Anti-DDoS (Enhanced) を有効にして、通常のAlibaba CloudサービスまたはEIPアドレス (EIP) の資産を保護するために、IP固有の軽減ポリシーを設定して、ポリシーに基づいてトラフィックを除外または許可し、ネットワーク層およびトランスポート層でのボリュームDDoS攻撃に対する軽減効果を改善できます。 このトピックでは、IP固有の軽減ポリシーを設定する方法について説明します。
使用上の注意
通常のAlibaba Cloudサービスの資産は、IP固有の軽減ポリシーのみをサポートしています。 Anti-DDoS (Enhanced) 対応のEIPは、IP固有とポート固有の両方の軽減ポリシーをサポートします。 IP固有とポート固有の両方の軽減ポリシーを設定する場合、IP固有の軽減ポリシーの優先度が高くなります。
パブリックIPアドレスが割り当てられているアセットに関連付けることができるIP固有の軽減ポリシーは1つだけです。 以下のセクションでは、パブリックIPアドレスが割り当てられたアセットを略してアセットと呼びます。
前提条件
通常のAlibaba Cloudサービスのアセットは、保護のためにAnti-DDoSオリジン1.0、Anti-DDoSオリジン2.0 (サブスクリプション) 、またはAnti-DDoSオリジン2.0 (従量課金) に追加されます。 詳細については、「保護のためのオブジェクトの追加」をご参照ください。
Anti-DDoS (Enhanced) が有効になっているEIPは、EIPを購入すると自動的に保護のために追加されます。 EIPを手動で追加する必要はありません。
手順
にログインします。Traffic Securityコンソール.
左側のナビゲーションウィンドウで、.
ポリシーの新規作成 をクリックします。 [ポリシーの作成] パネルで、ポリシー名 を設定し、[ポリシータイプの選択] セクションで IP 保護ポリシー を選択します。 確定 をクリックします。
では、ポリシーが作成されました メッセージをクリックし、[OK] をクリックします。 次に、ルールを設定し、[次へ] をクリックします。
重要特定のルールは、DDoS攻撃が発生した場合にのみ有効になります。 次のルールは、優先度の高い順にリストされます。
通常のAlibaba Cloudサービスのアセットの場合: ブラックリストルール、ICMPブロックルール、ホワイトリストルール、場所ブラックリストルール、ポートブロックルール、およびバイトマッチフィルタールール。
Anti-DDoS (Enhanced) が有効になっているEIPの場合: ブラックリストルール、ICMPブロッキングルール、ホワイトリストルール、ポートブロッキングルール、バイトマッチフィルタールール、リフレクション攻撃フィルタールール、およびソースレート制限ルール。
ルールの有効期間: ブラックリストルールを除いて、ルールは期限切れになりません。 ブラックリストルールの有効期間を設定する必要があります。
ルール
ルールの説明
通常のAlibaba Cloudサービス
Anti-DDoS (Enhanced) が有効なEIP
説明
インテリジェント軽減
ビッグデータ分析に基づくインテリジェントエンジンは、サービスのトラフィックパターンを自動的に学習し、ネットワーク層とトランスポート層でのDDoS攻撃を軽減します。
×
√
重要軽減ポリシーを作成すると、インテリジェント保護ルールが自動的に有効になり、正常 レベルに設定されます。 この場合、ビッグデータ分析に基づくインテリジェントエンジンは、エンジンがサービストラフィックのパターンを学習した後、最適な保護を提供するために約3日を必要とします。
過去のサービストラフィック、専門家の経験、およびアルゴリズムのデータに基づいて、インテリジェント保護ルールは次のレベルの保護を提供します。
ルース: Looseレベルのインテリジェント保護ルールは、攻撃特性を持つ悪意のあるIPアドレスからアセットを保護します。 Looseレベルは、攻撃を許容し得るが、低い偽陽性率を有する。
正常: 通常レベルのインテリジェント保護ルールは、攻撃特性を持つ悪意のある疑わしいIPアドレスからアセットを保護します。 正常レベルは、保護効果と低い偽陽性率との間のバランスを達成するのに役立つ。
ストリクト: 厳密レベルのインテリジェント保護ルールは、攻撃に対する強力な保護を提供します。 厳密なレベルは、場合によっては偽陽性を引き起こす。
ICMP ブロック
