CDNまたはDCDNインタラクション機能を使用してDDoS攻撃を軽減する方法 - Anti-DDoS

Webサイトでアクセスの高速化と分散型サービス拒否 (DDoS) の軽減の両方が必要な場合は、Alibaba Cloud CDN (CDN) またはDynamic Content Delivery Network (DCDN) インタラクション機能を使用できます。 Sec-Traffic Managerを使用して、インテリジェントなスケジューリングを有効にできます。 DDoS攻撃が発生しない場合、最も近いCDNまたはDCDNノードを使用してサービスアクセスを高速化します。 DDoS攻撃が発生した場合、トラフィックはスクラブのためにAnti-DDoS Proxyインスタンスに切り替えられ、サービスの安定性を確保するためにサービストラフィックのみがオリジンサーバーに転送されます。このトピックでは、CDNまたはDCDNのインタラクション機能を設定する方法について説明します。

説明

Webサイトでアクセスの高速化とDDoSの軽減の両方が必要な場合、Alibaba Cloudは次のソリューションを提供します。

解決策1 :( 推奨) DCDNでDDoS軽減機能を有効にする
Webサイトのドメイン名をDCDNに追加した後、数回クリックするだけでDDoS軽減機能を有効にできます。 Anti-DDoS Proxyコンソールで設定は必要ありません。詳細については、「軽減設定」をご参照ください。
説明
DDoS軽減機能をサポートしているのはDCDNのみです。 Webサイトのドメイン名をCDNに追加する場合、ドメイン名をDCDNに移行し、DDoS軽減機能を使用できます。詳細については、「ドメイン名のAlibaba Cloud CDNからDCDNへのアップグレード」をご参照ください。
解決策2: CDNまたはDCDNインタラクション機能を有効にする
このソリューションについては、このトピックで説明します。トラフィックは、スクラブのためにAnti-DDoS Proxyインスタンスに切り替えられ、サービストラフィックのみがオリジンサーバーに転送されます。 Webサイトのドメイン名をCDNまたはDCDNおよびAnti-DDoS Proxyに追加する必要があります。次に、Anti-DDoS ProxyのSec-Traffic Managerで対話ルールを設定する必要があります。

インタラクションルールを設定すると、トラフィックはスクラブのためにAnti-DDoS Proxyインスタンスに切り替えられ、サービストラフィックのみがオリジンサーバーに転送されます。 DCDNでDDoS軽減機能を有効にすると、トラフィックはスクラブのためにAnti-DDoS Proxyインスタンスに切り替えられ、サービストラフィックはDCDNに転送されます。 Webサイトが攻撃を受けている場合でもアクセスの高速化が保証されます。詳細については、次の図を参照してください。

使用上の注意

Webサイトのサービス帯域幅が3 Gbit/sを超える場合、または1秒あたりのクエリ数 (QPS) が10,000を超える場合は、CDNまたはDCDNインタラクション機能を使用する前に、アカウントマネージャーに評価を求めてください。
Webサイトが週に3回以上攻撃された場合は、Anti-DDoSプロキシのみを使用することを推奨します。これにより、CDNまたはDCDNとAnti-DDoS Proxyの間の頻繁なトラフィック切り替えがサービスに影響を与えるのを防ぎます。
CDNまたはDCDNインタラクション機能では、IPv4およびIPv6アドレスを使用するAnti-DDoS Proxyインスタンスがサポートされています。
攻撃が発生すると、設定は、トラフィックがインスタンスに切り替えられた後のドメイン名システム (DNS) レコードの有効期限 (TTL) に基づいて有効になります。
CDNまたはDCDNインタラクション機能を使用する前に、CDNまたはDCDNアクセラレーションドメイン名がサンドボックスに追加されていないことを確認してください。詳細については、「サンドボックスの概要」をご参照ください。 CDNまたはDCDN高速化ドメイン名がサンドボックスに追加され、ドメイン名のDDoS軽減を設定し、サンドボックスからドメイン名を削除する場合は、アカウントマネージャーに連絡してください。

