すべてのプロダクト
Search

このプロダクト

    Anti-DDoS:Anti-DDoS Diversionの設定

    ドキュメントセンター

    Anti-DDoS:Anti-DDoS Diversionの設定

    最終更新日:Nov 19, 2024

    インターネットデータセンター (IDC) のサーバーにAnti-DDoS Diversionを設定するには、ビジネスニーズに基づいてAlibaba Cloudテクニカルサポートと連携する必要があります。 このトピックでは、Anti-DDoS Diversionを設定する方法について説明します。

    ステップ1: Anti-DDoS Diversionインスタンスの購入

    1. アセス

      反DDoS転換購入ページ

    2. すべての設定を完了し、サービス契約を確認し、指示に従って購入を完了します。

      設定アイテム

      説明

      転換モード

      • オンデマンド: 時折攻撃されるサービスに最適です。

      • Always-on: 頻繁な攻撃を受けるサービスに最適です。

      軽減しきい値

      詳細については、「ベストエフォート保護」をご参照ください。

      保護モード

      • 保険: 月に2回のベストエフォート保護セッション。 毎月の初めにリセットされます。

      • 無制限: 1か月あたりの無制限の軽減セッション。

      詳細については、「軽減セッション」をご参照ください。

      クリーン帯域幅

      サービスの通常のトラフィック帯域幅。 デフォルトでは100 Mbit/sに設定され、100 Mbit/sから100,000 Mbit/sまで増加します。

      CクラスIPアドレス

      IDCサーバー内のCクラスIPアドレスの数。 デフォルトでは1に設定され、最大値は10,000です。

      データセンター

      IDCサーバーの数。 デフォルトでは1に設定され、最大値は10です。

      初期インストールモード

      迂回インフラストラクチャをインストールする最初の方法。

      数量

      量はあなたのreinjectionポイントの構成によって定められます。

    3. プリセールスマネージャーに連絡して設定を完了してください。

    手順2: Anti-DDoS DiversionインスタンスへのCIDRブロックの追加

    1. Traffic Securityコンソールにログインします。

    2. ネットワークセキュリティ > Anti-DDoS Origin > 保護オブジェクト ページに移動し、上部のナビゲーションバーで [Outside Chinese Mainland] を選択します。

    3. Anti-DDoS Diversionインスタンスを選択し、再注入設定の管理 をクリックして注入ポイントを作成します。

      • インジェクションタイプ: Alibaba Cloudテクニカルサポートを参照した後に設定します。

      • インジェクションポイント: これは、ビジネストラフィックが注入されるトラフィックスクラビングセンターの場所を指します。 通常、インジェクションポイントはIDCサーバーと同じリージョンにあります。 ビジネスニーズに基づいて1つ以上の注入リージョンを設定できます。

    4. CIDR ブロックを追加して転送する をクリックして、保護されたオブジェクトにCIDR (Classless Inter-Domain Routing) ブロックを含めます。

      • CIDR ブロックの追加: CIDRブロックとサブネットマスクを入力します。 非拡張ブロックの場合は /22〜 /28、拡張ブロックの場合は /16〜 /22の範囲のCIDRブロックを入力できます。

        説明

        /22から /16までのCIDRブロックを保護する場合は、サブネットを拡張し、サブネットごとにAnti-DDoS Diversionを設定できます。 さらに、必要に応じて特定のサブネットの保護を有効または無効にできます。

      • 再注入タイプ: Alibaba Cloudテクニカルサポートを参照した後に設定します。

      • バックアノテーションエリアを選択してください

        • すべてのスクラビングセンターの統合再注入: クリーントラフィックは、最初に、設定されたインジェクションポイントにあるスクラビングセンターに転送されます。 その後、インジェクションポイントはトラフィックをIDCサーバーに再ルーティングします。

        • 異なるスクラビングセンターのユニーク再注入: この方法は、複数の場所にIDCサーバーがあるシナリオに最適です。 クリーントラフィックは、各インジェクションポイントのスクラビングセンターに転送され、各インジェクションポイントは、トラフィックをインジェクションポイントと同じ場所にあるIDCサーバーに再ルーティングします。

    ステップ3: Anti-DDoS Diversion設定の完了

    image

    1. 代理配信開始モード 列では、次のように再ルーティングモードを設定できます。

      • 手動

        デフォルトモードです。 このモードでは、DDoS攻撃中にAnti-DDoS Diversionを手動で有効にし、攻撃が治まると無効にする必要があります。

      • NetFlow 自動

        IDCの受信帯域幅またはパケットレートが設定されたしきい値を超えると、Anti-DDoS Diversionが自動的にアクティブになります。 このモードを選択した後、自動起動ルール、シャットダウン方法、およびその他の関連パラメーターを設定する必要があります。

        重要

        この方法はAlibaba Cloud上のIDC専用で、特定のプロトコルでのみ使用できます。 したがって、使用前にAlibaba Cloudテクニカルサポートに連絡する必要があります。

        パラメーター

        説明

        ポリシー名

        カスタムポリシーの名前。

        トラフィックレート

        インバウンド帯域幅のしきい値は、通常、通常のビジネスMbit/sの2倍です。

        単位: メガビット /秒 (Mbit/s)

        最小値: 100 Mbit/s

        パケットレート

        インバウンドパケットのしきい値は、通常、通常のビジネスKppsの2倍です。

        単位: キロパケット /秒 (Kpps)

