Anti-DDoS Proxyを使用すると、DDoS軽減ポリシーを設定して、Webサイト以外のサービスをレイヤー4 DDoS攻撃から保護できます。 ポリシーには、偽のソース、空の接続、ソースのレート制限、宛先の速度制限の機能が含まれます。 Anti-DDoS Proxyインスタンスのポート転送ルールを作成し、Webサイト以外のサービスをインスタンスに関連付けるときに、特定のポート転送ルールに対してDDoS軽減ポリシーを設定できます。 一度に複数のポート転送ルールに対してDDoS軽減ポリシーを設定することもできます。 このトピックでは、DDoS軽減ポリシーを追加する方法について説明します。
概要
Webサイト以外のサービスの場合、DDoS軽減ポリシーはIPアドレスとポートに基づいて設定されます。 接続指向のDDoS攻撃を軽減するために、ビジネス要件に基づいてリクエストレート、パケット長、およびその他のパラメーターを設定できます。 DDoS軽減ポリシーは、ポートにのみ適用されます。
Anti-DDoS Proxyを使用すると、Webサイト以外のサービスのDDoS軽減ポリシーに次の機能を設定できます。
偽ソース: 偽造されたIPアドレスから開始されたDDoS攻撃を検証およびフィルタリングします。
高度な攻撃保護: TCPの3ウェイハンドシェイクに続いて、通常はMiraiのようなボットネットから、過度に多数の異常なパケットを迅速に送信するDDoS攻撃を検出して軽減します。
説明IPv4アドレスを使用するAnti-DDoS Proインスタンスはこの機能を設定できますが、IPv6アドレスを使用するAnti-DDoS Proインスタンスは設定できません。
パケットフィルタリング: パケットペイロードを分析して攻撃から保護することにより、通常のサービストラフィックと攻撃トラフィックを正確に区別します。 この機能では、アプリケーション層プロトコルに基づいてアクセス制御ルールを設定することもできます。
説明この機能を設定できるのは、IPv4アドレスを使用する拡張機能プランのAnti-DDoS Proxy (中国本土) インスタンスのみです。
ソースの速度制限: アクセス要求が上限を超えた場合、インスタンスのIPアドレスとポートに基づいて送信元IPアドレスのデータ転送レートを制限します。 アクセス要求が上限を超えない送信元IPアドレスのデータ転送速度は制限されません。 ソース機能のレート制限は、ブラックリスト設定をサポートしています。 60秒以内にアクセス要求が上限を超えたIPアドレスを5回ブラックリストに追加できます。 ブラックリストのブロック期間を指定することもできます。
宛先の速度制限: 転送速度が上限を超えた場合、インスタンスのIPアドレスとポートに基づいて、インスタンスが使用するポートのデータ転送速度を制限します。 他のポートのデータ転送速度は制限されない。
パケット長の制限: 通過できるパケットの最小長と最大長を指定します。 長さが無効なパケットは破棄される。
前提条件
Webサイト以外のサービスがAnti-DDoS Proxyに追加されます。 詳細については、「転送ルールの管理」をご参照ください。
単一ポート転送ルールのDDoS軽減ポリシーの設定
Anti-DDoS Proxyコンソールにログインします。
上部のナビゲーションバーで、インスタンスのリージョンを選択します。
Anti-DDoS Proxy (中国本土): インスタンスがAnti-DDoS Proxy (中国本土) インスタンスの場合、[中国本土] を選択します。
Anti-DDoS Proxy (Outside Chinese Mainland): インスタンスがAnti-DDoS Proxy (Outside Chinese Mainland) インスタンスの場合、[Outside Chinese Mainland] を選択します。
左側のナビゲーションウィンドウで、
を選択します。一般的なポリシー ページで、非ウェブサイトサービスの保護 タブをクリックし、ページ上部で管理するAnti-DDoS Proxyインスタンスを選択します。
左側のリストから設定する転送ルールをクリックして、保護ポリシーを設定します。
偽ソース: この機能は、TCPポート転送ルールにのみ適用されます。
パラメーター
説明
偽ソース
このオプションを有効にして、偽造IPアドレスからのリクエストをブロックします。
偽ソースを無効にすると、空接続と高度な攻撃保護も無効になります。
空接続
このオプションを有効にして、nullセッションを確立しようとするリクエストをブロックします。 空接続 をオンにするには、偽ソース を有効にする必要があります。
高度な攻撃保護: この機能は、TCPポート転送ルールにのみ適用されます。 デフォルトの保護モードは [通常] です。 高度な攻撃保護を有効にするには、偽ソースを有効にする必要があります。
保護モード
効果
シナリオ
ルーズ
このモードは、明らかな攻撃特性を持つ要求をブロックします。 少数の攻撃が許容され得るが、偽陽性率は低い。
