このトピックでは、Anti-DDoS Basicに関するよくある質問に対する回答を提供します。
Anti-DDoS BasicがECSインスタンスを20 Mbit/sの攻撃から保護しないのはなぜですか。
攻撃トラフィックのサイズが100 Mbit/s未満の場合、Anti-DDoS Basicは保護を提供しません。 Anti-DDoS Basicは無料で提供されます。 クラウドサービスの帯域幅がシステムの最小スクラブしきい値よりも低く、攻撃トラフィックのサイズが帯域幅よりも大きいがスクラブしきい値よりも低い場合、システムは攻撃される可能性がありますが、トラフィックスクラブはトリガーされません。 帯域幅が100 Mbit/s未満の攻撃から保護するために、サーバーの最適化、Yunsuoなどのホストベースのファイアウォールのインストール、またはAnti-DDoS Proxyインスタンスの購入を推奨します。 詳細については、「Anti-DDoS Proxyインスタンスの購入」をご参照ください。
Anti-DDoS Basicインスタンスのブラックホールフィルタリングを手動で無効にできないのはなぜですか。
ほとんどの場合、DDoS攻撃は一定期間発生し、ブラックホールフィルタリングが非アクティブ化された直後には停止しません。 DDoS攻撃の攻撃期間は、攻撃ごとに異なります。 Alibaba Cloudセキュリティチームは、インテリジェントアルゴリズムを使用して取得した結果に基づいて、ブラックホールのフィルタリング期間を自動的に決定します。 ほとんどの場合、ブラックホールのフィルタリングは30分から24時間続きます。 まれに、DDoS攻撃が頻繁に発生すると、ブラックホールフィルタリングの期間が延長されます。
ブラックホールフィルタリングは、インターネットサービスプロバイダー (ISP) ネットワーク上で発生し、トラフィックソースにあるトラフィックを破棄します。 これにより、DDoS攻撃によりネットワーク全体とサービスが利用できなくなります。 攻撃が停止する前にブラックホールのフィルタリングを無効にすると、別のブラックホールのフィルタリングがトリガーされます。 ブラックホールフィルタリングが無効化されてから別のブラックホールフィルタリングがトリガーされるまでの期間、攻撃はクラウド内の他のテナントのサービスに影響を及ぼします。 ISPには、ブラックホールフィルタリングを無効にする発生と頻度に制限があります。 Alibaba Cloudは、サービスでトリガーされたブラックホールフィルタリングをすぐに無効にすることはできません。
ブラックホールフィルタリングを無効にしても、DDoS攻撃は軽減できません。 ブラックホールフィルタリングによる頻繁なフラッピングは、ネットワークの安定性に影響します。 サービスを購入して軽減機能を強化し、ブラックホールのフィルタリングやサービスの利用不能による悪影響を回避できます。 たとえば、Alibaba Cloudが提供するAnti-DDoS OriginまたはAnti-DDoS Proxyインスタンス、またはサードパーティのプロバイダーが提供するDDoS軽減サービスを購入できます。 詳細については、「」をご参照ください。Anti-DDoSオリジンとは何ですか? とAnti-DDoSプロキシとは
ACLを使用してDDoS攻撃を軽減し、ブラックホールフィルタリングのトリガーを防ぐことはできますか?
アクセス制御リスト (ACL) を使用してDDoS攻撃を軽減し、ブラックホールフィルタリングのトリガーを防ぐことはできません。 ACLは、攻撃がサーバーが存在するAlibaba Cloudネットワークのエッジに到達した場合にのみ有効になります。 ACLは、複数のボットネットから開始され、サーバー宛てのDDoS攻撃を軽減できません。 DDoS攻撃がサーバーが存在するAlibaba Cloudネットワークのエッジに到達すると、攻撃の量はACLの軽減機能をはるかに超えます。 DDoS攻撃を軽減するには、インターネットサービスプロバイダー (ISP) バックボーンネットワークのエッジで軽減ポリシーを展開する必要があります。
トラフィック分析とフィルタリング方法を十分なネットワーク帯域幅とともに使用して、攻撃トラフィックをスクラブできます。 サーバーのネットワーク帯域幅を攻撃トラフィックの帯域幅に拡張し、攻撃トラフィックをスクラブするためのスクラビングセンターを展開する場合、帯域幅の拡張とトラフィックスクラブに使用されるサーバーによって発生するコストが過度に高くなる可能性があります。 各ユーザがスクラブセンターを配備する場合、全体的な軽減コストは著しく増加する。
この場合、費用効果の高いDDoS軽減プランが提供されます。 クラウドサービスプロバイダーは、大きなネットワーク帯域幅を提供し、ISPネットワークにスクラビングセンターを展開します。 DDoS攻撃は、攻撃が開始された場所に最も近いスクラビングセンターでスクラブされます。 クラウドサービスプロバイダーは、ユーザーが購入できるように、Software-as-a-service (SaaS) ベースのアンチDDoSサービスを提供しています。 このようにして、スクラブセンターを繰り返し使用することができ、各ユーザーのコストが削減されます。
Anti-DDoS OriginコンソールのトラフィックデータがCloudMonitorや他のクラウドサービスのトラフィックデータと異なるのはなぜですか。
ほとんどの場合、Anti-DDoS Originコンソールのトラフィックは、CloudMonitorやその他のクラウドサービスのトラフィックよりも多くなります。
ECS (Elastic Compute Service) インスタンスがDDoS攻撃を受けていると仮定します。DDoS攻撃は、トラフィックが2.5 Gbit/sに達するとトラフィックスクラブをトリガーします。 Anti-DDoS Basicインスタンスが提供するトラフィックスクラブがトリガーされたことをAlibaba Cloudから通知します。 ただし、CloudMonitorコンソールは、トラフィックスクラブ中にECSインスタンスに関連付けられているEIP (elastic IP address) のインバウンド帯域幅が1.2 Gbit/sであることを示しています。
この違いの理由は次のとおりです。
Anti-DDoS Originはトラフィックスクラブがトリガーされる前にトラフィックデータを収集し、CloudMonitorはトラフィックスクラブがトリガーされた後にトラフィックデータを収集します。
Anti-DDoS Originは、悪意のあるトラフィックを含む、ECSインスタンス宛てのすべてのネットワークトラフィックを監視しますが、CloudMonitorは通常のトラフィックのみを監視します。
Anti-DDoS OriginとCloudMonitorは、異なる間隔でトラフィックデータを収集します。 Anti-DDoS Originは、数秒の間隔でトラフィックデータを収集し、DDoS攻撃を最も早い機会に検出できるようにします。 CloudMonitorは、EIPのトラフィックデータを分間隔で収集し、CloudMonitorコンソールのグラフにデータを表示します。
Anti-DDoS OriginとCloudMonitorは、異なるソースからトラフィックデータを収集します。 Anti-DDoS OriginはAlibaba Cloudとインターネット間のボーダーゲートウェイデバイスからEIPのトラフィックデータを収集し、CloudMonitorはトラフィックを転送するデバイスからEIPのトラフィックデータを収集します。
トラフィックデータの違いは、ECS、Server Load Balancer (SLB) 、EIP、NAT Gatewayなど、Infrastructure as a Service (IaaS) であり、インターネットアクセスをサポートするAlibaba Cloudサービスに発生する可能性があります。