Alibaba CloudアセットでボリュームDDoS攻撃が発生し、DDoS攻撃の量がそのアセットに提供されている軽減機能を超えた場合、ブラックホールフィルタリングがトリガーされ、そのアセット宛てのすべてのインターネットトラフィックが一時的にブロックされます。 これは、その後の攻撃からアセットを保護し、アセットによる悪影響から他のアセットを保護するのに役立ちます。 このトピックでは、ブラックホールフィルタリングを防止および処理する方法について説明します。
Anti-DDoS Basicによって提供される基本的な軽減機能
Anti-DDoS Basicは、パブリックIPアドレスが割り当てられている一部のAlibaba Cloudアセットに対して、DDoS攻撃に対して500 Mbit/sから5 Gbit/sの基本的な軽減機能を提供します。 機能は無料で提供されます。 以下のセクションでは、パブリックIPアドレスが割り当てられているAlibaba Cloudアセットをアセットと呼びます。 基本的な軽減機能は、アセットのリージョンと仕様に基づいて異なります。 詳細については、「Anti-DDoS Basicでブラックホールフィルタリングをトリガーするしきい値の表示」および「トラフィックスクラブしきい値の設定」をご参照ください。
アセットのサービストラフィックがブラックホールフィルタリングのしきい値を超える場合は、できるだけ早い機会にアセットをアップグレードすることを推奨します。 できるだけ早い機会にアセットをアップグレードしないと、アセットのサービストラフィックが異常なトラフィックとして識別され、ブラックホールフィルタリングがトリガーされる可能性があります。
より高い軽減能力は、ブラックホールフィルタリングの可能性を低減する。 ブラックホールフィルタリングがトリガーされないようにするには、アセットの軽減機能 (ブラックホールフィルタリングしきい値) を増やす必要があります。
アセットのステータスとトラフィックの表示
Traffic Securityコンソールにログインします。
資産 ページの左上隅で、アセットが存在するリージョンを選択し、対応するタブをクリックします。
アセットリストで、アセットの IP ステータス 列にブラックホール中が表示されているかどうかを確認します。
イベントセンター ページで、アセットのブラックホールフィルタリングまたはトラフィックスクラビングイベントを表示します。 [詳細の表示] をクリックして、インバウンドトラフィックをビット /秒およびパケット /秒 (pps) で表示することもできます。
ブラックホールフィルタリングが自動的に非アクティブ化される時間の推定
デフォルトでは、DDoS攻撃が停止してから2.5時間後に、ブラックホールフィルタリングが自動的に無効になります。 実際のシナリオでは、DDoS攻撃が停止してから30分から24時間後に、Alibaba Cloudはブラックホールフィルタリングを自動的に無効にします。 期間は、アセットが攻撃される頻度によって異なります。 まれに、期間が24時間を超えます。 ブラックホールのフィルタリング期間は、次の要因に基づいて変更されます。
攻撃の持続時間。 攻撃が長時間続くと、ブラックホールフィルタリングの期間が延長されます。
攻撃の頻度。 アセットが初めて攻撃を受けた場合、ブラックホールフィルタリングの期間は自動的に減少します。 アセットが頻繁に攻撃を受けた場合、アセットは継続的な攻撃に遭遇する可能性が高く、ブラックホールフィルタリングの期間は自動的に延長されます。
アセットに対してブラックホールフィルタリングが頻繁にトリガーされる場合、Alibaba Cloudはブラックホールフィルタリングの期間をさらに延長し、しきい値を下げてアセットのブラックホールフィルタリングをトリガーする権利を留保します。 ブラックホールフィルタリングの実際の期間としきい値をコンソールで表示できます。
アセットが最後に攻撃された時刻を表示します。
Traffic Securityコンソールにログインします。 [イベントセンター] ページで、管理するアセットを見つけ、アセットが最後に攻撃された時刻を表示します。
説明アセットが複数のDDoS攻撃を受けた場合、ブラックホールフィルタリングの期間は、最後のDDoS攻撃が停止した後に計算されます。
ブラックホールフィルタリングの期間を表示します。
[アセット] ページで、アセットのブラックホールフィルタリングの期間を表示します。
ブラックホールのフィルタリングが自動的に無効になる時間を推定します。
たとえば、アセットは12:30に攻撃され、ブラックホールフィルタリングの期間は150分です。 この場合、ブラックホールフィルタリングは15:00に非アクティブ化されると予想される。
説明推定時間は参照のみのために提供されます。 アセットが継続的なDDoS攻撃を受けた場合、ブラックホールフィルタリングの期間が長くなる可能性があります。
ブラックホールのフィルタリングを無効にする方法