このモードは、ライブストリーミング、ストリーミングメディア、データダウンロードなどの大規模な一方向データ伝送を伴うサービス、またはオリジンサーバーで高帯域幅を必要とするサービスに適しています。
ノーマル (推奨)
ほとんどの場合、このモードはワークロードには影響せず、保護効果と低い誤検出率のバランスを取ります。 このモードを使用することを推奨します。
このモードは、ほとんどのシナリオに適しています。
ストリクト
このモードは、厳格な攻撃検証の実施に役立ちます。 場合によっては、このモードは偽陽性を引き起こす。
このモードは、オリジンサーバーの帯域幅が制限されている、または保護効果が弱いシナリオに適しています。
パケットフィルタリング: パケットペイロードに基づいて正確なアクセス制御ルールを設定します。 1つのルールに複数の一致する条件が含まれている場合、対応するアクションをトリガーするにはすべての条件を満たす必要があります。
パラメーター
説明
優先度
1〜100の値を割り当てます。値が低いほど優先度が高いことを示します。
名前
簡単に識別できるように、モニタリングルールに名前を付けます。
一致条件
一致条件: パケットペイロードの形式を定義します。 文字列 または 16 進数 を選択します。
区間マッキング: ペイロードマッチングの開始位置と終了位置を指定します。 両方の位置の有効範囲は0から1499バイトです。 開始位置は終了位置を超えてはなりません。
論理関係: 含む または 次を含まない: を選択します。
フィールド値:
一致条件が文字列に設定されている場合、一致するコンテンツの長さは1500バイトを超えてはならず、開始位置と終了位置で指定された範囲内にある必要があります。
一致条件が16 進数に設定されている場合、内容は16進文字で構成され、3000文字を超えず、偶数で、指定された範囲内に収まる必要があります。
操作
観察: モニタールールと一致する場合、リクエストを許可します。
ブロック: ブロックルールに一致する場合、リクエストを拒否します。
ソースの速度制限
パラメーター
説明
発信元の新規接続率制限
このパラメーターには、単一のIPアドレスから開始できる1秒あたりの新規接続の最大数を指定します。 有効な値: 1 ~ 50000 上限に達した後にIPアドレスから開始された新しい接続はドロップされます。
自動: Anti-DDoS Proxyは、単一の送信元IPアドレスから開始できる1秒あたりの新規接続の最大数を動的に計算します。
手動: 単一の送信元IPアドレスから開始できる1秒あたりの新規接続の最大数を手動で指定する必要があります。
説明スクラビングノードはクラスターにデプロイされるため、新しい接続の制限は実際のシナリオとは若干異なる場合があります。
ブラックリスト設定:
を選択した場合、ソースクライアントからの新規接続数が 1 分以内に 5 回しきい値を超えると、ソースクライアントの IP アドレスはブラックリストに追加されます。 チェックボックスをオンにすると、ブラックリストのIPアドレスからのすべてのリクエストが削除されます。
ブラックリスト設定を有効にするには、ブラックリストの有効期間を設定します。 有効な値: 1 ~ 10080 単位:分 デフォルト値:30。 ブラックリストに追加されたIPアドレスは、有効期間が終了するとブラックリストから削除されます。
ソースの同時接続制限
このパラメーターには、単一のIPアドレスから開始できる同時接続の最大数を指定します。 有効な値: 1 ~ 50000 上限に達した後のポートへの同時接続はドロップされます。
ブラックリスト設定:
を選択した場合、ソースクライアントからの同時接続数が 1 分以内に 5 回しきい値を超えると、ソースクライアントの IP アドレスはブラックリストに追加されます。 チェックボックスをオンにすると、ブラックリストのIPアドレスからのすべてのリクエストが削除されます。
ブラックリスト設定を有効にするには、ブラックリストの有効期間を設定します。 有効な値: 1 ~ 10080 単位:分 デフォルト値:30。 ブラックリストに追加されたIPアドレスは、有効期間が終了するとブラックリストから削除されます。
ソースの PPS 制限
このパラメーターには、単一のIPアドレスから許可できる1秒あたりの最大パケット数を指定します。 設定可能な値は1 から 100です。 上限に達した後にIPアドレスから開始されたパケットはドロップされます。
ブラックリスト設定:
を選択した場合、ソースクライアントのソースパケット/秒 (PPS) が 1 分以内に 5 回しきい値を超えると、ソースクライアントの IP アドレスがブラックリストに追加されます。 チェックボックスをオンにすると、ブラックリストのIPアドレスからのすべてのリクエストが削除されます。
ブラックリスト設定を有効にするには、ブラックリストの有効期間を設定します。 有効な値: 1 ~ 10080 単位:分 デフォルト値:30。 ブラックリストに追加されたIPアドレスは、有効期間が終了するとブラックリストから削除されます。
配信元の帯域幅制限
