Anti-DDoS Proxyインスタンスにサービスを追加すると、インスタンスで検出された攻撃のイベントと詳細を表示して、攻撃の送信元IPアドレス、攻撃タイプの分布、送信元の場所別の攻撃分布などの情報を取得できます。 これにより、透明な保護プロセスが保証され、保護分析のユーザーエクスペリエンスが向上します。 カスタム設定を指定することもできます。 このトピックでは、[攻撃分析] ページで攻撃イベントをクエリする方法について説明します。
攻撃イベントタイプ
攻撃イベントタイプ | 説明 |
Web リソース消耗タイプ | 攻撃者は通常のユーザーをシミュレートして、ドメイン名がAnti-DDoS Proxyインスタンスに追加されたwebサービスにサービスリクエストを送信します。 攻撃者は、webサービス内の多数のリソースを消費するページに頻繁にアクセスします。 その結果、サーバのリソースが枯渇し、ウェブサービスは通常のサービス要求に応答することができない。 攻撃者がAnti-DDoS Proxyインスタンスに追加された複数のドメイン名にサービスリクエストを同時に送信すると、Webリソース枯渇タイプの複数の攻撃イベントが記録されます。 |
接続タイプ | 攻撃者は、Anti-DDoS Proxyインスタンスに追加されたサービスポートへのTCPまたはUDP接続を確立します。 その結果、サービスのサーバが過負荷となり、新しい接続要求を処理することができず、サービス障害が発生する可能性があります。 攻撃者がAnti-DDoS Proxyインスタンスに追加された複数のサービスポートに接続リクエストを同時に送信すると、接続フラッド攻撃の複数のイベントが記録されます。 |
トラフィックタイプ | 攻撃者は、多数のゾンビサーバーからAnti-DDoS ProxyインスタンスのIPアドレスに多数のサービスリクエストを同時に送信します。 その結果、ネットワークデバイスおよびサーバが過負荷になり、ネットワーク輻輳およびサービス障害が発生する可能性がある。 攻撃者が複数のAnti-DDoS ProxyインスタンスのIPアドレスにサービスリクエストを同時に送信すると、複数のボリューム攻撃イベントが記録されます。 説明 デフォルトでは、Anti-DDoS Proxyは、インバウンドトラフィックが1 Gbit/sを超え、スクラブされたトラフィックが100 Mbit/sに達した場合にのみ攻撃イベントを生成します。 このように、より少ない攻撃イベントが生成される。 実際のインバウンドトラフィックが前のしきい値未満の場合、攻撃イベントは生成されません。 ビジネス要件に基づいて、カスタムアラートしきい値を設定できます。 カスタムアラートしきい値を設定するには、[セキュリティの概要] ページで [アラートしきい値の設定] をクリックします。 カスタムアラートしきい値は、スクラブされたトラフィックがコンソールに表示されたときに攻撃イベントが生成されないという問題を解決するのに役立ちます。 |
前提条件
Anti-DDoSプロキシ (中国本土) またはAnti-DDoSプロキシ (中国本土以外) インスタンスが購入されました。 詳細については、「Anti-DDoS Proxyインスタンスの購入」をご参照ください。
WebサイトサービスまたはWebサイト以外のサービスがAnti-DDoS Proxyに追加されます。 詳細については、「Webサイトの追加」または「転送ルールの管理」をご参照ください。
攻撃イベントの照会
Anti-DDoS Proxyコンソールにログインします。
上部のナビゲーションバーで、インスタンスのリージョンを選択します。
Anti-DDoS Proxy (中国本土): インスタンスがAnti-DDoS Proxy (中国本土) インスタンスの場合、[中国本土] を選択します。
Anti-DDoS Proxy (Outside Chinese Mainland): インスタンスがAnti-DDoS Proxy (Outside Chinese Mainland) インスタンスの場合、[Outside Chinese Mainland] を選択します。
左側のナビゲーションウィンドウで、 を選択します。
アタック分析 ページで、攻撃タイプと時間範囲を選択して、攻撃イベントを照会します。
説明過去180日間の攻撃イベントのみを照会できます。
