti-DDoS Originは、ブラックホールフィルタリングの非アクティブ化をサポートします。
保護されたIPアドレスのブラックホールフィルタリングを手動で無効にできます。 詳細については、「ブラックホールフィルタリングの無効化」をご参照ください。
ブラックホールフィルタリングの自動応答と無効化を設定することもできます。 詳細については、「ブラックホールフィルタリングの自動無効化のベストプラクティス」をご参照ください。
Anti-DDoS Originインスタンスを購入するときに間違ったリージョンを選択した場合はどうすればよいですか。
保護するIPアドレスがAnti-DDoS Originインスタンスと同じリージョンにない場合は、テクニカルサポートに連絡して払い戻しをリクエストし、IPアドレスのリージョンでAnti-DDoS Originインスタンスを購入してください。
Anti-DDoS Originインスタンスによって保護されているIPアドレスの数が、購入した仕様を超えた場合はどうすればよいですか。
保護するIPアドレスの数がAnti-DDoS OriginインスタンスのIPアドレス仕様を超えている場合は、IPアドレス仕様を増やすか、別のAnti-DDoS Originインスタンスを購入できます。 詳細については、「Anti-DDoS Originインスタンスのアップグレード」および「Anti-DDoS Originインスタンスの購入」をご参照ください。
保護のためにIPアドレスをAnti-DDoS Originに追加すると、「IPアドレスはあなたのアカウントに属していません」というエラーメッセージが表示された場合はどうすればよいですか?
問題をトラブルシューティングするには、次の手順を実行します。
正しいIPアドレスを入力したことを確認します。
保護のためにAnti-DDoS OriginインスタンスにIPアドレスを追加するクラウドサービスのリージョンが、Anti-DDoS Originインスタンスのリージョンと同じであることを確認します。
Web Application Firewall (WAF) インスタンスのIPアドレスをAnti-DDoS Originインスタンスに追加して保護する場合は、Anti-DDoS OriginがWAFインスタンスのリージョンをサポートしていることを確認します。 Anti-DDoS Originでサポートされているリージョンの詳細については、Anti-DDoSオリジンとは
マルチアカウント管理機能を有効にした後、メンバーのインスタンスによって保護されているアセットを管理アカウントのインスタンスに追加するにはどうすればよいですか。
保護のために、パブリックIPアドレスが割り当てられているアセットを1つのインスタンスにのみ追加できます。 メンバーのインスタンスによって保護されているアセットを管理アカウントのインスタンスに追加する場合は、メンバーに属するインスタンスからアセットを削除してから、管理アカウントに属するインスタンスにアセットを追加する必要があります。 保護用のオブジェクトを削除または追加する方法の詳細については、「保護用のオブジェクトの追加」をご参照ください。
IPv6をサポートするWebサイトを保護するために、WAFとAnti-DDoS Originを併用する方法を教えてください。
次のソリューションをお勧めします。
WebサイトをWAFインスタンスに追加し、数回クリックするだけでIPv6トラフィック保護機能を有効にします。 詳細については、「概要」をご参照ください。
この機能は、IPv6ソースから発生する攻撃からWebサイトを保護します。 IPv6トラフィック保護を有効にすると、WAFに2チャネル解決が自動的に実装されます。
Anti-DDoS Originインスタンスを購入し、WAFインスタンスのIPアドレスをAnti-DDoS Originインスタンスに追加します。 詳細については、「保護のためのオブジェクトの追加」をご参照ください。
WebサイトがDDoS攻撃を受けている場合、トラフィックのスクラブがトリガーされ、攻撃トラフィックが破棄され、サービストラフィックがオリジンサーバーに転送されます。
保護のためにAnti-DDoS Originに追加されたサービスを保護するために、Anti-DDoSプロキシはいつ必要ですか。
