このトピックでは、Anti-DDoSサービスに関連する基本概念について説明します。
DDoS攻撃
分散型サービス拒否 (DDoS) 攻撃には、ボリューム攻撃とアプリケーション層攻撃が含まれます。
ボリューム攻撃は、サービスのネットワーク帯域幅をターゲットにします。 ほとんどの場合、攻撃者は複数のコンピューターまたは攻撃シミュレーターを操作して、多数の要求またはデータパケットをターゲットサーバーに送信します。 これにより、ネットワーク帯域幅が枯渇し、サービスが利用できなくなります。
アプリケーション層攻撃はサーバーを対象としています。 アプリケーション層攻撃の間、サーバのメモリが悪意のある要求によって使い果たされるか、またはサーバのCPUがカーネルおよびアプリケーションプログラムによって使い果たされる。 その結果、サーバーは通常のリクエストに応答できません。
トラフィックスクラブ
トラフィックのスクラブを実行する場合は、anti-DDoSデバイスまたはサービスを使用してトラフィックを分析およびフィルタリングできます。 anti-DDoSデバイスまたはサービスは、サービストラフィックと攻撃トラフィックを区別し、サービストラフィックのみをサーバーに返すことができます。 これにより、サーバーのプレッシャーとリスクが軽減されます。
ブラックホールのフィルタリング
DDoS攻撃がサービスに提供されている軽減機能を超えると、ブラックホールフィルタリングがトリガーされます。 ブラックホールフィルタリングは、サービス向けのすべてのインバウンドトラフィックを破棄するために使用されます。 これにより、攻撃されたサービスと同じネットワークにデプロイされている他のサービスを保護できます。 詳細については、「Alibaba Cloud のブラックホールフィルタリングポリシー」をご参照ください。
リソース枯渇攻撃
リソース枯渇攻撃は、HTTPやHTTPSなどのアプリケーション層プロトコルに対して開始される悪意のあるリクエスト攻撃です。 リソース枯渇攻撃は、ログオン、登録、検索などの実際のユーザーのアクセス動作をシミュレートし、ターゲットWebサイトのアプリケーションリソースを消費します。 その結果、ターゲットサイトは通常のリクエストに応答できません。
接続フラッド攻撃
接続フラッド攻撃は、トランスポート層での悪意のあるセッション攻撃です。 攻撃者は複数のゾンビサーバーを使用して、ターゲットWebサイトに多数のTCPリクエストを送信します。 TCPリクエストは、ターゲットサーバーの接続、CPU、メモリなどのリソースを消費します。 その結果、ターゲットサーバーは通常のリクエストに応答できません。
ボリューム攻撃
ボリューム攻撃は、サービスのネットワーク帯域幅をターゲットにします。 ほとんどの場合、攻撃者は複数のコンピューターまたは攻撃シミュレーターを操作して、多数の要求またはデータパケットをターゲットサーバーに送信します。 これにより、ネットワーク帯域幅が枯渇し、サービスが利用できなくなります。
ベストエフォート保護 (Anti-DDoS Origin)
DDoS攻撃に対するベストエフォート保護は、ローカルのアンチDDoSスクラビングセンターのネットワーク構成とリソース使用量に基づいて提供されます。 Alibaba Cloudの全体的なネットワーク容量の増加に伴い、ベストエフォート保護の機能が向上します。 追加料金を支払う必要はありません。 詳細については、「サブスクリプション」をご参照ください。
Anti-DDoS Proxy (中国本土) のベストエフォート保護
Anti-DDoS Proxyクラスターは、利用可能なリソースを使用して、DDoS攻撃に対する最善の保護を提供します。 クラスタの最大軽減機能がDDoS攻撃に対して防御できない場合、ブラックホールフィルタリングがトリガーされる可能性があります。 詳細については、「Anti-DDoSプロキシ (中国本土) の課金」をご参照ください。
burstable保護
バースト可能な保護は、Professional緩和計画のAnti-DDoS Proxy (中国本土) によって提供されます。 バースト可能な保護帯域幅を設定して、基本保護帯域幅を超える攻撃トラフィックを防御できます。 DDoS攻撃の量が基本保護帯域幅を超えているが、バースト可能保護帯域幅よりも小さい場合、バースト可能保護がトリガーされます。 バースト可能な保護がトリガーされた日に追加料金が請求されます。 詳細については、「Anti-DDoSプロキシ (中国本土) の課金」をご参照ください。
