Anti-DDoS Proxyを使用すると、DDoS軽減ポリシーを設定して、Webサイト以外のサービスをレイヤー4 DDoS攻撃から保護できます。 ポリシーには、偽のソース、空の接続、ソースのレート制限、宛先の速度制限の機能が含まれます。 Anti-DDoS Proxyインスタンスのポート転送ルールを作成し、Webサイト以外のサービスをインスタンスに関連付けるときに、特定のポート転送ルールに対してDDoS軽減ポリシーを設定できます。 一度に複数のポート転送ルールに対してDDoS軽減ポリシーを設定することもできます。 このトピックでは、DDoS軽減ポリシーを設定する方法について説明します。
前提条件
Webサイト以外のサービスのポート転送ルールは、[ポート設定] ページで設定されます。 詳細については、「ポート転送ルールの設定」をご参照ください。
説明
Webサイト以外のサービスの場合、DDoS軽減ポリシーはIPアドレスとポートに基づいて設定されます。 接続指向のDDoS攻撃を軽減するために、ビジネス要件に基づいてリクエストレート、パケット長、およびその他のパラメーターを設定できます。 DDoS軽減ポリシーは、ポートにのみ適用されます。
Anti-DDoS Proxyを使用すると、Webサイト以外のサービスのDDoS軽減ポリシーに次の機能を設定できます。
偽ソース: 偽造されたIPアドレスから開始されたDDoS攻撃を検証およびフィルタリングします。
宛先の制限速度: 転送速度が上限を超えた場合、インスタンスのIPアドレスとポートに基づいて、インスタンスが使用するポートのデータ転送速度を制限します。 他のポートのデータ転送速度は制限されない。
パケット長制限: 通過を許可されるパケットの最小および最大長を指定します。 長さが無効なパケットはドロップされます。
送信元のレート制限: アクセス要求が上限を超えた場合、インスタンスのIPアドレスとポートに基づいて送信元IPアドレスのデータ転送レートを制限します。 アクセス要求が上限を超えない送信元IPアドレスのデータ転送速度は制限されません。 ソース機能のレート制限は、ブラックリスト設定をサポートしています。 60秒以内にアクセス要求が上限を超えたIPアドレスを5回ブラックリストに追加できます。 ブラックリストのブロック期間を指定することもできます。
高度な攻撃軽減: 異常なパケットが短時間で送信されるDDoS攻撃を特定して軽減します。 異常なパケットは、Miraiボットネットなどのボットネットを使用してTCPの3ウェイハンドシェイク処理が完了した後に送信されます。
単一ポート転送ルールのDDoS軽減ポリシーの設定
Anti-DDoS Proxyコンソールにログインします。
上部のナビゲーションバーで、インスタンスのリージョンを選択します。
Anti-DDoS Proxy (中国本土): インスタンスがAnti-DDoS Proxy (中国本土) インスタンスの場合、[中国本土] を選択します。
Anti-DDoSプロキシ (中国本土以外): インスタンスがAnti-DDoSプロキシ (中国本土以外) の場合は、[中国本土以外] を選択します。
左側のナビゲーションウィンドウで、 を選択します。
一般的なポリシー ページで、非ウェブサイトサービスの保護 タブをクリックし、[インスタンスの選択] ドロップダウンリストから管理するインスタンスを選択します。
左側のリストから、ポリシーを作成する転送ルールを選択します。
偽ソース 、宛先の速度制限 、パケット長の制限 、および ソースの速度制限 セクションの機能を設定します。
偽ソース: 偽ソース セクションで、偽ソース または 空接続 をオンまたはオフにします。
パラメーター
説明
偽ソース
このスイッチをオンにして、偽造IPアドレスからのリクエストをブロックします。 スイッチをオンにすると、Anti-DDoS Proxyは、偽造されたIPアドレスから開始されたリクエストを自動的にフィルタリングします。
説明この機能はTCPルールにのみ適用されます。
空接続
このスイッチをオンにして、nullセッションを確立しようとするリクエストをブロックします。 スイッチをオンにすると、Anti-DDoS Proxyは、nullセッションを確立しようとするリクエストを自動的にフィルタリングします。