Anti-DDoS Originは、ECS (Elastic Compute Service) 、SLB (Server Load Balancer) 、WAF、Elastic IP Address (EIP) などのAlibaba CloudサービスのパブリックIPアドレスをDDoS攻撃から保護します。 Anti-DDoS Proxyと比較して、Anti-DDoS Originには次の利点があります。保護されたアセットのIPアドレスの変更は不要です。 レイヤ4ポートまたはレイヤ7ドメイン名の数に制限はありません。 Anti-DDoS Originインスタンスは簡単にデプロイできます。 保護のために、アセットのIPアドレスをAnti-DDoS Originインスタンスに追加するだけで済みます。 IPv6 がサポートされました。
ただし、Anti-DDoS Originには次の制限があります。Anti-DDoS Originは、レイヤー3およびレイヤー4のボリューム攻撃からのみアセットを保護します。 Anti-DDoS Originのベストエフォート保護は、Alibaba Cloudの全体的なネットワーク容量に基づいてDDoS攻撃から防御します。 攻撃トラフィックがAlibaba Cloud全体のネットワーク容量を超えた場合、またはHTTPフラッド攻撃が発生した場合、Anti-DDoS Originはセキュリティ保護要件を満たしていない可能性があります。 この場合、保護機能を向上させるためにAnti-DDoS Proxyを使用する必要があります。
Anti-DDoS OriginとAnti-DDoS Proxyを併用することもできます。 Anti-DDoS ProxyのSec-Traffic Managerを使用すると、対話ルールを作成して階層保護を実装できます。 これにより、ビジネスの継続性が確保され、DDoS軽減機能が強化されます。 クラウドサービスで発生するDDoS攻撃の量が、Anti-DDoS Originインスタンスの軽減機能を超えない場合、サービストラフィックは自動的にクラウドサービスに転送され、レイテンシは発生しません。 クラウドサービスで発生したDDoS攻撃の量がAnti-DDoS Originインスタンスの軽減機能を超え、ブラックホールフィルタリングがトリガーされた場合、Sec-Traffic Managerは、トラフィックをAnti-DDoS OriginインスタンスからAnti-DDoS Proxyインスタンスに切り替えて、ボリュームDDoS攻撃を軽減します。 この場合、レイテンシは約20 msである。 DDoS攻撃が停止した後、Sec-Traffic Managerは、切り替え待機時間に基づいてサービストラフィックをクラウドサービスに切り替えます。
Anti-DDoS (Enhanced) を有効にしたEIPの主要な技術的利点は何ですか? Anti-DDoS (Enhanced) が有効になっているEIPはどのようなシナリオに適していますか。
Alibaba Cloudは、anti-DDoS OriginやAnti-DDoS ProxyなどのAnti-DDoSソリューションを提供しています。 Anti-DDoS ProxyはTbit/sレベルの攻撃トラフィックを軽減できますが、レイテンシは増加します。 Anti-DDoS Originは、複数のIPアドレス、ポート、およびドメイン名が保護を必要とし、サービス帯域幅が大きく、低レイテンシが必要なシナリオに適しています。 ただし、Anti-DDoS Originは、比較的限られた軽減機能を提供します。
Anti-DDoS (Enhanced) が有効なEIPは、透過プロキシモードをサポートします。 このモードでは、サービストラフィックは最初にネットワークのエッジにあるAnti-DDoS Proxyのトラフィックスクラビングセンターに転送され、次にEIPとインターネット共有帯域幅インスタンスを使用してオリジンサーバーに転送されます。 Anti-DDoS (Enhanced) を有効にしたEIPには、低レイテンシ、すべてのアセットの保護、Tbit/sレベルの攻撃トラフィックに対する軽減などの利点があります。
Anti-DDoS (Enhanced) 対応のEIPは、Anti-DDoSプロキシで利用可能なボリューム攻撃の軽減と、Anti-DDoS Originで利用可能な低レイテンシの軽減をサポートします。 Anti-DDoS (Enhanced) を有効にしたEIPは、すべてのアセットと複数のポートの保護が必要で、低レイテンシが必要で、ボリューム攻撃が発生する可能性があるシナリオに適しています。 たとえば、Anti-DDoS (Enhanced) が有効になっているEIPは、高品質のゲームやゲームディストリビューターに適しています。