オプションです。 操作 列の 詳細を見る をクリックして、攻撃イベントの詳細を表示します。
イベント詳細 ページの右上隅にある レポートのエクスポート をクリックし、画像のエクスポート または PDF のエクスポート をクリックして、現在のイベントの詳細ページをPNGまたはPDF形式でコンピューターに保存できます。
攻撃イベントの保護効果に関する提案や質問がある場合は、攻撃イベントの 操作 列の 効果のフィードバック をクリックします。 私たちはあなたの提案に基づいて保護効果を最適化し、改善し続けます。
攻撃イベントの詳細Details of an attack event
Webリソースの枯渇
イベントの詳細を表示し、サービスのドメイン名に対して特定の保護項目を設定できます。
情報 | 説明 |
攻撃イベントの基本情報 |
|
攻撃からの保護の詳細 | このセクションでは、1秒あたりの合計インバウンドクエリ (QPS) 、攻撃中にさまざまな軽減モジュールのポリシーをトリガーするQPSの傾向、トリガーされたポリシーの有効時間とブロックされたリクエストが表示されます。 [攻撃軽減の詳細] セクションの右上隅で、照会する時間範囲を指定できます。 軽減モジュールは、ブラックリスト、位置ブラックリスト、周波数制御、正確なアクセス制御、およびその他を含む。 その他軽減モジュールは、CAPTCHA検証に失敗する要求などの要求をブロックします。 さまざまな保護モジュールを設定する方法の詳細については、「Webサイトサービスの保護」をご参照ください。 |
保護モジュールフィルタリングの分布 | このセクションでは、さまざまな保護モジュールによってブロックされた攻撃要求の分布を表示します。 [保護モジュールでブロックされたリクエスト] セクションの右上隅にある 軽減設定 をクリックして、さまざまな保護モジュールの設定を構成できます。 さまざまな保護モジュールを設定する方法の詳細については、「Webサイトサービスの保護」をご参照ください。 |
保護ポリシートップ 10 | このセクションでは、最も頻繁にヒットした上位10件の軽減ポリシーとヒット数を表示します。 詳細 をクリックすると、最も頻繁にヒットした上位の100軽減ポリシーのヒットを表示できます。 [上位10件のヒットポリシー] セクションの右上隅にある 軽減設定 をクリックして、さまざまな保護モジュールのポリシーを設定できます。 さまざまな保護モジュールを設定する方法の詳細については、「Webサイトサービスの保護」をご参照ください。 |
ソースの場所 | このセクションでは、攻撃元の場所別の攻撃要求の分布を表示します。 グローバル と 中国本土 を切り替えて、国別または中国の行政地域別に場所を表示できます。 詳細 をクリックすると、さまざまなソースロケーションの攻撃リクエストの割合を表示できます。 ロケーションからのリクエストをブロックする場合は、[ソースロケーション] セクションの右上隅にある 軽減設定 をクリックします。 次に、ブロックされたリージョン (ドメイン名) 機能を設定します。 詳細については、「場所ブラックリスト (ドメイン名) 機能の設定」をご参照ください。 |
URL | このセクションには、最も多くのリクエストを受け取る上位5つのURLが表示されます。 URLは、受信したリクエストの数が多い順に表示される。 詳細 をクリックすると、リクエストされたすべてのURLとURLのリクエスト番号が表示されます。 [詳細] をクリックすると、リクエストされたURIとURIが属するドメイン名が表示されます。 特定のURIのレート制限設定を構成する場合は、URLセクションの右上隅にある 軽減設定 をクリックします。 次に、頻度制御 機能を設定します。 詳細については、「周波数制御の設定」をご参照ください。 |
読み込みが遅い URI | このセクションには、最大応答時間を持つ上位5つのURIが表示されます。 URI応答時間は、クライアントが特定のURIのリソースを取得するための要求を送信してから、クライアントがサーバーから応答を受信して要求が完了するまでの合計時間です。 このセクションに基づいて、HTTPフラッド軽減機能を設定できます。 詳細については、「HTTPフラッド軽減機能の設定」をご参照ください。 |