説明このポリシーは、TCPルールにのみ適用されます。 この機能を有効にするには、まずFalse Sourceをオンにする必要があります。
高度な攻撃の軽減: [高度な攻撃の軽減] セクションで、ステータスをオンまたはオフにします。 保護モードを選択することもできます。 通常モードを選択することを推奨します。
説明この機能はTCPルールにのみ適用されます。
高度な攻撃軽減機能を有効にするには、まずFalse Sourceをオンにする必要があります。
保護モード
効果
シナリオ
ルーズ
このモードは、明らかな攻撃特性を持つ要求をブロックします。 少数の攻撃が許容され得るが、偽陽性率は低い。
このモードは、ライブストリーミング、ストリーミングメディア、データダウンロードなどの大規模な一方向データ伝送を伴うサービス、またはオリジンサーバーで高帯域幅を必要とするサービスに適しています。
ノーマル (推奨)
ほとんどの場合、このモードはワークロードには影響せず、保護効果と低い誤検出率のバランスを取ります。 このモードを使用することを推奨します。
このモードは、ほとんどのシナリオに適しています。
ストリクト
このモードは、厳格な攻撃検証の実施に役立ちます。 場合によっては、このモードは偽陽性を引き起こす。
このモードは、オリジンサーバーの帯域幅が制限されている、または保護効果が弱いシナリオに適しています。
ソースの速度制限: ソースの速度制限 セクションで、設定の変更 をクリックし、パラメーターを設定し、[OK] をクリックします。
パラメーター
説明
発信元の新規接続率制限
このパラメーターには、単一のIPアドレスから開始できる1秒あたりの新規接続の最大数を指定します。 有効な値: 1 ~ 50000 上限に達した後にIPアドレスから開始された新しい接続はドロップされます。
自動: Anti-DDoS Proxyは、単一の送信元IPアドレスから開始できる1秒あたりの新規接続の最大数を動的に計算します。
手動: 単一の送信元IPアドレスから開始できる1秒あたりの新規接続の最大数を手動で指定する必要があります。
説明スクラビングノードはクラスターにデプロイされるため、新しい接続の制限は実際のシナリオとは若干異なる場合があります。
ブラックリスト設定:
を選択した場合、ソースクライアントからの新規接続数が 1 分以内に 5 回しきい値を超えると、ソースクライアントの IP アドレスはブラックリストに追加されます。 チェックボックスをオンにすると、ブラックリストのIPアドレスからのすべてのリクエストが削除されます。
ブラックリスト設定を有効にするには、ブラックリストの有効期間を設定します。 有効な値: 1 ~ 10080 単位は分です。 デフォルト値:30。 ブラックリストに追加されたIPアドレスは、有効期間が終了するとブラックリストから削除されます。
ソースの同時接続制限
このパラメーターには、単一のIPアドレスから開始できる同時接続の最大数を指定します。 有効な値: 1 ~ 50000 上限に達した後のポートへの同時接続はドロップされます。
ブラックリスト設定:
を選択した場合、ソースクライアントからの同時接続数が 1 分以内に 5 回しきい値を超えると、ソースクライアントの IP アドレスはブラックリストに追加されます。 チェックボックスをオンにすると、ブラックリストのIPアドレスからのすべてのリクエストが削除されます。
ブラックリスト設定を有効にするには、ブラックリストの有効期間を設定します。 有効な値: 1 ~ 10080 単位は分です。 デフォルト値:30。 ブラックリストに追加されたIPアドレスは、有効期間が終了するとブラックリストから削除されます。
ソースの PPS 制限
このパラメーターには、単一のIPアドレスから許可できる1秒あたりの最大パケット数を指定します。 設定可能な値は1 から 100です。 上限に達した後にIPアドレスから開始されたパケットはドロップされます。
ブラックリスト設定:
を選択した場合、ソースクライアントのソースパケット/秒 (PPS) が 1 分以内に 5 回しきい値を超えると、ソースクライアントの IP アドレスがブラックリストに追加されます。 チェックボックスをオンにすると、ブラックリストのIPアドレスからのすべてのリクエストが削除されます。