ブラックホールフィルタリング中、Alibaba CloudはDDoS攻撃のステータスを継続的に監視します。 DDoS攻撃が一定期間停止すると、Alibaba Cloudはアセットのブラックホールフィルタリングを自動的に無効にします。 その後、インターネット経由でアセットにアクセスできます。 ブラックホールフィルタリング中にサービスを復元する場合は、有料版のAnti-DDoSインスタンスで保護されているアセットのブラックホールフィルタリングを手動で無効にすることができます。
有料版のAnti-DDoSインスタンスが購入されていない
アセットのブラックホールフィルタリングを手動で無効にすることはできません。 ブラックホールフィルタリング中にサービスを復元するか、サーバーにログインしてファイルを取得する場合は、「ブラックホールフィルタリングがトリガーされたECSインスタンスのワークロードの復元」に記載されている手順を参照してください。
Elastic Compute Service (ECS) インスタンス、Server Load Balancer (SLB) インスタンス、シンプルアプリケーションサーバー、elastic IPアドレス (EIP) などのアセットのパブリックIPアドレスを変更するか、アセットを頻繁にリリースすると、クラウドテナント全体が影響を受け、制限がトリガーされる可能性があります。
アセットのパブリックIPアドレスを変更したり、サーバーを変更したりしても、攻撃者はドメイン名をpingして新しいIPアドレスを取得し、攻撃を再開できます。 上記の問題を解決するには、Anti-DDoS OriginまたはAnti-DDoS Proxyを購入することを推奨します。
購入した有料版のAnti-DDoSインスタンス
ブラックホールフィルタリングの有効期限が切れた後、Alibaba Cloudがブラックホールフィルタリングを自動的に無効にするのを待つか、ブラックホールフィルタリングを手動で無効にすることができます。 ブラックホールのフィルタリングを手動で無効にする場合、特定の期間内に軽減プランを展開できます。 ただし、DDoS攻撃は軽減できません。 ブラックホールフィルタリングを手動で無効にした後、DDoS攻撃が停止しない場合、ブラックホールフィルタリングが再びトリガーされることがあります。
有料版のAnti-DDoSインスタンス | ブラックホールフィルタリングを手動で無効にする方法 | 説明 |
Anti-DDoS Origin |
| Anti-DDoS Originインスタンスによって保護されているアセットのブラックホールフィルタリングを1か月に特定の回数だけ無効にすることができます。 回数は、インスタンスで保護できるIPアドレスの数以上です。 |
Anti-DDoS Proxy (中国本土) |
|
|
Anti-DDoS Proxy (中国本土外) | ブラックホールのフィルタリングを手動で無効にする必要はありません。 | 保護帯域幅が固定されているAnti-DDoS Proxy (Chinese Mainland) インスタンスとは異なり、Anti-DDoS Proxy (Outside Chinese Mainland) インスタンスは、使用可能なすべての機能でDDoS攻撃を軽減します。 Anti-DDoS Proxy (Outside Chinese Mainland) インスタンスのブラックホールフィルタリングを手動で無効にする必要はありません。 |
Anti-DDoSサービスの選択方法
Anti-DDoS Origin: Anti-DDoS Originは、Alibaba Cloudサービスのリソースに対するDDoS攻撃に対する軽減を強化するセキュリティサービスです。 Anti-DDoS Originはリソースを直接保護します。 保護するリソースのIPアドレスを変更したり、レイヤー4ポートまたはレイヤー7ドメイン名の数の制限を考慮したりする必要はありません。 保護のために、アセットのIPアドレスをAnti-DDoS Originインスタンスに追加するだけで済みます。
Anti-DDoS Proxy: Anti-DDoS Proxyは、ボリュームとリソースの枯渇DDoS攻撃を軽減するためにAlibaba Cloudが提供するプロキシベースのサービスです。 Anti-DDoS Proxyは、Alibaba Cloud、サードパーティのクラウド、およびデータセンターにデプロイされているサーバーを保護できます。 Anti-DDoS Proxyに追加されたサービスに対してボリュームDDoS攻撃が開始された場合、Anti-DDoS Proxyは、スクラブにDNS解決を使用してトラフィックをanti-DDoSスクラビングセンターに転送し、サービストラフィックのみをオリジンサーバーに転送します。
選択手順と課金の詳細については、「シナリオ固有のanti-DDoSソリューション」、「Anti-DDoS Originの課金の説明」、および「Anti-DDoS Proxyの課金の説明」をご参照ください。