        最小値: 10 Kpps

        継続性

        着信帯域幅またはパケットレートが指定されたしきい値を超えて、Anti-DDoS Diversionの自動アクティブ化がトリガーされた連続回数。

        停止モード

        有効化後にAnti-DDoS Diversionを停止する方法を選択します。 オプション:

        • Manual (デフォルト): 攻撃が終了した後、手動で保護を停止する必要があります。

        • 自動: 攻撃が終了した後、指定された時間に保護が自動的に停止します。

          • タイムゾーン: グリニッジ標準時 (GMT) 形式でIDCサーバーの場所に対応するタイムゾーンをGMT-hh:mmとして選択します。 たとえば、GMT-08:00は、GMTから8時間遅れているタイムゾーンを表します。

          • 停止時間: hh:mmの24時間クロック形式で保護を自動的に停止するタイミングを指定します。

            オフピーク時に停止時間をに設定することを推奨します。 Alibaba Cloud Anti-DDoSサービスは、攻撃の終了を検出した後、指定された時間に自動的に迂回を停止します。

    2. 承認ステータス 列で 承認 を選択し、現在のCIDRブロックでAlibaba Cloudコンプライアンスチェックをリクエストします。

      承認されると、CIDRブロックを再ルーティングできます。 提出後は、Alibaba Cloudテクニカルサポートにお問い合わせください。

    3. 保護テンプレート 列で、軽減テンプレートを選択します。

      テンプレート

      保護操作

      一般ポリシー

      • プロトコル仕様に準拠していない不正なパケットを除外します

      • TCP、UDP、およびICMPパケットを明確な攻撃シグネチャでフィルタアウトする

      • 断片化されたパケットとTCP、UDP、またはICMP経由で送信されないパケットを除外します

      • 異常なリクエストを生成する特定のIPアドレスを検証し、それらのアドレスにレート制限を実装します

      一般ポリシーは、一般的なDDoS攻撃に対する保護を提供し、ほとんどのサービスに適しています。

      Officeポリシー

      • プロトコル仕様に準拠していない不正なパケットを除外します

      • TCP、UDP、およびICMPパケットを明確な攻撃シグネチャでフィルタアウトする

      • 断片化されたパケットを除外する

      • GREおよびIPsecで送信されるパケットを許可する

      • リクエストを生成するIPアドレスに緩い検証を適用

      Officeポリシーは、オフィスネットワークに合わせて調整されており、より緩和されたアウトバウンドアクセス制限を提供します。

      TCPゲームポリシー

      • プロトコル仕様に準拠していない不正なパケットを除外します

      • クリアな攻撃シグネチャを持つTCP、UDP、およびICMPパケットを排除

      • 断片化されたパケットとTCP、UDP、またはICMP経由で送信されないパケットを除外します

      • 異常なリクエストを生成する特定のIPアドレスを検証し、それらのアドレスにレート制限を実装します

      • UDPパケットを厳密に検証し、検証結果に基づいてUDPパケットを制限する

      TCPに依存するサービスの場合は、TCPゲームポリシーをお勧めします。

      UDPゲームポリシー

      • プロトコル仕様に準拠していない不正なパケットを除外します

      • TCP、UDP、およびICMPパケットを明確な攻撃シグネチャでフィルタアウトする

      • 断片化されたパケットとTCP、UDP、またはICMP経由で送信されないパケットを除外します

      • UDPパケットに緩い検証を適用

      UDPに依存するサービスの場合は、UDPゲームポリシーをお勧めします。

    ステップ4: DDoS対策を開始

    オンデマンド

    • 手動

      IDC O&Mチームが攻撃を検出したら、[操作] 列の 牽引を開始する をクリックします。 牽引ステータス牽引中 に切り替わります。これは、保護されたアセットのトラフィックに対してアクティブなDDoS保護を示します。

      保護を停止するには、リダイレクトの一時停止 を選択します。 これにより、保護されたアセットのトラフィックに対するDDoS保護が中止されます。

    • 自動

      着信帯域幅またはパケットレートが設定されたしきい値を数回超えると、オンデマンド保護が自動的にアクティブになります。

    常にオン

    このモードでは、インバウンドトラフィックは常にトラフィックスクラビングセンターに再ルーティングされ、攻撃ステータスに関係なく常に保護されます。

    開始するには、[操作] 列の 牽引を開始する を選択します。牽引ステータス牽引中 に更新され、保護されたアセットに対してDDoS保護が有効であることが確認されます。

    ステップ5: 転用と注入が有効かどうかを確認

    tracerouteコマンドを実行して、トラフィックがAS134963を通過しているかどうかを確認するか、監視レポートを確認して、迂回保護の有効性を確認します。

    さらに、再注入ステータス をチェックして、[正常] と表示されます。 そうでない場合は、Alibaba Cloudテクニカルサポートにお問い合わせください。

    ステップ6: 保護レポートの表示

    攻撃が終了したら、[操作] 列の [モニタリングの詳細の表示] または [IDC攻撃分析の表示] をクリックして、攻撃データを確認します。

    関連する API

    • CIDRブロックのアドバタイズを設定するには、「ConfigNetStatus」をご参照ください。

    • Anti-DDoS Diversionインスタンスを照会するには、「ListInstance」をご参照ください。

    • Anti-DDoS DiversionインスタンスのCIDRブロックを照会するには、「QueryNetList」をご参照ください。