Anti-DDoS ProまたはAnti-DDoS Premiumインスタンスによって保護されているサービスで、応答速度が遅く、レイテンシが高く、アクセス障害が発生する問題を処理するにはどうすればよいですか。 -

問題の説明

Anti-DDoS ProまたはAnti-DDoS Premiumインスタンスにサービスが追加されると、応答が遅く、レイテンシが高く、アクセス障害が発生します。

原因

影響を受けるIPアドレスを収集し、tracerouteやMTRなどのツールを使用して接続をテストして原因を特定します。
説明
この手順では、MTRツールを使用して、ネットワークリンクのレイテンシを確認する方法を説明します。
```
mtr -- no-dns [$IP]
```
説明 [$IP] は、収集した影響を受けるIPアドレスを示します。
ノードのHost値がオリジンサーバーのIPアドレスであるか、Anti-DDoS ProまたはAnti-DDoS PremiumインスタンスのIPアドレスであるかを確認します。
- Anti-DDoS ProまたはAnti-DDoS Premiumインスタンスのオリジンサーバーでの例外
- Anti-DDoS ProまたはAnti-DDoS Premiumインスタンスの例外
  - トラフィックスクラブイベント
  - Blackholeフィルタリングイベント

解決策

すぐにサービスにアクセスする場合は、Anti-DDoS ProまたはAnti-DDoS Premiumをバイパスして、オリジンサーバーに直接アクセスすることを推奨します。これにより、サービスへの通常のアクセスが保証されます。次に、次のセクションに基づいて問題をトラブルシューティングします。