このパラメータは、単一のIPアドレスの最大帯域幅を指定します。 有効な値: 1024〜268435456。 単位: バイト /秒。
ブラックリスト設定:
を選択した場合、ソースクライアントのソース帯域幅が 1 分以内に 5 回しきい値を超えると、ソースクライアントの IP アドレスがブラックリストに追加されます。 チェックボックスをオンにすると、ブラックリストのIPアドレスからのすべてのリクエストが削除されます。
ブラックリスト設定を有効にするには、ブラックリストの有効期間を設定します。 有効な値: 1 ~ 10080 単位:分 デフォルト値:30。 ブラックリストに追加されたIPアドレスは、有効期間が終了するとブラックリストから削除されます。
宛先の速度制限: デフォルト設定は、TCPとUDPのポート転送ルールによって異なります。
TCPポート転送ルール:
パラメーター
説明
宛先の新規接続率制限
このパラメーターには、Anti-DDoS Proxyポートを介して確立できる1秒あたりの新規接続の最大数を指定します。有効な値は100〜100,000です。 余分な接続はドロップされます。
デフォルトでは、この機能は有効になっており、制限は100,000に設定されています。
この機能は無効にできません。 無効にしようとすると、値はデフォルトの100,000にリセットされます。
説明スクラビングノードはクラスターにデプロイされているため、新しい接続の実際の制限はわずかに異なる場合があります。
宛先の同時接続制限
このパラメーターは、Anti-DDoS Proxyポートで確立できる同時接続の最大数を定義します。有効な値は1,000〜2,000,000です。 余分な接続はドロップされます。
デフォルトでは、この機能は有効になっており、制限は2,000,000に設定されています。
この機能は無効にできません。 無効にしようとすると、値はデフォルトの2,000,000にリセットされます。
UDPポート転送ルール:
パラメーター
説明
宛先の新規接続率制限
このパラメータには、Anti-DDoS Proxyポートを介して確立できる1秒あたりの新規接続の最大数を指定します。
デフォルトでは、この機能は無効になっており、有効な値は100から50,000です。
説明新しい接続の実際の制限は、スクラビングノードのクラスター化された展開によってわずかに異なる場合があります。
宛先の同時接続制限
このパラメーターには、Anti-DDoS Proxyポートを介して確立できる同時接続の最大数を指定します。有効な値は1,000〜200,000です。
デフォルトでは、この機能は有効になっており、200,000に設定されています。
この機能は無効にできません。 無効にしようとすると、値はデフォルトの200,000にリセットされます。
パケット長の制限: パケット長の制限 セクションで、設定の変更 をクリックします。 パケットに含まれるペイロードの最小長と最大長を指定し、[OK] をクリックします。 有効値: 0 ~ 1,500バイト。
一度に複数のポート転送ルールのDDoS軽減ポリシーを設定する
Anti-DDoS Proxyコンソールにログインします。
上部のナビゲーションバーで、インスタンスのリージョンを選択します。
Anti-DDoS Proxy (中国本土): インスタンスがAnti-DDoS Proxy (中国本土) インスタンスの場合、[中国本土] を選択します。
Anti-DDoS Proxy (Outside Chinese Mainland): インスタンスがAnti-DDoS Proxy (Outside Chinese Mainland) インスタンスの場合、[Outside Chinese Mainland] を選択します。
左側のナビゲーションウィンドウで、
を選択します。ポート接続 ページで、管理するインスタンスを選択し、ルールリストの下にある
を選択します。Anti-DDoS 保護ポリシーの作成 ダイアログボックスで、必要な形式に従ってDDoS軽減ポリシーの内容を入力し、[OK] をクリックします。
説明DDoS軽減ポリシーをTXTファイルにエクスポートし、TXTファイルのコンテンツを変更してから、変更したコンテンツをコピーして必須フィールドに貼り付けることもできます。 エクスポートされたファイル内のDDoS軽減ポリシーの形式は、作成するポリシーの形式と同じである必要があります。 詳細については、「一度に複数のポート設定をエクスポートする」をご参照ください。
ポート転送ルールごとに、各行に1つのDDoS軽減ポリシーのみを設定します。
DDoS軽減ポリシーを設定すると、左から右のフィールドに次のパラメーターが表示されます。転送ポート、転送プロトコル (tcpまたはudp) 、ソースの新しい接続制限、ソースの同時接続制限、宛先の新しい接続制限、宛先の同時接続制限、最小パケット長、最大パケット長、偽ソース、空の接続です。 フィールドをスペースで区切ります。
転送ポートは、転送ルールで指定されたポートである必要があります。
偽のソースフィールドと空の接続フィールドの有効な値はオンとオフです。 値offは、機能が無効であることを指定します。