Alibaba Cloudは、セキュリティテクノロジーとDDoS緩和の長年の経験を統合し、さまざまな商用のDDoS対策ソリューションを開発してきました。 ビジネス要件に基づいて、anti-DDoSソリューションを選択できます。 このトピックでは、適切なアンチDDoSソリューションを選択する方法について説明します。
ビデオチュートリアル
Anti-DDoSソリューション
Anti-DDoS軽減ソリューションには、Anti-DDoS Basic、Anti-DDoS Origin、およびAnti-DDoS Proxyが含まれます。 Anti-DDoS Basicは無料で提供されます。 次の表にこれらのソリューションを示します。 表示することをお勧めしますAnti-DDoSオリジンとは とAnti-DDoSプロキシとは ソリューションを選択する前に。
アプリケーション層での超大規模仕様やUDPリフレクション攻撃軽減のソリューションなど、カスタマイズされたセキュリティソリューションを入手するには、電話でAlibaba Cloudセキュリティアーキテクトに連絡してください。 詳細については、「お問い合わせ」をご参照ください。
アーキテクチャ | Anti-DDoS Basic | Anti-DDoSオリジン | Anti-DDoSプロキシ | |
通常のAlibaba Cloudサービス | Alibaba Cloudサービスの強化 | |||
ソリューションの概要 | Anti-DDoS Originは、Alibaba Cloudのネイティブ保護ネットワークを使用して、オリジンサーバーのIPアドレスを変更することなく、ネットワーク層と送信層でのDDoS攻撃を軽減します。 説明 Elastic IPアドレス (EIP) のみが、拡張Alibaba Cloudサービスでサポートされています。 Anti-DDoS Originを使用して通常のAlibaba Cloudサービスのアセットを保護する場合は、アセットをAnti-DDoS Originに追加して保護する必要があります。 ただし、Anti-DDoS Originを使用してEIPを保護する場合は、EIPの購入時にセキュリティ保護パラメーターとしてAnti-DDoS (Enhanced) を選択する必要があります。 EIPを購入する前に、Anti-DDoS Originインスタンスを購入済みであることを確認してください。 | Anti-DDoS Proxyは、DNS解決を使用してネットワークトラフィックをAlibaba Cloudのグローバルトラフィックスクラビングセンターにルーティングし、ネットワーク、送信、およびアプリケーションレイヤーでのDDoS攻撃を軽減し、配信元サーバーのIPアドレスを非表示にします。 | ||
軽減機能 | 低い。 軽減機能はAlibaba Cloudによって提供され、500 Mbit/sから5 Gbit/sの範囲です。 詳細については、「Anti-DDoS Origin Basicでブラックホールフィルタリングをトリガーするしきい値の表示」をご参照ください。 | 比較的高い。 軽減機能はAlibaba Cloudによって提供され、最大数百Gbit/sに達する可能性があります。 詳細については、「」をご参照ください。Anti-DDoSオリジンとは | 高い。 軽減機能は、Alibaba Cloudのグローバルトラフィックスクラビングセンターによって提供され、最大Tbit/sに達する可能性があります。 | 高い。 軽減機能は、Alibaba Cloudのグローバルトラフィックスクラビングセンターによって提供され、最大Tbit/sに達する可能性があります。 |
保護できるオブジェクト | 特定のAlibaba Cloudサービスの資産。 アセットには、Elastic Compute Service (ECS) インスタンス、Server Load Balancer (SLB) インスタンス、EIP、NATゲートウェイに関連付けられたEIP、IPv6ゲートウェイ、シンプルなアプリケーションサーバー、Web application Firewall (WAF) インスタンス、Global Accelerator (GA) インスタンスが含まれます。 | 特定のAlibaba Cloudサービスの資産。 アセットには、ECSインスタンス、SLBインスタンス、EIP、NATゲートウェイに関連付けられたEIP、IPv6ゲートウェイ、シンプルアプリケーションサーバー、WAFインスタンス、およびGAインスタンスが含まれます。 | 特定のAlibaba Cloudサービスの資産。 Anti-DDoS (Enhanced) が有効なEIPのみがサポートされています。 | パブリックIPアドレスが割り当てられているすべてのアセット。 |
シナリオ | Anti-DDoS Basicは、Alibaba Cloudサービスを購入すると自動的に有効化されます。 |
|
|
|
備考 | 無料です。 |
| 従量課金の課金方法がサポートされています。 詳細については、「Anti-DDoSオリジン2.0 (従量課金) 」をご参照ください。 | 次の説明に基づいて、Anti-DDoSプロキシの軽減プランを選択できます。
|
DDoS攻撃タイプ
シンボルの説明:
√: 軽減がサポートされていることを示します。
x: 軽減がサポートされていないことを示します。
攻撃タイプ | 攻撃サブタイプ | Anti-DDoSオリジン | Anti-DDoSプロキシ | |
通常のAlibaba Cloudサービス | Alibaba Cloudサービスの強化 | |||
