お使いのドメイン名が攻撃された場合、またはデータ送信に悪用された場合、帯域幅の過剰消費またはトラフィックの急増が発生します。 この場合、想定よりも高額の請求書を受け取ることになります。 悪意のある攻撃やデータ送信の悪用によって発生した高額の請求は、免除または返金されません。 このトピックでは、データ送信の悪用を防ぐ方法について説明します。
最も早い機会に損失を最小限に抑える
ドメイン名がデータ送信のために攻撃または悪用され、予想よりも高い請求書を受け取った場合は、帯域幅上限を指定し、個々のリクエストのトラフィック調整を設定して、さらなる損失を減らす必要があります。 その後、ログを分析し、それに応じてセキュリティ設定を構成できます。
帯域幅の使用を制限する
帯域幅の上限を指定して、消費できる帯域幅リソースの量を制限できます。 統計期間 (1分) のドメイン名の平均帯域幅値が指定された帯域幅上限に達すると、システムはドメイン名のAlibaba Cloud CDNサービスを一時停止し、ドメイン名を無効と見なされるoffline.***.comに解決します。 この場合、ドメイン名にアクセスできなくなります。 したがって、帯域幅の上限を指定すると、毎日のピーク帯域幅に基づいて余分なスペースを予約できます。 詳細については、「帯域幅の上限の設定」をご参照ください。
下流の速度を制限する
個々のリクエストのトラフィックスロットリングは、POPとクライアント間の各リクエストのダウンストリーム速度を制限します。 これにより、高速化ドメイン名の全体的なピーク帯域幅を制限できます。 詳細については、「個別のリクエストに対するトラフィックスロットリングの設定」をご参照ください。
トラブルシューティング
課金の詳細を照会して、トラフィックが異常である期間を特定します
[課金の詳細] タブで、クラウドサービスの課金の詳細を表示できます。 統計ディメンションと統計期間を選択して、さまざまなディメンションに基づいてレポートを表示します。 詳細については、「課金の詳細」をご参照ください。
[製品] ドロップダウンリストから [CDN] を選択し、[統計期間] を [課金期間] に設定して請求書を確認し、トラフィックと帯域幅の異常な増加、およびトラフィックが異常である期間に注意します。 詳細については、「クエリ請求書」をご参照ください。
ログをチェックして異常なトラフィックを特定
基本クエリ: オフラインログ
オフラインログをダウンロードして、関連する期間のアクセスログを表示し、HTTPリクエストの詳細を分析し、疑わしいIPアドレスとUser-Agentヘッダーを特定できます。 オフラインログには少数のフィールドが含まれています。 より詳細なデータを表示する場合は、リアルタイムログ機能を使用できます。
オフラインログを取得した後、コマンドラインインターフェイス (CLI) を使用してログを解析し、上位10個のIPアドレスやUser-Agentヘッダーなどの情報を抽出できます。 詳細については、次をご参照ください: Alibaba Cloudコンテンツ配信ネットワークアクセスログの分析方法
高度なクエリ: 操作レポートとリアルタイムログ
分析用の統計データを生成するには、カスタム操作レポートを作成する必要があります。 リアルタイムログ配信を設定しているか、操作レポートをサブスクライブしている場合は、対応する期間のログを表示できます。 操作レポート機能はAlibaba Cloud CDNによって提供され、無料です。
リアルタイムログが生成される前に、Simple Log Service (SLS) を有効化してログを配信する必要があります。 リアルタイムログは有料機能です。 詳細については、「課金ルール」をご参照ください。
トラブルシューティングにリアルタイムログと操作レポートを使用する前に、リアルタイムログと操作レポートを設定する必要があります。 それ以外の場合は、オフラインログのみを使用して履歴データを分析できます。
カスタム操作レポートを作成した後、PV/UV、リージョンとISP、ドメイン名ランキング、人気のあるリファラーヘッダー、人気のあるURL、人気のあるオリジンURL、上位クライアントIPのメトリクスを表示できます。 詳細については、「カスタム操作レポートと追跡タスクの作成」をご参照ください。
リファラーヘッダーやURIなどの詳細情報を照会する場合は、 収集したリアルタイムログをSLSに配信するSLS。 リアルタイムログ配信機能を有効にすると、SLSに配信されたログエントリに対して課金されます。
ユーザーアクセスデータを分析するドメイン名のリアルタイムログ配信を設定します。 詳細については、「リアルタイムログ配信」をご参照ください。
[リアルタイムログ] ページで、ログを分析するプロジェクトを見つけ、[操作] 列の [ログ分析] をクリックします。
ログ分析ページで、右上隅の期間を選択し、[生ログ] タブをクリックして、
refer_domainフィールドを見つけます。 Refererヘッダーは降順で表示できます。
ソリューション
