すべてのプロダクト
Search

このプロダクト

    Anti-DDoS:DDoS軽減ポリシーの設定

    ドキュメントセンター

    Anti-DDoS:DDoS軽減ポリシーの設定

    最終更新日:Nov 19, 2024

    Anti-DDoS Proxyを使用すると、DDoS軽減ポリシーを設定して、Webサイト以外のサービスをレイヤー4 DDoS攻撃から保護できます。 ポリシーには、偽のソース、空の接続、ソースのレート制限、宛先の速度制限の機能が含まれます。 Anti-DDoS Proxyインスタンスのポート転送ルールを作成し、Webサイト以外のサービスをインスタンスに関連付けるときに、特定のポート転送ルールに対してDDoS軽減ポリシーを設定できます。 一度に複数のポート転送ルールに対してDDoS軽減ポリシーを設定することもできます。 このトピックでは、DDoS軽減ポリシーを追加する方法について説明します。

    概要

    Webサイト以外のサービスの場合、DDoS軽減ポリシーはIPアドレスとポートに基づいて設定されます。 接続指向のDDoS攻撃を軽減するために、ビジネス要件に基づいてリクエストレート、パケット長、およびその他のパラメーターを設定できます。 DDoS軽減ポリシーは、ポートにのみ適用されます。

    Anti-DDoS Proxyを使用すると、Webサイト以外のサービスのDDoS軽減ポリシーに次の機能を設定できます。

    • 偽ソース: 偽造されたIPアドレスから開始されたDDoS攻撃を検証およびフィルタリングします。

    • 高度な攻撃保護: TCPの3ウェイハンドシェイクに続いて、通常はMiraiのようなボットネットから、過度に多数の異常なパケットを迅速に送信するDDoS攻撃を検出して軽減します。

      説明

      IPv4アドレスを使用するAnti-DDoS Proインスタンスはこの機能を設定できますが、IPv6アドレスを使用するAnti-DDoS Proインスタンスは設定できません。

    • パケットフィルタリング: パケットペイロードを分析して攻撃から保護することにより、通常のサービストラフィックと攻撃トラフィックを正確に区別します。 この機能では、アプリケーション層プロトコルに基づいてアクセス制御ルールを設定することもできます。

      説明

      この機能を設定できるのは、IPv4アドレスを使用する拡張機能プランのAnti-DDoS Proxy (中国本土) インスタンスのみです。

    • ソースの速度制限: アクセス要求が上限を超えた場合、インスタンスのIPアドレスとポートに基づいて送信元IPアドレスのデータ転送レートを制限します。 アクセス要求が上限を超えない送信元IPアドレスのデータ転送速度は制限されません。 ソース機能のレート制限は、ブラックリスト設定をサポートしています。 60秒以内にアクセス要求が上限を超えたIPアドレスを5回ブラックリストに追加できます。 ブラックリストのブロック期間を指定することもできます。

    • 宛先の速度制限: 転送速度が上限を超えた場合、インスタンスのIPアドレスとポートに基づいて、インスタンスが使用するポートのデータ転送速度を制限します。 他のポートのデータ転送速度は制限されない。

    • パケット長の制限: 通過できるパケットの最小長と最大長を指定します。 長さが無効なパケットは破棄される。

    前提条件

    Webサイト以外のサービスがAnti-DDoS Proxyに追加されます。 詳細については、「転送ルールの管理」をご参照ください。

    単一ポート転送ルールのDDoS軽減ポリシーの設定

    1. Anti-DDoS Proxyコンソールにログインします。

    2. 上部のナビゲーションバーで、インスタンスのリージョンを選択します。

      • Anti-DDoS Proxy (中国本土): インスタンスがAnti-DDoS Proxy (中国本土) インスタンスの場合、[中国本土] を選択します。

      • Anti-DDoS Proxy (Outside Chinese Mainland): インスタンスがAnti-DDoS Proxy (Outside Chinese Mainland) インスタンスの場合、[Outside Chinese Mainland] を選択します。

    3. 左側のナビゲーションウィンドウで、軽減設定 > 一般的なポリシー を選択します。

    4. 一般的なポリシー ページで、非ウェブサイトサービスの保護 タブをクリックし、ページ上部で管理するAnti-DDoS Proxyインスタンスを選択します。

    5. 左側のリストから設定する転送ルールをクリックして、保護ポリシーを設定します。

      • 偽ソース: 偽ソース セクションで、偽ソース または 空接続 をオンまたはオフにします。

        パラメーター

        説明

        偽ソース

        このスイッチをオンにして、偽造IPアドレスからのリクエストをブロックします。 スイッチをオンにすると、Anti-DDoS Proxyは、偽造されたIPアドレスから開始されたリクエストを自動的にフィルタリングします。

        説明

        この機能はTCPルールにのみ適用されます。

        空接続

        このスイッチをオンにして、nullセッションを確立しようとするリクエストをブロックします。 スイッチをオンにすると、Anti-DDoS Proxyは、nullセッションを確立しようとするリクエストを自動的にフィルタリングします。