ネットワーク層DDoS攻撃 | このタイプの攻撃には、断片化されたフラッド、スマーフ、ストリームフラッド、ランドフラッド、不正なIPパケット、不正なTCPパケット、および不正なUDPパケットが含まれます。 | √ | √ | √ |
トランスポート層DDoS攻撃 | このタイプの攻撃は、SYNフラッド、Ackフラッド、UDPフラッド、インターネット制御メッセージプロトコル (ICMP) フラッド、リセット (RST) フラッド、ネットワークタイムプロトコル (NTP) リフレクション攻撃、Simple Service Discovery Protocol (SSDP) リフレクション攻撃、およびドメインネームサービス (DNS) リフレクション攻撃を含む。 | √ | √ | √ |
HTTPおよびHTTPSアプリケーション層DDoS攻撃 | このタイプの攻撃は、HTTPフラッド攻撃、HTTPSフラッド攻撃、Webサイト、API操作、WebSocket準拠のWebサイトサービスなどのHTTPサービスを対象とするスローHTTP攻撃など、Webサイトサービスに対するアプリケーション層HTTPフラッド攻撃とも呼ばれます。 低速HTTP攻撃は、LOIC (Low Orbit Ion Cannon) 、HOIC (High Orbit Ion Cannon) 、Slowloris、PyLoris、およびXOICを使用して開始できます。 | × | × | √ |
TCPアプリケーション層DDoS攻撃 (HTTPおよびHTTPSを除く) | このタイプの攻撃は、TCPフラッド攻撃、TCPベースの空の接続フラッド、および独自のプロトコル、MySQL、MQTT (Message Queuing Telemetry Transport) 、およびRTMP (Real-Time Messaging Protocol) を使用するサービスなどの非HTTPサービスを対象とするTCP接続ベースのリソース枯渇攻撃を含む、非Webサイトサービスに対するアプリケーション層フラッド攻撃とも呼ばれます。 | × | √ この機能はパブリックプレビューで、中国 (杭州) リージョンでのみ使用できます。 この機能を有効にする場合は、アカウントマネージャーに連絡するためのチケット。 | √ |
UDPアプリケーション層DDoS攻撃 | このタイプの攻撃には、ネットワークサービス、UDPベースのゲームサービス、およびUDPベースの音声通話などのUDPサービスに対するUDPフラッド攻撃およびDNSフラッド攻撃が含まれます。 説明 UDPサービスを対象とするHTTPフラッド攻撃から防御するには、 マネージドセキュリティサービス (MSSP) 。 それ以外の場合、この機能は使用できません。 | √ 非ネットワークサービスに対するDNSフラッド攻撃を軽減できます。 ネットワークサービスを保護する場合は、DNS保護を有効にします。 詳細については、「DNS保護」をご参照ください。 | √ 非ネットワークサービスに対するDNSフラッド攻撃を軽減できます。 ネットワークサービスを保護する場合は、DNS保護を有効にします。 詳細については、「DNS保護」をご参照ください。 | √ 非ネットワークサービスに対するDNSフラッド攻撃を軽減できます。 DNSフラッドからDNSサーバーを保護する場合は、DNS保護を有効にします。 詳細については、「DNS保護」をご参照ください。 |
軽減効果の説明
さまざまなアンチDDoSソリューションの軽減コンポーネント、アーキテクチャ、および軽減機能は、さまざまなDDoS攻撃が継続的に更新されるため、完全に一貫していません。 多くの要因が、DDoS攻撃の最終的な緩和効果にも影響を及ぼし得る。 軽減効果に影響を与える可能性のある以下のシナリオと要因に注意し、技術専門家によって蓄積された攻撃と防御の経験に基づいて軽減機能を改善することをお勧めします。
Anti-DDoSにサービスを追加した後、インテリジェントな保護機能では、サービストラフィックの特性を知るために時間がかかります。 サービスをAnti-DDoSに追加した直後にDDoS攻撃またはHTTPフラッド攻撃を受けた場合、最初の攻撃の攻撃トラフィックが即座に、透過的にオリジンサーバーに送信される可能性があります。 オリジンサーバーの機能を強化して、より高いワークロードを処理し、次の設定を完了することを推奨します。
サービスをAnti-DDoS Originに追加すると、デフォルトの軽減ポリシーが使用されます。 保護プロセス中、システムはリアルタイムで攻撃特性に基づいて軽減機能を自動的に改善します。 インテリジェントな保護も提供されます。 インテリジェントな保護が有効になる前に、攻撃トラフィックが瞬時に透過的にオリジンサーバーに送信される可能性があります。 軽減効果を改善するために、IP固有およびポート固有の軽減ポリシーを事前に設定することを推奨します。 詳細については、「軽減設定機能の使用 (以前のバージョン) 」をご参照ください。
攻撃トラフィックが既定のトラフィックスクラビングしきい値を超えない場合、攻撃トラフィックがオリジンサーバーに透過的に送信される可能性があります。 帯域幅プランがEIPにバインドされている場合、デフォルトのトラフィックスクラブしきい値は高くなる可能性があります。 サービストラフィックに基づいて適切なトラフィックスクラブしきい値を指定することを推奨します。 詳細については、「トラフィックスクラブしきい値の設定」をご参照ください。
軽減効果を改善するために、ビジネス要件に基づいてカスタム軽減ポリシーまたはHTTPフラッド軽減を構成することを推奨します。 詳細については、「特定のシナリオに対するカスタム軽減ポリシーの作成」および「HTTPフラッド軽減機能の設定」をご参照ください。