高度な軽減
高度な軽減は、高度な軽減計画のAnti-DDoSプロキシ (中国本土) インスタンス、および保険、無制限、安全な中国本土加速 (Sec-CMA) 、およびSec-CMA (基本) 軽減計画のAnti-DDoSプロキシ (中国本土以外) インスタンスによって提供されます。 高度な軽減策は、ローカルリージョンのAlibaba CloudのDDoS対策スクラブセンターを使用して、DDoS攻撃からリソースを保護します。 詳細については、「Anti-DDoSプロキシの課金 (中国本土) 」、「保険および無制限の軽減プランのAnti-DDoSプロキシの課金 (中国本土以外) 」、および「Sec-CMA軽減プランのAnti-DDoSプロキシの課金 (中国本土以外) 」をご参照ください。
Anti-DDoS Proxy インスタンスが 5 Gbit/s を超える DDoS 攻撃トラフィックを受信した場合、インスタンスに提供されている高度な保護セッションが消費されます。 高度な保護セッションでは、インスタンスは 24 時間保護されます。 Anti-DDoS Proxy インスタンスで 24 時間以内に発生したすべての DDoS 攻撃には、同じ高度な保護セッションが消費されます。
anycast
Anti-DDoS Proxy (Outside Chinese Mainland) は、エニーキャストメソッドを使用して、世界中のAlibaba Cloudの最寄りのanti-DDoSスクラビングセンターにDDoS攻撃トラフィックを転送します。 Anycastは、ネットワークアドレス指定およびルーティング方法です。 エニーキャストIPアドレスを宛先とするパケットは、エニーキャストIPアドレスによって識別されるホストの特定のグループにルーティングすることができる。
Anti-DDoS Proxy (Outside Chinese Mainland) では、エニーキャストメソッドを使用して、保護機能を備えた最寄りのanti-DDoSスクラブセンターにアクセストラフィックをルーティングします。 ルーティング方法は、大量の同時トラフィックがネットワーク輻輳を引き起こすときにスケジューリングを可能にし、サービスの可用性を保証します。 しかしながら、クロスボーダーデータ送信が含まれてもよい。
エニーキャストIPアドレスに到達したトラフィックは、複数のデータセンターにルーティングできます。 アクセストラフィックがエニーキャストIPアドレスに到達すると、トラフィックは設定されたトラフィック転送ルールに基づいて異なるデータセンターに転送されます。 ほとんどの場合、アクセストラフィックは、トラフィックソースに最も近いデータセンターに転送されます。 Anti-DDoS Proxy (Outside Chinese Mainland) は、サービスをAlibaba Cloudに接続するための、次のリージョンのエンドポイントを提供します。
地域 | Alibaba Cloudリージョン |
アジア太平洋 | 中国 (香港) 、シンガポール、日本 (東京) 、マレーシア (クアラルンプール) 、インドネシア (ジャカルタ) |
北米 | 米国 (シリコンバレー)、米国 (バージニア) |
ヨーロッパ | イギリス (ロンドン) とドイツ (フランクフルト) |
Anti-DDoS Proxy (Outside Chinese Mainland) インスタンスのエニーキャストIPアドレスが170.x. x.xであるとします。 中国以外のAlibaba CloudのすべてのDDoS対策スクラビングセンターは、このIPアドレスへのルートをアドバタイズします。 データパケットがこのIPアドレスに送信されると、データパケットは、最小ホップのルートを介してアンチDDoSスクラビングセンターに転送されます。 アンチDDoSスクラビングセンターのサーバーが利用できなくなると、すべてのスクラビングセンターはこのIPアドレスが利用できないことを直ちに通知し、データパケットはこのIPアドレスを除く最も近いアンチDDoSスクラビングセンターにルーティングされます。
デフォルトでは、香港 (中国) からのトラフィックは、香港 (中国) のAlibaba Cloudのanti-DDoSスクラビングセンターにルーティングされます。