攻撃元 IP アドレス | このセクションには、最も疑わしい接続が確立されている上位10個のIPアドレスと、そのIPアドレスが属する場所が表示されます。 詳細 をクリックすると、上位100の送信元IPアドレスに関する情報が表示されます。 説明 攻撃の上位100ソースIPアドレスのみを表示できます。 IPアドレスからのトラフィックをブロックする場合は、[攻撃者IPアドレス] セクションの右上隅にある 軽減設定 をクリックします。 次に、ブラックリストおよびホワイトリスト (ドメイン名) 機能を設定します。 詳細については、「ブラックリスト /ホワイトリスト (ドメイン名) 機能の設定」をご参照ください。 |
ユーザーエージェント | このセクションには、リクエストに最も頻繁に含まれる上位5つのUser-Agentエントリが表示されます。 User-Agentは、アクセス要求を開始するクライアントのブラウザ識別子、レンダリングエンジン識別子、バージョン情報などのブラウザ関連情報を示します。 このセクションに基づいて、HTTPフラッド軽減機能を設定できます。 詳細については、「HTTPフラッド軽減機能の設定」をご参照ください。 |
リファラー | このセクションには、アクセス要求に最も頻繁に含まれる上位5つのRefererエントリが表示されます。 Refererは、アクセス要求のソースURLを示します。 このセクションに基づいて、HTTPフラッド軽減機能を設定できます。 詳細については、「HTTPフラッド軽減機能の設定」をご参照ください。 |
HTTPメソッド | このセクションでは、アクセス要求で最も頻繁に使用される上位5つの要求方法を表示します。 このセクションに基づいて、HTTPフラッド軽減機能を設定できます。 詳細については、「HTTPフラッド軽減機能の設定」をご参照ください。 |
クライアント指紋 | このセクションでは、アクセス要求に最も頻繁に使用される上位5つのクライアント指紋を表示します。 クライアントフィンガープリントは、リクエストを開始するクライアントのTLSフィンガープリントに基づいて、Alibaba Cloudが開発したアルゴリズムを使用して計算されます。 クライアントフィンガープリントは、保護のためにアクセス要求を照合するために使用される。 このセクションに基づいて、HTTPフラッド軽減機能を設定できます。 詳細については、「HTTPフラッド軽減機能の設定」をご参照ください。 |
HTTP/2指紋 | このセクションでは、アクセス要求に最も頻繁に使用される上位5つのHTTP/2フィンガープリントを表示します。 HTTP/2フィンガープリントは、保護のためにHTTP/2アクセス要求を照合するために使用される。 このセクションに基づいて、HTTPフラッド軽減機能を設定できます。 詳細については、「HTTPフラッド軽減機能の設定」をご参照ください。 |
接続タイプ
イベントの詳細を表示し、Anti-DDoS Proxyインスタンスの特定の保護項目を設定できます。
情報 | 説明 |
攻撃時間 | 攻撃が発生した時点。 |
攻撃ターゲット | 攻撃されたインスタンスのIPアドレスとポート。 攻撃ターゲット の右側にある 軽減設定 をクリックします。 表示されるページの インフラストラクチャの保護 タブで、攻撃されたインスタンスの軽減設定を構成できます。 詳細については、「インフラストラクチャの保護」をご参照ください。 |
攻撃からの保護の詳細 | このセクションには、新しい接続 と 同時接続 の傾向が表示されます。 [攻撃軽減の詳細] セクションの右上隅で、照会する時間範囲を指定できます。 新しい接続の傾向には、さまざまな軽減設定によってブロックされている疑わしい接続が表示されます。 軽減設定には、[ブラックリスト] 、[場所のブラックリスト] 、および [ソースのレート制限] が含まれます。 ソースのレート制限設定には、ソースの新しい接続制限、ソースの同時接続制限、ソースのPPS制限、およびソースの帯域幅制限が含まれます。 軽減設定を構成する方法の詳細については、「ブラックリストとホワイトリスト (IPアドレスベース) 機能の構成」、「場所ブラックリスト機能の構成」、および「送信元IPアドレスの速度制限の構成」をご参照ください。 同時接続の傾向には、[アクティブ] 接続と [非アクティブ] 接続が表示されます。 |
