Anti-DDoS Basicは、特定のAlibaba Cloudアセットを無料で保護し、ネットワーク層およびトランスポート層のDDoS攻撃を軽減するセキュリティサービスです。このトピックでは、Anti-DDoS Basicの概要について説明します。
概要
Anti-DDoS Basicは、特定のAlibaba Cloudアセットを無料で保護し、ネットワーク層およびトランスポート層のDDoS攻撃を軽減します。
Anti-DDoS Basicは軽減されたアセットに統合され、デフォルトで500 Mbit/sから5 Gbit/sの範囲の軽減しきい値で有効になります。 この機能は無効にできません。 各アセットの軽減しきい値の詳細については、「Anti-DDoS Basicでブラックホールフィルタリングをトリガーするしきい値の表示」をご参照ください。
頻繁な攻撃に対応して、Alibaba Cloudは顧客の攻撃履歴に基づいて軽減しきい値を調整し、全体的な安定性を確保します。
通常、Anti-DDoS Basicはユーザーのアクセスを中断しません。 ただし、HTTPフラッド、SYNフラッド、ACKフラッドなどの特定の攻撃、スナイプやスイープなどの攻撃手法、Alibaba Cloudや製品仕様を超える特定のユーザーシナリオがアクセスに影響を与える可能性があります。 Anti-DDoS Basicがニーズを満たさない場合は、Anti-DDoS OriginやAnti-DDoS Proxyなどの高度な保護サービスへのアップグレードを検討してください。 詳細については、「シナリオ固有のanti-DDoSソリューション」をご参照ください。
Anti-DDoS Basicの仕組み
トラフィックスクラビングのしきい値の設定: Anti-DDoS Basicは、デフォルトでスクラビングしきい値を設定します。 これらのしきい値を手動で設定するには、「トラフィックスクラブしきい値の設定」をご参照ください。 アセットのトラフィックスクラブしきい値は、インスタンスの仕様に依存します。 詳細については、「クラウドサービスの仕様とスクラブしきい値」をご参照ください。
トリガートラフィックスクラビング: 次の2つの条件が満たされると、トラフィックスクラビングが開始されます。
着信トラフィックは異常なパターンを示します。
着信トラフィックの1秒あたりのビット数 (BPS) および1秒あたりのパケット数 (PPS) は、所定のスクラビング閾値を超える。
トラフィックスクラビング: Anti-DDoS Basicは、受信トラフィックをすべてフィルタリングおよびスクラブして、UDPリフレクション攻撃やSYN-ACKフラッド攻撃などのネットワーク層およびトランスポート層攻撃をブロックします。 Anti-DDoS Basicは、HTTPフラッド攻撃やCC攻撃などのアプリケーション層攻撃を軽減できません。
ネットワーク層攻撃: UDPリフレクション攻撃、SYN-ACKフラッド攻撃、およびIPプロトコルに違反する不正なパケット攻撃が含まれます。 これらの攻撃は、サーバーの帯域幅を消費することを目的としています。
トランスポート層攻撃: TCP SYNフラッド攻撃や接続枯渇攻撃などがあります。 これらの攻撃は、接続とセッションを中断し、正当なトラフィックを処理するサーバー容量を圧倒することを目的としています。
アプリケーション層攻撃: HTTPフラッド攻撃、CC攻撃、DNSフラッド攻撃などがあります。 これらは、ビジネス固有の脆弱性を悪用し、サーバー処理能力を圧倒し、サービス拒否をもたらすように設計されています。
ブラックホールフィルタリング: インバウンドトラフィックが保護容量 (ブラックホールトリガーしきい値と呼ばれます) を超えると、ブラックホールフィルタリングがアクティブになり、DDoS攻撃による潜在的なダメージを軽減します。 この措置により、アセットが保護され、攻撃を受けている単一のクラウドサービスによって他のアセットの運用が影響を受けないようにします。 このプロセス中、Alibaba Cloudは、影響を受けるクラウドサービスへの着信インターネットトラフィックを一時的にブロックします。詳細については、「Alibaba CloudのBlackholeフィルタリングポリシー」をご参照ください。
保護アセット
次のリストは、保護された資産の概要です。
Elastic Compute Service (ECS) インスタンス
Server Load Balancer (SLB) インスタンス
Elastic IPアドレス (EIP)
NATゲートウェイに関連付けられたEIP
IPv6ゲートウェイ
Simple Application Server
Web Application Firewall (WAF) インスタンス
Global Accelerator (GA) インスタンス
サポートされるリージョン
次の表に、Anti-DDoS Basicを使用できるリージョンを示します。
地域 | リージョン |
アジア太平洋 | タイ (バンコク) 、フィリピン (マニラ) 、日本 (東京) 、インドネシア (ジャカルタ) 、マレーシア (クアラルンプール) 、韓国 (ソウル) 、シンガポール、中国 (香港) 、中国 (成都) 、中国 (広州) 、中国 (ヘユアン) 、中国 (深セン) 、中国 (ウランカブ) 、中国 (フホト) 、中国 (張家口) 、中国 (北京) 、中国 (青島) 、中国 (福州) 、中国 (南京) 、中国 (上海) 、中国 (杭州) |
ヨーロッパおよびアメリカ | 英国 (ロンドン) 、ドイツ (フランクフルト) 、米国 (バージニア) 、米国 (シリコンバレー) |
中東 | SAU (リヤド-パートナーリージョン) 、UAE (ドバイ) |