このトピックでは、ソースの制限速度ポリシーを設定および使用する方法について説明します。 このポリシーでは、特定の送信元IPアドレスからの最大訪問頻度とトラフィック量を設定できます。 このポリシーが有効になっている場合、Anti-DDoS ProまたはAnti-DDoS Premiumは、最大訪問頻度またはトラフィック量を超えるIPアドレスをブラックリストに追加するか、IPアドレスからのデータ転送速度を制限します。 送信元IPアドレスがブラックリストに追加されると、このIPアドレスからのすべてのリクエストはドロップされます。
前提条件
Webサイト以外のサービスのポート転送ルールは、[ポート設定] ページで設定されます。 詳細については、「ポート転送ルールの設定」をご参照ください。背景情報
Anti-DDoS ProとAnti-DDoS Premiumの両方で、新しい接続と同時接続の数を制限することで、送信元IPアドレスからインスタンスのポートへの最大訪問頻度を設定できます。 送信元IPアドレスの帯域幅 (ビット /秒) とパケット /秒 (pps) を制限することで、ポートへのトラフィック量を制限することもできます。 IPアドレスが最大訪問頻度またはトラフィック量を超えた場合、Anti-DDoS ProまたはAnti-DDoS Premiumはそれをブラックリストに追加するか、データ転送速度を制限します。 このポリシーは、多数の接続を作成するレイヤ4 HTTPフラッド攻撃をブロックするために使用できます。 攻撃の送信元IPアドレスを直接ブロックできます。
たとえば、送信元IPアドレスがインスタンスのポート8000にアクセスし、新しい接続の数が通常のレベルの10倍を超えているとします。 ソースの新しい接続レート制限を設定し、ポート8000のブラックリストポリシーを有効にすることができます。 送信元IPアドレスからの新しい接続の数が繰り返し制限を超えた場合、IPアドレスはブラックリストに追加され、このIPアドレスからの要求は破棄されます。
手順
Anti-DDoS Proxyコンソールにログインします。
上部のナビゲーションバーで、インスタンスのリージョンを選択します。
Anti-DDoS Proxy (中国本土): インスタンスがAnti-DDoS Proxy (中国本土) インスタンスの場合、[中国本土] を選択します。
Anti-DDoSプロキシ (中国本土以外): インスタンスがAnti-DDoSプロキシ (中国本土以外) の場合は、[中国本土以外] を選択します。
左側のナビゲーションウィンドウで、 を選択します。
- On theポート構成ページで、対象のインスタンスを選択します。
- 対象の転送ルールを見つけて、変更で、Anti-DDoS保護ポリシー列を作成します。
- では、ソースの制限速度セクション、をクリック設定の変更.
- では、ソースの速度制限の設定ウィンドウで、必要なパラメーターを指定します。
この例では、設定が有効になった後、送信元IPアドレスからの同時接続数は1秒あたり50,000を超えることはできません。 この閾値に達すると、IPアドレスのデータ転送速度は制限される。 を選択した場合、送信元クライアントからの同時接続数がしきい値を1分以内に5回超えると、送信元クライアントのIPアドレスがブラックリストに追加されます。 チェックボックスをオンにすると、送信元IPアドレスからの同時接続数がしきい値を超えた回数をインスタンスが収集します。 回数が5回を超えると、このIPアドレスがブラックリストに追加され、このIPアドレスからのすべての要求が破棄されます。
ソース新規接続レート制限、ソースのPPS制限、およびソースの帯域幅制限は、ソース同時接続レート制限と同じように機能します。 詳細については、「anti-DDoS保護ポリシーの作成」をご参照ください。
- クリックOK設定を適用します。