このトピックでは、Anti-DDoS Origin に関するよくある質問に回答します。
Anti-DDoS Origin の無制限保護の課金方法と、Anti-DDoS Pro および Anti-DDoS Premium のバースト可能保護の課金方法の違いは何ですか?
Anti-DDoS Origin は、「用語」で説明されている機能を提供します。攻撃が発生すると、Anti-DDoS Origin はインスタンスのリージョンで Alibaba Cloud の最大の DDoS 緩和機能を自動的にスケジュールし、無制限の保護を提供します。無制限の保護サービスは Anti-DDoS Origin インスタンスパッケージに含まれており、追加のバースト可能保護料金は発生しません。
Anti-DDoS Pro および Anti-DDoS Premium (中国本土) のバースト可能保護料金は、バースト可能保護帯域幅の日次ピークに基づいています。詳細については、「バースト可能保護帯域幅の課金」をご参照ください。
Anti-DDoS Origin によって保護されている IP アドレスがブラックホール化された場合はどうすればよいですか?
Anti-DDoS Origin でブラックホールフィルタリングを解除できます。
保護対象オブジェクトがブラックホール作動中の状態にある場合、手動でブラックホールフィルタリングを解除できます。詳細については、「ブラックホールの解除」をご参照ください。
また、自動応答を実装し、保護対象 IP アドレスのブラックホールフィルタリングを迅速に解除するには、「ブラックホールフィルタリングの自動解除のベストプラクティス」をご参照ください。
Anti-DDoS Origin インスタンスの購入時に誤ったリージョンを選択した場合はどうすればよいですか?
保護したい IP アドレスが Anti-DDoS Origin インスタンスと同じリージョンにない場合は、テクニカルサポートに連絡して返金をリクエストしてください。その後、正しいリージョンで新しい Anti-DDoS Origin インスタンスを購入してください。
保護対象 IP アドレスを追加しようとしたときに、Anti-DDoS Origin インスタンスの IP アドレス容量が一杯の場合はどうすればよいですか?
保護したい IP アドレスの数が Anti-DDoS Origin インスタンスの [保護する IP アドレスの数] クォータを超えている場合は、現在のインスタンスの [保護する IP アドレスの数] を増やすか、新しい Anti-DDoS Origin インスタンスを購入することができます。詳細については、「インスタンス仕様のアップグレード」および「Anti-DDoS Origin インスタンスの購入」をご参照ください。
保護対象 IP アドレスを追加する際に「IP does not belong to you」というエラーが表示された場合はどうすればよいですか?
次のように問題をトラブルシューティングできます:
入力した IP アドレスを確認し、正しいことを確認してください。
保護したい IP アドレスに対応するクラウドプロダクトのリージョンを確認してください。そのリージョンが Anti-DDoS Origin インスタンスのリージョンと同じであることを確認してください。
追加したい IP アドレスが WAF IP アドレスである場合は、WAF インスタンスのリージョンを確認してください。Anti-DDoS Origin がそのリージョンをサポートしていることを確認してください。サポートされているリージョンの詳細については、「Anti-DDoS Origin とは」をご参照ください。
追加したい IP アドレスが IPv6 アドレスである場合は、IPv6 パブリック帯域幅が有効になっているかどうかを確認してください。ECS インスタンスで IPv6 パブリック帯域幅を有効にする方法の詳細については、「IPv6 通信」をご参照ください。
マルチアカウント管理機能を有効にした後、パブリック IP アセットの保護をメンバーアカウントから管理アカウントに切り替えるにはどうすればよいですか?
パブリック IP アドレスが割り当てられているアセットは、1 つのインスタンスでのみ保護できます。メンバーアカウントのインスタンスから管理アカウントのインスタンスに保護を切り替えるには、まずメンバーアカウントから保護対象オブジェクトを削除する必要があります。その後、保護対象オブジェクトを管理アカウントに追加できます。保護対象オブジェクトの削除と追加の方法の詳細については、「保護対象オブジェクト」をご参照ください。
私のサービスは Web アプリケーション保護と DDoS 対策が必要で、さらに IPv6 もサポートする必要があります。これを実現するにはどうすればよいですか?
以下のソリューションを使用できます:
Web サイトを WAF に追加し、ワンクリックで IPv6 保護機能を有効にします。詳細については、「オンボーディングの概要」をご参照ください。
これにより、IPv6 環境で開始された攻撃から Web サイトを保護し、IPv6 プロトコルリクエストからオリジンサーバーを保護するのに役立ちます。IPv6 セキュリティ保護機能を有効にすると、WAF は自動的にデュアルスタック解決を実装します。
Anti-DDoS Origin インスタンスを購入し、WAF インスタンスの IP アドレスを Anti-DDoS Origin インスタンスに追加します。詳細については、「保護対象オブジェクト」をご参照ください。
サービスが DDoS 攻撃を受けている場合、トラフィックスクラビングが自動的にトリガーされます。攻撃トラフィックは破棄され、正当なサービストラフィックのみがオリジンサーバーに転送されます。
Anti-DDoS Origin で保護されているサービスの場合、いつ Anti-DDoS Pro および Anti-DDoS Premium も使用すべきですか?