サポートされているインスタンスタイプ

Profession and Advancedの軽減プランのAnti-DDoSプロキシ (中国本土) インスタンス、およびInsurance and Unlimitedの軽減プランのAnti-DDoSプロキシ (中国本土以外) インスタンス。前述の軽減プランのインスタンスは、拡張関数プランを使用する必要があります。

前提条件

Webサイトのドメイン名がCDNまたはDCDNに追加されます。詳細については、「CDNインタラクションのドメイン名の追加」または「DCDNインタラクションのドメイン名の追加」をご参照ください。
Anti-DDoS Proxyインスタンスが購入され、Webサイトのドメイン名がインスタンスに追加されます。詳細については、「Anti-DDoS Proxyインスタンスの購入」および「1つ以上のWebサイトの追加」をご参照ください。
Anti-DDoS Proxyインスタンスは、サービストラフィックを期待どおりに転送します。詳細については、「オンプレミスコンピューターでの転送設定の確認」をご参照ください。

手順

Anti-DDoS Proxyコンソールにログインします。
上部のナビゲーションバーで、インスタンスのリージョンを選択します。
- Anti-DDoS Proxy (中国本土): インスタンスがAnti-DDoS Proxy (中国本土) インスタンスの場合、[中国本土] を選択します。
- Anti-DDoS Proxy (Outside Chinese Mainland): インスタンスがAnti-DDoS Proxy (Outside Chinese Mainland) インスタンスの場合、[Outside Chinese Mainland] を選択します。
左側のナビゲーションウィンドウで、プロビジョニング > Sec-Traffic Manager を選択します。表示されるページで、CDN Interaction タブをクリックします。
説明
CDNまたはDCDNインタラクション機能を初めて使用するときは、今すぐ許可 をクリックします。次に、プロンプトに従ってAnti-DDoSプロキシにCDNまたはDCDNへのアクセスを許可します。

管理するドメイン名を見つけて、操作列の インタラクション追加 をクリックします。 インタラクション追加 パネルでパラメーターを設定し、次へをクリックします。下表に、各パラメーターを説明します。

パラメーター	説明
Anti-DDoS インスタンス	CDNまたはDCDNと一緒に使用するインスタンス。説明システムがCDN インタラクション機能を使用するには、このインスタンスの機能強化プランを購入する必要があります。メッセージを表示し、プロンプトに従ってインスタンスを拡張機能プランにアップグレードします。システムがAnti-DDoS インスタンスが選択されていません。メッセージで、Webサイトのドメイン名をインスタンスに追加します。詳細については、「1つ以上のWebサイトの追加」をご参照ください。
クラウドサービス	インタラクションのリソースが自動的に選択されます。 Webサイトのドメイン名がCDNまたはDCDNに追加されていない場合は、プロンプトに従ってドメイン名をCDNまたはDCDNに追加します。次に、約10分待ってから、対話ルールを設定します。詳細については、「CDNインタラクションのドメイン名の追加」または「DCDNインタラクションのドメイン名の追加」をご参照ください。
QPSへのアクセス	最小QPSしきい値。このしきい値に達すると、Anti-DDoSプロキシへのトラフィック切り替えがトリガーされます。トラフィックの切り替えの詳細については、「トラフィックの切り替え」をご参照ください。説明トラフィックの急増を処理するには、このパラメーターをWebサイトの過去のピークQPSの2〜3倍以上に設定することを推奨します。 WebサイトのQPSが低いかどうかに関係なく、500未満の値を指定しないでください。