攻撃元IP アドレス | このセクションには、最も疑わしい接続が確立されている上位5つのIPアドレスと、そのIPアドレスが属する場所が表示されます。 詳細 をクリックすると、攻撃の上位100ソースIPアドレスに関する情報が表示されます。 説明 攻撃の上位100ソースIPアドレスのみを表示できます。 IPアドレスからのトラフィックをブロックする場合は、攻撃されたインスタンスに対してブラックリストおよびホワイトリスト (宛先 IP) 機能を設定できます。 詳細については、「ブラックリストとホワイトリスト (IPアドレスベース) 機能の設定」をご参照ください。 |
攻撃のタイプ | このセクションでは、プロトコルによる攻撃要求の分布を表示します。 詳細 をクリックすると、さまざまなプロトコルの攻撃要求の割合を表示できます。 |
攻撃元エリア | このセクションでは、攻撃元の場所別の攻撃要求の分布を表示します。 詳細 をクリックすると、さまざまなソースロケーションの攻撃リクエストの割合を表示できます。 ロケーションからのリクエストをブロックする場合は、攻撃されたインスタンスに対してブロックされたリージョン機能を設定できます。 詳細については、「場所ブラックリスト機能の設定」をご参照ください。 |
ボリューム
イベントの詳細を表示し、Anti-DDoS Proxyインスタンスの特定の保護項目を設定できます。
情報 | 説明 |
攻撃時間 | 攻撃が発生した時点。 |
攻撃ターゲット | 攻撃されたインスタンスのIPアドレス。 攻撃ターゲット の右側にある 軽減設定 をクリックします。 表示されるページの インフラストラクチャの保護 タブで、攻撃されたインスタンスの軽減設定を構成できます。 詳細については、「インフラストラクチャの保護」をご参照ください。 |
攻撃からの保護の詳細 | [bps] タブには、受信帯域幅と送信帯域幅、およびトラフィックスクラブ帯域幅の傾向が表示されます。 ppsタブには、インバウンドパケットとアウトバウンドパケット、およびトラフィックスクラビングパケットの傾向が表示されます。 説明 アラートは、インバウンドトラフィックが1 Gbit/s以上で、スクラブされたトラフィックが100 Mbit/sを超える場合にのみ生成されます。 |
ソース IP | このセクションには、ほとんどのリクエストが開始された上位10個のIPアドレスと、IPアドレスが属する場所が表示されます。 詳細 をクリックすると、上位100の送信元IPアドレスに関する情報が表示されます。 説明 上位100のソースIPアドレスには、攻撃のソースIPアドレスと通常のリクエストのソースIPアドレスが含まれます。 特定のIPアドレスからのトラフィックをブロックする場合は、[送信元IPアドレス] セクションの左下隅にある ブラックリスト設定 をクリックします。 次に、ブラックリストおよびホワイトリスト (宛先 IP) 機能を設定します。 詳細については、「ブラックリストとホワイトリスト (IPアドレスベース) 機能の設定」をご参照ください。 |
攻撃元プロバイダー | このセクションでは、攻撃トラフィックの発生元であるインターネットサービスプロバイダー (ISP) による攻撃要求の分布を表示します。 詳細 をクリックすると、さまざまなISPの攻撃リクエストの割合を表示できます。 説明 攻撃元ISPセクションは、Anti-DDoS Proxy (中国本土) コンソールでのみ使用できます。 |
攻撃元エリア | このセクションでは、攻撃元の場所別の攻撃要求の分布を表示します。 詳細 をクリックすると、さまざまなソースロケーションの攻撃リクエストの割合を表示できます。 特定の場所からのトラフィックをブロックする場合は、[攻撃元の場所] セクションの左下隅にある リージョンブロック設定 をクリックします。 次に、ブロックされたリージョン 機能を設定します。 詳細については、「場所ブラックリスト機能の設定」をご参照ください。 |
攻撃のタイプ | このセクションでは、プロトコルによる攻撃要求の分布を表示します。 詳細 をクリックすると、さまざまなプロトコルの攻撃要求の割合を表示できます。 |
宛先ポート | このセクションは、攻撃されたポートの比率を表示します。 詳細 をクリックすると、攻撃された各ポートの割合が表示されます。 |