        説明

        このポリシーは、TCPルールにのみ適用されます。 この機能を有効にするには、まずFalse Sourceをオンにする必要があります。

      • 高度な攻撃保護: [高度な攻撃の軽減] セクションで、機能をオンまたはオフにします。 保護モードを選択することもできます。 通常モードを選択することを推奨します。

        説明

        • この機能はTCPルールにのみ適用されます。

        • 高度な攻撃軽減機能を有効にするには、まずFalse Sourceをオンにする必要があります。

        保護モード

        効果

        シナリオ

        ルーズ

        このモードは、明らかな攻撃特性を持つ要求をブロックします。 少数の攻撃が許容され得るが、偽陽性率は低い。

        このモードは、ライブストリーミング、ストリーミングメディア、データダウンロードなどの大規模な一方向データ伝送を伴うサービス、またはオリジンサーバーで高帯域幅を必要とするサービスに適しています。

        ノーマル (推奨)

        ほとんどの場合、このモードはワークロードには影響せず、保護効果と低い誤検出率のバランスを取ります。 このモードを使用することを推奨します。

        このモードは、ほとんどのシナリオに適しています。

        ストリクト

        このモードは、厳格な攻撃検証の実施に役立ちます。 場合によっては、このモードは偽陽性を引き起こす。

        このモードは、オリジンサーバーの帯域幅が制限されている、または保護効果が弱いシナリオに適しています。

      • パケットフィルタリング: パケットペイロードに基づいて正確なアクセス制御ルールを設定します。 1つのルールに複数の一致する条件が含まれている場合、対応するアクションをトリガーするにはすべての条件を満たす必要があります。

        パラメーター

        説明

        優先度

        1〜100の値を割り当てます。値が低いほど優先度が高いことを示します。

        名前

        簡単に識別できるように、モニタリングルールに名前を付けます。

        一致条件

        • 一致条件: パケットペイロードの形式を定義します。 文字列 または 16 進数 を選択します。

        • 区間マッキング: ペイロードマッチングの開始位置と終了位置を指定します。 両方の位置の有効範囲は0から1499バイトです。 開始位置は終了位置を超えてはなりません。

        • 論理関係: 含む または 次を含まない: を選択します。

        • フィールド値:

          • 一致条件文字列に設定されている場合、一致するコンテンツの長さは1500バイトを超えてはならず、開始位置と終了位置で指定された範囲内にある必要があります。

            一致条件16 進数に設定されている場合、内容は16進文字で構成され、3000文字を超えず、偶数で、指定された範囲内に収まる必要があります。

        操作

        • 観察: モニタールールと一致する場合、リクエストを許可します。

        • ブロック: ブロックルールに一致する場合、リクエストを拒否します。

      • ソースの速度制限: ソースの速度制限 セクションで、設定の変更 をクリックし、パラメーターを設定し、[OK] をクリックします。

        パラメーター

        説明

        発信元の新規接続率制限

        このパラメーターには、単一のIPアドレスから開始できる1秒あたりの新規接続の最大数を指定します。 有効な値: 1 ~ 50000 上限に達した後にIPアドレスから開始された新しい接続はドロップされます。

        • 自動: Anti-DDoS Proxyは、単一の送信元IPアドレスから開始できる1秒あたりの新規接続の最大数を動的に計算します。

        • 手動: 単一の送信元IPアドレスから開始できる1秒あたりの新規接続の最大数を手動で指定する必要があります。

        説明

        スクラビングノードはクラスターにデプロイされるため、新しい接続の制限は実際のシナリオとは若干異なる場合があります。

        ブラックリスト設定:

        • を選択した場合、ソースクライアントからの新規接続数が 1 分以内に 5 回しきい値を超えると、ソースクライアントの IP アドレスはブラックリストに追加されます。 チェックボックスをオンにすると、ブラックリストのIPアドレスからのすべてのリクエストが削除されます。

        • ブラックリスト設定を有効にするには、ブラックリストの有効期間を設定します。 有効な値: 1 ~ 10080 単位は分です。 デフォルト値:30。 ブラックリストに追加されたIPアドレスは、有効期間が終了するとブラックリストから削除されます。

        ソースの同時接続制限

        このパラメーターには、単一のIPアドレスから開始できる同時接続の最大数を指定します。 有効な値: 1 ~ 50000 上限に達した後のポートへの同時接続はドロップされます。

        ブラックリスト設定:

        • を選択した場合、ソースクライアントからの同時接続数が 1 分以内に 5 回しきい値を超えると、ソースクライアントの IP アドレスはブラックリストに追加されます。 チェックボックスをオンにすると、ブラックリストのIPアドレスからのすべてのリクエストが削除されます。

        • ブラックリスト設定を有効にするには、ブラックリストの有効期間を設定します。 有効な値: 1 ~ 10080 単位は分です。 デフォルト値:30。 ブラックリストに追加されたIPアドレスは、有効期間が終了するとブラックリストから削除されます。