このルールは、悪意のあるスキャンからサーバーを保護し、ICMPフラッド攻撃を軽減するために、トラフィックスクラビング中にインターネット制御メッセージプロトコル (ICMP) 要求を拒否します。
√
攻撃中にのみ有効になります
√
攻撃中にのみ有効になります
このルールは、ホワイトリストのIPアドレスに対して有効になります。 IPアドレスから送信されたICMP要求も拒否されます。
重要ICMPブロッキングルールを有効にすると、pingコマンドのトラフィックもブロックされます。 pingコマンドを使用してネットワークの診断とメンテナンスを実行する前に、ICMPブロッキングルールを無効にします。
ブラックリスト / ホワイトリスト
ブラックリストルールは、特定の送信元IPアドレスからの要求を拒否します。 ホワイトリストルールは、特定の送信元IPアドレスからの要求を許可します。
√
攻撃中にのみ有効になります
√
常に効果を発揮します
ブラックリストにIPアドレスを追加するときは、ブラックリストの有効期間を1分から10,080分の範囲で設定する必要があります。 有効期間は、ブラックリスト内のすべてのIPアドレスに対して有効になります。
最大2,000個のIPアドレスをブラックリストに、最大2,000個のIPアドレスをホワイトリストに追加できます。
地域ブロック
このルールは、地理的位置によってアクセス要求をブロックできます。 ロケーションブラックリストルールを有効にすると、ブロックされたロケーションから送信先IPアドレスへのトラフィックがブロックされます。
√
攻撃中にのみ有効になります
√
常に効果を発揮します
地域または国ごとにアクセス要求をブロックできます。
ポートブロッキング
このルールは、UDPリフレクション攻撃を軽減するために、ソースポートまたは宛先ポートを介して送信されるUDPまたはTCP要求を拒否します。
√
攻撃中にのみ有効になります
√
攻撃中にのみ有効になります
最大8つのポートブロックルールを作成できます。
重要次の提案に基づいてポートブロックルールを設定することを推奨します。
アセットがUDPサービスを提供しない場合は、すべてのソースUDPポートをブロックすることを推奨します。 アセットが後でUDPサービスを提供する場合は、できるだけ早い機会に軽減ポリシーを調整します。
アセットがUDPサービスを提供する場合、UDPリフレクション攻撃によって悪用される共通ソースポートをブロックすることを推奨します。 ポートは、ポート1〜52、54〜161、389、1900、および11211を含む。
ソースレート制限
このルールでは、送信元IPアドレスが保護IPアドレスにアクセスするレートを制限するしきい値を指定できます。
×
√
常に効果を発揮します
ソース PPS、ソース帯域幅、ソース SYN パッケージの PPS、およびソース SYN パッケージの帯域幅を設定できます。 アクセスレートの種類ごとにしきい値を指定した後、アクセスレートの種類ごとに「送信元IPアドレスが60秒以内にレート制限を5回トリガーした場合、IPアドレスがブラックリストに追加されます」オプションを選択することもできます。 オプションを選択すると、送信元IPアドレスからのすべてのアクセストラフィックが破棄されます。
リフレクション攻撃のフィルターリング
このルールは、UDPトラフィックのみを監視および保護します。 Anti-DDoSは、一般的なUDPリフレクション攻撃をブロックするために指定したソースポートからのUDPトラフィックをブロックします。
×
√
常に効果を発揮します
リフレクション攻撃フィルタリングルールは、次のタイプのポリシーをサポートします。
ワンクリックフィルターポリシー: 一般的なUDPリフレクション攻撃をリストします。 サービスがUDPを使用しない場合は、すべてのソースUDPポートをブロックすることを推奨します。
カスタムファイターポリシー: 最大20個のカスタムポートを指定できます。 ポートは、ワンクリックフィルターポリシー セクションのポートと同じにすることはできません。
指紋フィルター
このルールは、特定のパケットのコンテンツのバイトを照合して、要求のレートを拒否、許可、または制限します。 ほとんどの場合、攻撃ツールによって偽造された攻撃パケットは同じフィーチャフィールドを持ちます。 例えば、攻撃パケットは、同じ文字列またはコンテンツを含む。
√
攻撃中にのみ有効になります
√
攻撃中にのみ有効になります
次のセクションでは、設定パラメーターについて説明します。
プロトコル: プロトコルのタイプ。 有効な値: TCPおよびUDP。