オリジンサーバーでの例外のトラブルシューティング

オリジンサーバーのタイプに基づいて例外をトラブルシューティングします。

オリジンサーバーのタイプ	トラブルシューティング
Server Load Balancer (SLB) インスタンス	TCPingツールを使用して、SLBインスタンスのIPアドレスとポートをpingし、例外が発生したかどうかを確認します。詳細については、「トラフィックスクラビングイベントのトラブルシューティング」をご参照ください。 SLBインスタンスのステータスを確認します。たとえば、インスタンスへの接続数がインスタンスの最大接続仕様を超えているかどうかを確認します。アクセス制御ポリシーが設定されているかどうかを確認します。アクセスが拒否された場合は、オリジンサーバー上のAnti-DDoS ProまたはAnti-DDoS Premiumインスタンスのback-to-origin CIDRブロックを許可します。詳細については、「back-to-origin IPアドレスによるオリジンサーバーへのアクセスの許可」をご参照ください。 SLBインスタンスのバックエンドサーバーのセキュリティソフトウェアまたはIPブロックポリシーが、Anti-DDoS ProまたはAnti-DDoS Premiumインスタンスのback-to-origin CIDRブロックからのアクセスを誤って拒否しているかどうかを確認します。アクセスが拒否された場合は、オリジンサーバー上のAnti-DDoS ProまたはAnti-DDoS Premiumインスタンスのback-to-origin CIDRブロックを許可します。詳細については、「back-to-origin IPアドレスによるオリジンサーバーへのアクセスの許可」をご参照ください。説明バックエンドサーバーがSLBインスタンスに関連付けられている場合、レイヤ7負荷分散が使用されていないため、バックエンドサーバーはクライアントの送信元IPアドレスを識別できません。バックエンドサーバーは、すべてのリクエストがAnti-DDoS ProまたはAnti-DDoS Premiumインスタンスのback-to-origin CIDRブロックから開始されたと見なします。その結果、バックエンドサーバーは、各back-to-origin CIDRブロックが多数のリクエストを開始したと見なします。この場合、Anti-DDoS ProまたはAnti-DDoS Premiumインスタンスのback-to-origin CIDRブロックが誤ってセキュリティソフトウェアによってブロックされる可能性があります。オリジンサーバーでこれらのIPアドレスを許可する必要があります。 SLBインスタンスのIPアドレスが公開されているかどうかを確認します。 IPアドレスのステータスが特定できない場合、またはIPアドレスが公開されている場合は、別のSLBインスタンスを使用することを推奨します。そうしないと、攻撃者はAnti-DDoS ProまたはAnti-DDoS Premiumをバイパスしてオリジンサーバーを攻撃する可能性があります。
Elastic Compute Service (ECS)インスタンス	TCPingツールを使用してECSインスタンスのIPアドレスとポートをpingし、ログに基づいて例外が発生したかどうかを確認します。詳細については、「トラフィックスクラビングイベントのトラブルシューティング」をご参照ください。 ECSインスタンスで例外が発生していないか確認します。例外には、CPU使用率が高く、データベース要求の処理が遅く、アウトバウンドトラフィックの帯域幅が大きいことが含まれます。ブラックホールフィルタリングイベントとトラフィックスクラビングイベントも確認できます。セキュリティグループやセキュリティソフトウェアなどのアクセス制御ポリシーが設定されているかどうかを確認します。アクセスが拒否された場合は、オリジンサーバー上のAnti-DDoS ProまたはAnti-DDoS Premiumインスタンスのback-to-origin CIDRブロックを許可します。詳細については、「back-to-origin IPアドレスによるオリジンサーバーへのアクセスの許可」をご参照ください。 Webサイト以外のサービスの送信元IPアドレスからECSインスタンスへのリクエストを許可するセキュリティグループが追加されているかどうかを確認します。 ECSインスタンスのIPアドレスが公開されているかどうかを確認します。 IPアドレスのステータスを特定できない場合、またはIPアドレスが公開されている場合、攻撃者はAnti-DDoS ProまたはAnti-DDoS Premiumをバイパスしてオリジンサーバーを攻撃する可能性があります。この場合、ECSインスタンスのIPアドレスを変更することを推奨します。詳細については、「ECSオリジンサーバーのパブリックIPアドレスの変更」をご参照ください。
Alibaba Cloudにサーバーがデプロイされていない	TCPingツールを使用して、サーバーのIPアドレスとポートをpingし、ログに基づいて例外が発生したかどうかを確認します。詳細については、「トラフィックスクラビングイベントのトラブルシューティング」をご参照ください。サーバーで例外が発生していないか確認します。例外には、CPU使用率が高く、データベース要求の処理が遅く、アウトバウンドトラフィックの帯域幅が大きいことが含まれます。ブラックリスト、ホワイトリスト、セキュリティソフトウェアなどのアクセス制御ポリシーが設定されているかどうかを確認します。アクセスが拒否された場合は、オリジンサーバー上のAnti-DDoS ProまたはAnti-DDoS Premiumインスタンスのback-to-origin CIDRブロックを許可します。詳細については、「back-to-origin IPアドレスによるオリジンサーバーへのアクセスの許可」をご参照ください。サーバーのIPアドレスが公開されているかどうかを確認します。 IPアドレスのステータスがわからない場合、またはIPアドレスが公開されている場合は、サーバのIPアドレスを変更することを推奨します。そうしないと、攻撃者はAnti-DDoS ProまたはAnti-DDoS Premiumをバイパスしてオリジンサーバーを攻撃する可能性があります。

Anti-DDoS ProおよびAnti-DDoS Premiumインスタンスのトラブルシューティング

Anti-DDoS Proコンソールの [インスタンス] ページでインスタンスのステータスを表示します。次に、ステータスに基づいて処理方法を決定します。

スクラブ
ネットワークトラフィックがトラフィックスクラブしきい値を超えると、インスタンスはトラフィックをスクラブします。トラフィックスクラビングイベントは、遅い応答または待ち時間を引き起こす可能性がある。
ブラックホール
ボリューム攻撃がサーバーに対して開始され、サーバーに対してブラックホールフィルタリングがトリガーされた場合、サーバーはAlibaba Cloudとサーバーと同じリージョンのサービスからのみアクセスできます。他のソースからのトラフィックは拒否されます。