        ソースの PPS 制限

        このパラメーターには、単一のIPアドレスから許可できる1秒あたりの最大パケット数を指定します。 設定可能な値は1 から 100です。 上限に達した後にIPアドレスから開始されたパケットはドロップされます。

        ブラックリスト設定:

        • を選択した場合、ソースクライアントのソースパケット/秒 (PPS) が 1 分以内に 5 回しきい値を超えると、ソースクライアントの IP アドレスがブラックリストに追加されます。 チェックボックスをオンにすると、ブラックリストのIPアドレスからのすべてのリクエストが削除されます。

        • ブラックリスト設定を有効にするには、ブラックリストの有効期間を設定します。 有効な値: 1 ~ 10080 単位は分です。 デフォルト値:30。 ブラックリストに追加されたIPアドレスは、有効期間が終了するとブラックリストから削除されます。

        配信元の帯域幅制限

        このパラメータは、単一のIPアドレスの最大帯域幅を指定します。 有効な値: 1024〜268435456。 単位: バイト /秒。

        ブラックリスト設定:

        • を選択した場合、ソースクライアントのソース帯域幅が 1 分以内に 5 回しきい値を超えると、ソースクライアントの IP アドレスがブラックリストに追加されます。 チェックボックスをオンにすると、ブラックリストのIPアドレスからのすべてのリクエストが削除されます。

        • ブラックリスト設定を有効にするには、ブラックリストの有効期間を設定します。 有効な値: 1 ~ 10080 単位は分です。 デフォルト値:30。 ブラックリストに追加されたIPアドレスは、有効期間が終了するとブラックリストから削除されます。

      • 宛先の速度制限: 宛先の速度制限セクションで、設定の変更 をクリックします。 [設定の変更] ダイアログボックスで、必要なパラメーターを設定し、[OK] をクリックします。

        パラメーター

        説明

        宛先の新規接続率制限

        このパラメータには、Anti-DDoS Proxyポートを介して確立できる1秒あたりの新規接続の最大数を指定します。 有効な値: 100〜100000。 上限に達した後にIPアドレスから開始されたリクエストはドロップされます。

        説明

        スクラビングノードはクラスターにデプロイされるため、新しい接続の制限は実際のシナリオとは若干異なる場合があります。

        宛先の同時接続制限

        このパラメーターには、Anti-DDoS Proxyポートで確立できる同時接続の最大数を指定します。 有効な値: 1000〜1000000。 上限に達した後にポートに送信されたリクエストはドロップされます。

      • パケット長の制限: パケット長の制限 セクションで、設定の変更 をクリックします。 [設定] ダイアログボックスで、パケットに含まれるペイロードの最小長と最大長を指定し、[OK] をクリックします。 有効な値: 0 ~ 1500 単位はバイトです。

    一度に複数のポート転送ルールのDDoS軽減ポリシーを設定する

    1. Anti-DDoS Proxyコンソールにログインします。

    2. 上部のナビゲーションバーで、インスタンスのリージョンを選択します。

      • Anti-DDoS Proxy (中国本土): インスタンスがAnti-DDoS Proxy (中国本土) インスタンスの場合、[中国本土] を選択します。

      • Anti-DDoS Proxy (Outside Chinese Mainland): インスタンスがAnti-DDoS Proxy (Outside Chinese Mainland) インスタンスの場合、[Outside Chinese Mainland] を選択します。

    3. 左側のナビゲーションウィンドウで、接続管理 > ポート接続 を選択します。

    4. ポート接続 ページで、管理するインスタンスを選択し、ルールリストの下にある 一括操作 > Anti-DDoS 保護ポリシーの作成 を選択します。

    5. Anti-DDoS 保護ポリシーの作成 ダイアログボックスで、必要な形式に従ってDDoS軽減ポリシーの内容を入力し、[OK] をクリックします。

      説明

      DDoS軽減ポリシーをTXTファイルにエクスポートし、TXTファイルのコンテンツを変更してから、変更したコンテンツをコピーして必須フィールドに貼り付けることもできます。 エクスポートされたファイル内のDDoS軽減ポリシーの形式は、作成するポリシーの形式と同じである必要があります。 詳細については、「一度に複数のポート設定をエクスポートする」をご参照ください。

      • ポート転送ルールごとに、各行に1つのDDoS軽減ポリシーのみを設定します。

      • DDoS軽減ポリシーを設定すると、左から右のフィールドに次のパラメーターが表示されます。転送ポート、転送プロトコル (tcpまたはudp) 、ソースの新しい接続制限、ソースの同時接続制限、宛先の新しい接続制限、宛先の同時接続制限、最小パケット長、最大パケット長、偽ソース、空の接続です。 フィールドをスペースで区切ります。

      • 転送ポートは、転送ルールで指定されたポートである必要があります。

      • 偽のソースフィールドと空の接続フィールドの有効な値はオンとオフです。 値offは、機能が無効であることを指定します。