ログまたはレポートデータを取得した後、データ機能に基づいて攻撃の種類を分析できます。 ほとんどの場合、トップIPアドレス、トップUser-Agentヘッダー、トップRefererヘッダーなどのトップ情報を分析して、フィーチャを抽出できます。
不審なIPアドレスからのアクセスを制限する
IPアドレスブラックリストを設定して、特定のIPアドレスからのアクセスを制限できます。 ログを分析し、疑わしい攻撃IPアドレスを特定したら、そのIPアドレスをブラックリストに追加する必要があります。 詳細については、「IP アドレスブラックリストまたはホワイトリストの設定」をご参照ください。
疑わしいユーザーエージェントヘッダーのフィルタリング
攻撃者は、偽造されたUser-Agentヘッダーを使用して多数のリクエストを送信することにより、セキュリティチェックをバイパスしようとします。 偽造されたUser-Agentヘッダーは、null値、ランダムな文字列、または一般的なブラウザーの偽造された文字列です。 User-Agentのホワイトリストまたはブラックリストを設定して、異常なUser-Agentヘッダーを含むリクエストを拒否できます。 たとえば、this-is-empty-uaおよびRandomStringパラメーターを使用して、空または無効なランダム文字列を含むUser-Agentヘッダーを拒否できます。 詳細については、「User-Agentブラックリストまたはホワイトリストの設定」をご参照ください。
疑わしいリファラーヘッダーをブラックリストに追加
攻撃者はリクエストにRefererヘッダーを偽造して、正当な参照ソースを偽装し、悪意のあるリクエストを開始します。 リファラーブラックリストまたはホワイトリストを設定して、正当なリファラーヘッダーを含むリクエストを許可し、不正なサードパーティのWebサイトからのリソースへのリンクを防止し、悪意のあるリファラーヘッダーを含むリクエストを拒否できます。 [ルール] フィールドに、ログから見つかった異常なリファラーヘッダーを入力します。 [詳細設定] で [スキームを無視] を選択することを推奨します。 詳細については、「リファラーホワイトリストまたはブラックリストを設定してホットリンク保護を有効にする」をご参照ください。
Alibaba Cloud CDNからDCDNへのアップグレードとWAF機能の有効化
ドメイン名をAlibaba Cloud CDNからDynamic Content Delivery Network (DCDN) にアップグレードし、Web Application Firewall (WAF) 機能を有効にすることを推奨します。 DCDN は、アプリケーションの高速化、エッジコンピューティング、およびセキュリティ保護機能を備えています。 WAFを使用すると、IPアドレスブラックリストとホワイトリスト、レート制限、ボット管理、HTTPフラッド保護、リージョンブラックリストなどの保護ルールを設定して、悪意のあるリクエストをブロックし、異常なトラフィックに対する高額な請求を防ぐことができます。
ドメイン名をDCDNにアップグレードします。 詳細については、「ドメイン名のAlibaba Cloud CDNからDCDNへのアップグレード」をご参照ください。 Alibaba Cloud CDNは、アップグレード前に発生した料金を請求します。 DCDNは、アップグレード後に発生した料金を請求します。
DCDNにアップグレードした後、WAFを有効にします。 詳細は、「WAFの有効化」をご参照ください。
WAFリソースプランを購入します。 WAFは、セキュリティ容量単位 (SeCU) を課金単位として使用し、従量課金およびサブスクリプションの課金方法をサポートします。 詳細については、「WAF の課金 (新バージョン) 」をご参照ください。
説明WAFプラン (新バージョン) を購入するには、 ページを購入します。
HTTPフラッド保護の設定
詳細については、「カスタム保護ポリシーの設定」をご参照ください。
API呼び出しが突然増加すると、アラートがトリガーされます。 リアルタイムログでは、攻撃期間中に60秒間にIPアドレスから3,000回以上操作が呼び出されます。 ドメイン名が攻撃されていない場合、通常時の60秒間にIPアドレスから最大100回の操作が呼び出されます。 60秒間にIPアドレスから操作が呼び出される最大回数を、ドメイン名が攻撃されていないときに操作が通常呼び出される回数の2〜3倍に設定できます。
リアルタイムログを表示し、攻撃されたリソースを特定してから、攻撃された期間とドメイン名が攻撃されていない期間のアクセス頻度を比較する必要があります。 違いがある場合は、保護ポリシーを設定できます。
ほとんどの場合、サーバーはインターネットを介してリソースを要求する操作を呼び出します。 内部IPアドレスに頻繁にアクセスする場合は、IPアドレスを無視する一致条件を追加する必要があります。
ワークロードとリアルタイムログの攻撃者のアクセス頻度に基づいて、保護するカスタムURIと保護をトリガーするためのしきい値を指定する必要があります。 次の例では、ルールを設定する方法について説明します。