Anti-DDoS Origin は、Alibaba Cloud ECS、SLB、WAF、EIP などのパブリック IP アドレスが割り当てられたアセットに対する DDoS 攻撃の緩和を直接強化します。Anti-DDoS Pro および Anti-DDoS Premium と比較して、Anti-DDoS Origin にはいくつかの利点があります。IP アドレスを変更する必要はありません。レイヤー 4 ポートまたはレイヤー 7 ドメイン名の数に制限はありません。保護対象の IP アドレスを追加するだけでよいため、デプロイメントは簡単です。IPv6 もサポートされています。
ただし、Anti-DDoS Origin には制限があります。主にレイヤー 3 およびレイヤー 4 の分散型サービス妨害 (DDoS) 攻撃に対する保護を提供します。無制限の保護機能は、データセンターネットワークの全体的な容量によって制限されます。攻撃トラフィックがデータセンターネットワークの全体的な保護レベルを超えたり、CC 攻撃を受けたりした場合、Anti-DDoS Origin は十分なセキュリティ保護を提供できない可能性があります。この場合、緩和能力を強化するために Anti-DDoS Pro および Anti-DDoS Premium にアップグレードする必要があります。
Anti-DDoS Origin を Anti-DDoS Pro および Anti-DDoS Premium と一緒に使用することもできます。Sec-Traffic Manager のインタラクションルールを使用して、階層型保護を実装できます。このアプローチは、正当なユーザーのスムーズなエクスペリエンスを確保しながら、DDoS 緩和能力を強化します。DDoS 攻撃が Anti-DDoS Origin の緩和能力を超えない場合、サービストラフィックはデフォルトで遅延を追加することなくクラウドプロダクトに転送されます。大規模な攻撃がブラックホールルーティングをトリガーした場合、Sec-Traffic Manager はトラフィックを Anti-DDoS Pro または Anti-DDoS Premium に切り替えて、ボリューム攻撃から防御します。この切り替えにより、約 20 ms の遅延が追加されます。攻撃が停止した後、サービストラフィックは Sec-Traffic Manager で設定可能な遅延の後、クラウドプロダクトにフェイルバックします。
Anti-DDoS Proxy と統合された EIP の主要な技術的利点は何ですか?適切なビジネスシナリオは何ですか?
Alibaba Cloud は、DDoS 攻撃から保護するために Anti-DDoS Origin や Anti-DDoS Pro および Anti-DDoS Premium などのソリューションを提供しています。Anti-DDoS Pro および Anti-DDoS Premium はテラビットレベルの DDoS 攻撃から防御できますが、一部のサービス遅延が発生します。Anti-DDoS Origin は、複数の IP アドレス、ドメイン名、ポートにわたって大きなクリーン帯域幅と低遅延を必要とするシナリオに適していますが、その緩和能力は比較的に限られています。
Anti-DDoS Proxy と統合された EIP は、透過的なプロキシモードを使用します。トラフィックは、ネットワークのエッジにある Anti-DDoS Pro または Anti-DDoS Premium データセンターによってスクラビングされ、その後 EIP と共有帯域幅を介してサーバーに到達します。このソリューションは、Anti-DDoS Origin の低遅延と全アセットアクセスを、Anti-DDoS Pro および Anti-DDoS Premium のテラビットレベルの DDoS 防御と組み合わせています。
Anti-DDoS Proxy と統合された EIP は、Anti-DDoS Pro および Anti-DDoS Premium のボリューム攻撃防御と Anti-DDoS Origin の低遅延の両方を必要とするお客様に適しています。これらのシナリオは、全アセット保護、複数ポート、低遅延、およびボリューム攻撃を特徴とします。例としては、高品質のゲームやゲーム配信業界が挙げられます。
トラフィックスクラビングとは何ですか?Anti-DDoS Origin はどのようにトラフィックスクラビングを実行しますか?
トラフィックスクラビングは、DDoS 攻撃に対する最初の防御線です。悪意のある攻撃トラフィックを正確に検出し、フィルタリングするように設計されています。
仕組み: システムは、アセットに流入するインターネットトラフィックの 24/7 リアルタイムモニタリングとインテリジェントな分析を提供します。AI ベースのインテリジェント分析が DDoS 攻撃を検出し、リクエストトラフィックが設定した BPS または PPS のクリーニングしきい値に達すると、Anti-DDoS Origin はトラフィックスクラビングをトリガーします。
緩和効果: 正当なサービストラフィックから DDoS 攻撃トラフィックを正確に分離して破棄します。これにより、正当なユーザーからのアクセスリクエストが影響を受けず、攻撃中もサービスが利用可能な状態に保たれます。サービスの特性に基づいてクリーニングしきい値を柔軟に設定またはキャンセルして、保護の秘密度とサービスの安定性の最適なバランスを実現できます。
詳細については、「クリーニングしきい値の設定」および「トラフィックスクラビングのキャンセル」をご参照ください。
ブラックホールとは何ですか?Anti-DDoS Origin はどのようにブラックホールを処理しますか?
ブラックホールルーティングは、大規模な攻撃中に Alibaba Cloud ネットワークインフラストラクチャ全体の安定性を保護するために使用される極端な保護措置です。
トリガー条件: 単一のパブリック IP アドレスに対するピーク攻撃トラフィックが、その IP アドレスが配置されているクラスターの最大緩和能力 (ブラックホールトリガーしきい値) を超えると、システムは自動的にブラックホールフィルタリングポリシーをトリガーします。これにより、攻撃が他のユーザーのアセットに影響を与えるのを防ぎます。
仕組み: 正当なアクセスと攻撃トラフィックを含む、IP アドレスへのすべてのインバウンドインターネットトラフィックが一時的にブロックされます。トラフィックが「ブラックホール」に落ちたかのように、IP アドレスは一定期間インターネットからアクセスできなくなります。これは必要な「サーキットブレーカー」メカニズムです。攻撃が弱まるか停止した後、Anti-DDoS Origin コンソールで 手動でブラックホールフィルタリングを解除 して、アセットのパブリックネットワークアクセスを迅速に復元できます。
詳細については、「Alibaba Cloud のブラックホールフィルタリングポリシー」および「ブラックホールの解除」をご参照ください。