送信元ポート範囲: ソースポートの範囲。 有効な値: 0 ~ 65535
宛先ポート範囲: 宛先ポートの範囲。 有効な値: 0 ~ 65535
パケット長: パケット長の範囲。 有効な値: 1 ~ 1500 単位:バイト
オフセット: UDPまたはTCPパケットのバイトのオフセット。 有効な値: 0 ~ 1500 単位:バイト
このパラメーターを0に設定すると、システムは最初のバイトからマッチングを開始します。
ペイロード: UDPまたはTCPパケットの一致するペイロード。 16進数の文字列を入力する必要があります。 値は1バイトから15バイトの長さでなければなりません。
アクション: 指定された条件に一致するリクエストに対するアクション。 有効な値: パス、廃棄、送信元IPアドレスの帯域幅の制限、セッション帯域幅の制限。
送信元IPアドレスの帯域幅の制限 または セッション帯域幅の制限 を選択した場合、Bandwidthパラメーターを指定する必要があります。 Bandwidthパラメーターの有効な値: 1 ~ 100000。 単位: パケット /秒 (pps) 。
Anti-DDoS ProとAnti-DDoS PremiumのBack-to-origin CIDRブロックをホワイトリストに追加
このルールは、Anti-DDoS ProまたはAnti-DDoS Premiumインスタンスのback-to-origin CIDRブロックを、Anti-DDoS (Enhanced) が有効なEIPのホワイトリストに追加します。
×
√
Anti-DDoS (Enhanced) を有効にしてEIPを保護するには、そのEIP宛てのトラフィックをAnti-DDoSスクラブセンターに転送してから、オリジンサーバーに転送します。 サービスのトラフィックがブロックされないように、このルールを有効にすることを強く推奨します。
選択するオブジェクト セクションの 保護のアセット セクションで、設定されたルールを有効にするアセットをリージョンとインスタンス名で検索し、追加の確認 をクリックします。
次に何をすべきか
IP固有の軽減ポリシーを変更するには、軽減設定 ページで ソースポートブロッキングポリシー を選択します。 変更するポリシーを見つけて、操作 列の 保護ルールの変更 をクリックします。
重要緩和ポリシーを変更すると、すべての保護対象オブジェクトに対して変更ポリシーが有効になります。 作業は慎重に行ってください。
IP固有の軽減ポリシーを削除するには、軽減設定 ページで ソースポートブロッキングポリシー を選択します。 削除するポリシーを見つけて、操作 列の 削除 をクリックします。
重要削除する軽減ポリシーがオブジェクトにアタッチされている場合、軽減ポリシーを削除することはできません。 緩和ポリシーを削除する前に、保護されたオブジェクトから緩和ポリシーをデタッチする必要があります。
保護のために軽減ポリシーをオブジェクトにアタッチするか、保護されたオブジェクトから軽減ポリシーをデタッチするには、 軽減設定 ページで ソースポートブロッキングポリシー を選択します。 管理するポリシーを見つけて、操作 列の 関連付けられた保護オブジェクト をクリックします。
例
通常のAlibaba Cloudサービスの資産を保護するために、ビジネス要件に基づいてIP固有の軽減ポリシーを設定し、ネットワーク層とトランスポート層でのボリュームDDoS攻撃を軽減できます。
パラメーター | 説明 |
ICMP ブロック | サービスにICMPが含まれていない場合は、ICMPブロッキングルールを有効にすることを推奨します。 |
ブラックリスト / ホワイトリスト | サービスが攻撃された後、アタック分析 ページに表示される上位の悪意のあるIPアドレスをブラックリストに追加できます。 最大2,000個のIPアドレスをブラックリストに追加できます。 詳細については、「攻撃分析ページの情報の表示」をご参照ください。 |
地域ブロック | サービスが利用できないすべてのリージョンのIPアドレスからのリクエストをブロックできます。 たとえば、中国本土以外のリージョンでサービスを利用できない場合、中国本土以外で開始されたすべてのリクエストをブロックできます。 |
ポートブロッキング | サービスがUDPを使用しない場合は、すべてのUDPポートをブロックすることを推奨します。 |
指紋フィルター | 攻撃トラフィックを分析し、トラフィック特性に基づいてバイトマッチフィルタールールを設定できます。 |