パラメーター | 例 | 説明 |
ルール名 | カスタムルールの名前。 名前の条件は以下の通りです。
| 要求されたURIに |
マッチ条件 |
| |
レート制限 | レート制限をオンにします。 | クライアントIPアドレスが60秒間に300回以上一致すると、クライアントIPアドレスがブラックリストに追加されます。 |
統計オブジェクト | [IP] を選択します。 | |
統計間隔 |
| |
しきい値 |
| |
ステータスコード | 無効だ | 3,600秒以内にレート制限条件を満たすすべてのリクエストがブロックされます。 |
申請先 | [現在のドメイン名] を選択します。 | |
ブラックリストのタイムアウト期間 |
| |
Action | [ブロック] を選択します。 |
異常なUser-Agentヘッダーを含むリクエストをブロックする
詳細については、「カスタム保護ポリシーの設定」をご参照ください。
ほとんどの場合、User-Agentヘッダーはアプリケーションでは空です。 このポリシーを使用する必要はありません。
User-Agentヘッダーの値がアプリケーション名の場合、ビジネスで使用されているアプリケーションの名前を照合コンテンツに追加する必要があります。
パラメーター | 例 | 説明 |
ルール名 | カスタムルールの名前。 名前の条件は以下の通りです。
| リクエストのUser-Agentヘッダーに |
マッチ条件 |
| |
レート制限 | 無効だ | |
Action | [ブロック] を選択します。 |
異常なUser-Agentヘッダーを含むリクエストの帯域幅調整を有効にする
詳細については、「カスタム保護ポリシーの設定」をご参照ください。
攻撃者がドメイン名またはAPI操作に頻繁にアクセスすると、トラフィック料金が突然増加します。 この場合、リアルタイムログをチェックすると、これらの要求は散在するIPアドレスからのものであるが、類似のUser-Agentヘッダーを持つことがわかります。 ドメイン名が攻撃されていない場合、同じUser-Agentヘッダーを含むリクエストの数は、ドメイン名が攻撃された場合よりもはるかに少なくなります。
ワークロードとリアルタイムログの攻撃者の特性とアクセス頻度に基づいて、カスタム保護されたURIと保護をトリガーするためのしきい値を指定する必要があります。 次の例では、ルールを設定する方法について説明します。
パラメーター | 例 | 説明 |
ルール名 | カスタムルールの名前。 名前の条件は以下の通りです。
| リクエストされたURIに |
マッチ条件 |
| |
レート制限 | レート制限をオンにします。 | リクエストに |
統計オブジェクト | [カスタムヘッダー] を選択し、 | |
統計間隔 |
| |
しきい値 |
| |
ステータスコード | 無効だ | 1,800秒以内にレート制限条件を満たすすべてのリクエストがブロックされます。 |
申請先 | [現在のドメイン名] を選択します。 | |
ブラックリストのタイムアウト期間 |
| |
Action | [ブロック] を選択します。 |
異常なIPアドレスからのリクエストをブロックする
詳細については、「IPアドレスブラックリストの設定」をご参照ください。
webクローラーをブロックする
ビジネス要件に基づいて保護項目を有効にします。 詳細については、「ボット管理モジュールの設定」をご参照ください。
次に何をすべきか
リアルタイムモニタリングの設定
Alibaba Cloud CDN 高速化ドメイン名の帯域幅を監視できます。 ドメイン名の帯域幅が指定されたしきい値に達すると、テキストメッセージ、電子メール、または DingTalk メッセージで潜在的なリスクが通知されます。 詳細については、「アラートルールの設定」をご参照ください。
請求書アラートの設定
以下の機能を使用して、料金を監視および制限できます。 機能を設定するには、コンソールの上部ナビゲーションバーの [費用] にポインターを移動し、[費用と費用] を選択します。
高額請求アラート:この機能を有効化すると、毎日の請求書が指定したアラートしきい値を超えると、SMS でアラートが送信されます。
サービス停止保護:この機能を無効化すると、料金の滞納が発生すると、滞納額が高額になることを防止するため、直ちにサービスの実行が停止されます。
高額通知: この機能を有効にすると、1日の請求額が指定された金額に達すると、テキストメッセージで通知が送信されます。
統計の整合性と請求書の正確性を確保するため、Alibaba Cloud CDN は課金サイクル終了後、約 3 時間で請求書を発行します。 関連する料金がアカウントの残高から差し引かれる時点は、課金サイクル内でリソースが消費される時点よりも後である場合があります。 Alibaba Cloud CDN は分散型サービスです。 そのため、Alibaba Cloud ではリソースの消費の詳細を請求書に記載していません。 他の CDN プロバイダーでも同様のアプローチが採用されています。