トラフィックスクラブイベントのトラブルシューティング

次の図は、トラフィックスクラビングイベントが発生し、例外が発生したことを示しています。 TCPingツールを使用して、影響を受けたポートと影響を受けていないポートをpingし、レイテンシまたはパケット損失が発生するかどうかを確認できます。 Instance status

次の表に基づいて原因を特定し、問題を解決します。

影響を受けるポートのレイテンシとパケット損失	影響を受けていないポートのレイテンシとパケット損失	解決策
可	任意	トラフィックスクラビングポリシーは、高いレイテンシとパケット損失を引き起こしません。バックエンドサーバーのステータスと攻撃軽減機能を確認することを推奨します。バックエンドサーバーに攻撃を軽減するのに十分な機能がない場合は、Anti-DDoS ProまたはAnti-DDoS Premiumインスタンスの軽減ポリシーを調整して、サーバーのセキュリティを強化します。サーバーの攻撃軽減機能を分析し、次の詳細に基づいて軽減ポリシーを調整できます。アクセス統計サービス相互作用プロセスパフォーマンスデータ
可	可	トラフィックスクラビングポリシーは、レイテンシとパケット損失を引き起こします。
任意	任意	トラフィックスクラビングポリシーでは、レイテンシやパケット損失は発生しません。
任意	可	このケースは存在しません。

ブラックホールフィルタリングイベントのトラブルシューティング

次の図は、ブラックホールフィルタリングイベントが発生したことを示しています。この場合、ブラックホール状態のIPアドレスを確認し、影響を受けるサービスがIPアドレスを使用しているかどうかを確認します。
ブラックホールのフィルタリングを無効にすることを推奨します。各Alibaba Cloudアカウントは、ブラックホールフィルタリングを1日5回まで無効にできます。詳細については、「ブラックホールフィルタリングの無効化」をご参照ください。

追加情報

このセクションでは、TCP接続を使用して、ポートステータスの確認、TCPレイテンシの検出、および接続情報の表示を行う方法について説明します。 [TCPing] をクリックしてTCPingツールをダウンロードします。

WindowsでTCPingを使用する

TCPツールをWindowsの指定されたディレクトリにコピーし、TCPing [$Domain_Name] [$Port] コマンドを実行します。

説明

[$Domain_Name] は、接続をテストするドメイン名またはIPアドレスを示します。
[$Port] は、接続をテストするポートを示します。

次の出力が返されます

。Probing 192.168.XX.XX:80/tcp - Port is open - time=19.550ms
プロービング140.XXX. XXX.8:80/tcp - Port is open - time=8.761ms
Probing 192.168.XX.XX:80/tcp - Port is open - time=10.899ms
Probing 192.168.XX.XX:80/tcp - Port is open - time=13.013ms

192.168.XX.XX:80のPing統計
     4つのプローブが送信されました。
     4成功、0失敗。
ミリ秒単位のおおよその旅行時間:
     最小=8.761ms、最大=19.550ms、平均=13.056ms

LinuxでのTCPingの使用

次のコマンドを順番に実行してTCPingをインストールします:
```
tar zxvf tcping-1.3.5.tar.gz
cd tcping-1.3.5
make tcping.linux 
```

次のコマンドを実行して接続をテストします。

for ((i=0; i<10; ++ i)) ; do. /tcpin g www.example.com 80; 完了

次の出力が返されます:

ポート80が開いているwww.example.com。
www.example.comポート80を開く。
www.example.comポート80を開く。
www.example.comポート80を開く。
www.example.comポート80を開く。
www.example.comポート80を開く。
www.example.comポート80を開く。
www.example.comポート80を開く。
www.example.comポート80を開く。
www.example.comポート80を開く。

適用範囲

Anti-DDoS ProとAnti-DDoS Premium