ブラックリスト設定を有効にするには、ブラックリストの有効期間を設定します。 有効な値: 1 ~ 10080 単位は分です。 デフォルト値:30。 ブラックリストに追加されたIPアドレスは、有効期間が終了するとブラックリストから削除されます。
配信元の帯域幅制限
このパラメータは、単一のIPアドレスの最大帯域幅を指定します。 有効な値: 1024〜268435456。 単位: バイト /秒。
ブラックリスト設定:
を選択した場合、ソースクライアントのソース帯域幅が 1 分以内に 5 回しきい値を超えると、ソースクライアントの IP アドレスがブラックリストに追加されます。 チェックボックスをオンにすると、ブラックリストのIPアドレスからのすべてのリクエストが削除されます。
ブラックリスト設定を有効にするには、ブラックリストの有効期間を設定します。 有効な値: 1 ~ 10080 単位は分です。 デフォルト値:30。 ブラックリストに追加されたIPアドレスは、有効期間が終了するとブラックリストから削除されます。
宛先の速度制限: 宛先の速度制限セクションで、設定の変更 をクリックします。 [設定の変更] ダイアログボックスで、必要なパラメーターを設定し、[OK] をクリックします。
パラメーター
説明
宛先の新規接続率制限
このパラメータには、Anti-DDoS Proxyポートを介して確立できる1秒あたりの新規接続の最大数を指定します。 有効な値: 100〜100000。 上限に達した後にIPアドレスから開始されたリクエストはドロップされます。
説明スクラビングノードはクラスターにデプロイされるため、新しい接続の制限は実際のシナリオとは若干異なる場合があります。
宛先の同時接続制限
このパラメーターには、Anti-DDoS Proxyポートで確立できる同時接続の最大数を指定します。 有効な値: 1000〜1000000。 上限に達した後にポートに送信されたリクエストはドロップされます。
パケット長の制限: パケット長の制限 セクションで、設定の変更 をクリックします。 [設定] ダイアログボックスで、パケットに含まれるペイロードの最小長と最大長を指定し、[OK] をクリックします。 有効な値: 0 ~ 6000 単位:バイト
一度に複数のポート転送ルールのDDoS軽減ポリシーを設定する
Anti-DDoS Proxyコンソールにログインします。
上部のナビゲーションバーで、インスタンスのリージョンを選択します。
Anti-DDoS Proxy (中国本土): インスタンスがAnti-DDoS Proxy (中国本土) インスタンスの場合、[中国本土] を選択します。
Anti-DDoSプロキシ (中国本土以外): インスタンスがAnti-DDoSプロキシ (中国本土以外) の場合は、[中国本土以外] を選択します。
左側のナビゲーションウィンドウで、 を選択します。
ポート設定 ページで、管理するインスタンスを選択し、ルールリストの下にある を選択します。
Anti-DDoS 保護ポリシーの作成 ダイアログボックスで、必要な形式に従ってDDoS軽減ポリシーの内容を入力し、[OK] をクリックします。
説明DDoS軽減ポリシーをTXTファイルにエクスポートし、TXTファイルのコンテンツを変更してから、変更したコンテンツをコピーして必須フィールドに貼り付けることもできます。 エクスポートされたファイル内のDDoS軽減ポリシーの形式は、作成するポリシーの形式と同じである必要があります。 詳細については、「一度に複数のポート設定をエクスポートする」をご参照ください。
ポート転送ルールごとに、各行に1つのDDoS軽減ポリシーのみを設定します。
DDoS軽減ポリシーを設定すると、左から右のフィールドに次のパラメーターが表示されます。転送ポート、転送プロトコル (tcpまたはudp) 、ソースの新しい接続制限、ソースの同時接続制限、宛先の新しい接続制限、宛先の同時接続制限、最小パケット長、最大パケット長、偽ソース、空の接続です。 フィールドをスペースで区切ります。
転送ポートは、転送ルールで指定されたポートである必要があります。
偽のソースフィールドと空の接続フィールドの有効な値はオンとオフです。 値offは、機能が無効であることを指定します。