コンピューター上のhostsファイルを変更して、ネットワークアクセラレーションルールを確認します。これにより、一貫性のないback-to-originポリシーによって引き起こされる非互換性の問題を回避できます。詳細については、「ローカルマシンでのトラフィック転送設定の確認」をご参照ください。
たとえば、CDNを使用すると、back-to-originリクエストのオリジンホストを変更できます。ただし、Anti-DDoSプロキシを使用して、back-to-originリクエストのオリジンホストを変更することはできません。 CDNインタラクション機能を使用してObject Storage Service (OSS) オブジェクトからデータを取得する場合、Anti-DDoS Proxyによって転送されるサービストラフィックはOSSによって識別できません。その結果、サービスが中断されます。
DNSプロバイダーのWebサイトにアクセスし、DNSレコードを変更して、Sec-traffic ManagerのCNAMEにトラフィックを転送します。詳細については、「CNAMEレコードを変更してトラフィックをSec-traffic Managerにリダイレクトする」をご参照ください。
説明
Webサイトのドメイン名をCDNまたはDCDN、Anti-DDoSプロキシ、および対話ルールに追加すると、CDNまたはDCDN、Anti-DDoSプロキシ、およびSec-Traffic Managerによって3つのCNAMEが生成されます。この場合、ドメイン名がSec-Traffic ManagerのCNAMEに解決されていることを確認する必要があります。

トラフィックの切り替え

トラフィックは自動または手動で切り替えることができます。インタラクションルールが作成された後、切り替えの条件が満たされると、トラフィックはCDNまたはDCDNとインスタンスの間で自動的に切り替えられます。トラフィックを手動でインスタンスに切り替えてから、ビジネス要件に基づいて手動でトラフィックをCDNまたはDCDNに戻すこともできます。ほとんどの場合、自動切り替えの使用を推奨します。

自動切り替え

スイッチタイプ

条件

CDNまたはDCDNからAnti-DDoSプロキシへの切り替え

次のいずれかの条件が満たされると、切り替えがトリガーされます。

QPSが3分以内に3回連続して、または10分以内に6回以上しきい値を超えており、CDNまたはDCDNのトラフィックが10 Gbit/sを超えていません。
Webサイトのドメイン名がサンドボックスに追加され、CDNまたはDCDNのトラフィックは10 Gbit/sを超えません。

Anti-DDoSプロキシからCDNまたはDCDNへの切り替え

次の条件をすべて満たすと、スイッチオーバーがトリガーされます。

QPSはしきい値の80% 未満のままであり、攻撃要求は12時間以上連続して10% 未満のままです。
過去1時間のインスタンスのIPアドレスに対して、ブラックホールフィルタリングまたはトラフィックスクラブはトリガーされません。
Webサイトのドメイン名はサンドボックスに追加されません。

重要

トラフィックは、08:00〜23:00の時間帯にのみCDNまたはDCDNに切り替えられます。

手動切り替え

スイッチタイプ	説明
CDNまたはDCDNからAnti-DDoSプロキシへの切り替え	インスタンスによるトラフィックスクラビングが自動的にトリガーされない場合、トラフィックを手動でインスタンスに切り替えてスクラビングできます。トラフィックが急増しても自動切り替えの条件を満たしていない場合は、トラフィックを手動でインスタンスに切り替えて、Webサイトへの攻撃の悪影響を防ぐことができます。重要インスタンスのIPアドレスに対してブラックホールフィルタリングがトリガーされていない場合にのみ、トラフィックをインスタンスに切り替えることができます。トラフィックをインスタンスに手動で切り替えた後、自動切り替えの条件が満たされると、トラフィックを自動的にCDNまたはDCDNに戻すことができます。
Anti-DDoSプロキシからCDNまたはDCDNへの切り替え	サービスのトラフィックの急増によりトラフィックがインスタンスに切り替えられた場合、トラフィックを手動でCDNまたはDCDNに切り替えて、Webサイトへの悪影響を防ぐことができます。重要トラフィックをCDNまたはDCDNに戻す前に、攻撃が停止し、ドメイン名がサンドボックスに追加されていないことを確認してください。

Anti-DDoS:CDNまたはDCDNインタラクション機能の使用

説明