Anti-DDoS:DDoS 保護サービスの選定方法

用語

説明

DDoS 攻撃

分散型 DoS 攻撃 (DDoS 攻撃) は一般的なネットワークセキュリティ脅威です。悪意のあるトラフィックでネットワークまたはデバイスを氾濫させ、リソースを枯渇させることで、Web サイトやオンラインサービスを利用不能にします。詳細については、「DDoS 攻撃とは」をご参照ください。

ブラックホール

トラフィックブロッキングメカニズムです。IP アドレスへの攻撃トラフィックが基本保護容量を超えると、キャリアは Alibaba Cloud の全体的なネットワーク安定性を守るため、その IP へのすべてのトラフィック（正当なトラフィックも含む）を破棄します。これにより、一定期間サービスが完全に中断されます。ブラックホール状態から脱する最も効果的な方法は、Anti-DDoS Proxy などの上位グレードのサービスにアップグレードすることです。

トラフィックスクラブリング

検出および識別アルゴリズムを使用して、悪意のある攻撃トラフィックと通常のサービストラフィックを分離するプロセスです。悪意のあるトラフィックは破棄され、クリーンなトラフィックのみがオリジンサーバーに転送されるため、サービスを継続できます。

比較項目

Anti-DDoS Basic

Anti-DDoS Origin

Anti-DDoS Proxy

標準 Alibaba Cloud サービス保護

強化クラウドサービス保護

適用シナリオ

• コストに敏感である。

• 非コアサービスであり、短時間の中断が許容できる。

• 小規模攻撃のみを受ける。

• 多数の IP またはポートを保有している。

• クリーン帯域幅が大きい（例：1 Gbps 超）かつ HTTP/HTTPS のクリーン QPS が 5,000 を超え、パブリック IP の変更ができない。

• ボリューム型攻撃中も超低遅延とサービス継続が必要である。

• 時折 DDoS 攻撃を受ける。

• 頻繁かつ激しい攻撃を受ける。

• 詳細な HTTP フラッド攻撃保護が必要である。

• パブリック IP の変更が可能である。

課金

無料です。

• サブスクリプション（前払い）：中小企業向け Inclusive Edition および Enterprise Edition を含みます。詳細については、「Anti-DDoS Origin 2.0（サブスクリプション）」をご参照ください。

• 従量課金（後払い）：詳細については、「Anti-DDoS Origin 2.0（従量課金）」をご参照ください。

従量課金（後払い）のみをサポートします。詳細については、「Anti-DDoS Origin 2.0（従量課金）」をご参照ください。

• インスタンス料金（前払い）：選択した基本保護帯域幅、クリーン帯域幅、QPS に基づき、月額または年額で支払います。

• エラスティック保護料金（後払い）：基本保護帯域幅を超える攻撃トラフィックのピーク値に基づき、日単位で課金されます。

• エラスティッククリーン帯域幅/QPS 料金（後払い）：基本仕様を超える場合、クリーントラフィックまたは QPS の 95 パーセンタイルに基づき、日単位または月単位で課金されます。

• グローバル高度軽減セッション：特定のインスタンスに対してオンデマンドで購入します。

詳細については、「課金」をご参照ください。

コアメカニズム

クラウドサービスに組み込まれています。トラフィックがしきい値を超えると自動的にトラフィックを破棄（ブラックホール）し、Alibaba Cloud のネットワーク安定性を保護します。

パブリック IP を変更しません。クラウドリソースに直接関連付けられ、攻撃トラフィックがしきい値を超えるとトラフィックスクラブリングを実行します。

DNS 変更によりトラフィックを専用の Anti-DDoS センターにリダイレクトし、転送前にすべてのトラフィックをスクラブします。これにより、オリジンサーバーの可用性を維持します。

接続タイプ

自動的に有効になります。手動操作は不要です。

コンソールで保護対象オブジェクトを関連付けられます。

DNS 解決を変更し、トラフィックを Anti-DDoS Proxy の IP アドレスに向けることができます。

保護対象

一部の Alibaba Cloud サービス

具体的には、ECS、SLB、EIP（NAT Gateway にアタッチされた EIP を含む）、IPv6 Gateway、Simple Application Server、WAF、GA、AnyCast EIP などの Alibaba Cloud サービスです。

一部の Alibaba Cloud サービス：

具体的には、ECS、SLB、EIP（NAT Gateway にアタッチされた EIP を含む）、IPv6 Gateway、Simple Application Server、WAF、GA、AnyCast EIP などの Alibaba Cloud サービスです。

現在、Anti-DDoS（Enhanced）が有効化された EIP のみをサポートしています。

任意のパブリック IP アドレス。

軽減能力

低。Alibaba Cloud の組み込み防御能力に基づき、500 Mbps ～ 5 Gbps です。詳細については、「Anti-DDoS Basic におけるブラックホールフィルタリングのトリガーしきい値」をご参照ください。

高。Alibaba Cloud の組み込み防御能力に基づき、数百 Gbps まで対応可能です。詳細については、「Anti-DDoS Origin とは」をご参照ください。

高。Alibaba Cloud のグローバル Anti-DDoS スクラブリングセンターに基づき、1 Tbps 超です。

高。Alibaba Cloud のグローバル Anti-DDoS スクラブリングセンターに基づき、1 Tbps 超です。

攻撃タイプ

説明

Anti-DDoS Origin

Anti-DDoS Proxy

Alibaba Cloud サービスの標準セキュリティ

強化保護付きクラウドプロダクト

ネットワーク層 DDoS 攻撃

Frag Flood、Smurf、Stream Flood、Land Flood、不正な IP パケット、不正な TCP パケット、不正な UDP パケットを含みます。

対応

対応

対応

トランスポート層 DDoS 攻撃

SYN Flood、ACK Flood、UDP Flood、ICMP Flood、RST Flood、NTP リフレクション、SSDP リフレクション、DNS リフレクションを含みます。

対応

対応

対応

アプリケーション層 DDoS 攻撃（HTTP/HTTPS）

Web ベースのアプリケーション層フラッド攻撃とも呼ばれます。Web サイト、API 操作、WebSocket などの HTTP ベースのサービスを対象とした HTTP/HTTPS フラッド攻撃および HTTP スローレート攻撃（LOIC、HOIC、Slowloris、Pyloris、Xoic など）を含みます。

非対応

非対応

対応

アプリケーション層 DDoS 攻撃（HTTP/HTTPS 以外の TCP アプリケーション層プロトコル）

Web ベースではないアプリケーション層フラッド攻撃とも呼ばれます。独自プロトコル、MySQL、MQTT、RTMP などの HTTP 以外のサービスを対象とした TCP フラッド攻撃、空の TCP 接続、TCP 接続リソース枯渇攻撃を含みます。

非対応

対応

対応

アプリケーション層 DDoS 攻撃（UDP ベースのアプリケーション層プロトコル）

UDP-CC や NS サービスに対する DNS Flood 攻撃、UDP ベースのゲームサービス、UDP ベースの音声通話など、UDP ベースのサービスを対象とした CC 攻撃です。

対応