Anti-DDoS Origin Basicは、ECS (Elastic Compute service) インスタンスをDDoS攻撃から保護する無料のサービスです。 ECSインスタンスへのインバウンドトラフィックがインスタンスタイプで許可されている最大トラフィックレートを超える場合、Anti-DDoS Origin Basicはトラフィックを抑制し、データ侵害、サーバーの切断、サービスへのアクセス不能などの問題を防止します。 このトピックでは、Anti-DDoS Origin Basicの機能と原則について説明します。
Anti-DDoS Origin Basicは、Alibaba Cloudが提供する無料のサービスです。 Anti-DDoS Origin Basicは、DDoS攻撃に対して最大5 Gbit/sの軽減能力を無料で提供します。 ECSインスタンスに提供される無料の軽減容量は、インスタンスタイプによって異なります。 Traffic SecurityコンソールでECSインスタンスの実際の軽減容量を確認できます。 詳しくは、「Security Center の概要」をご参照ください。 Anti-DDoS Origin Basicでブラックホールフィルタリングをトリガーするしきい値を表示します。
Anti-DDoS Origin Basicの仕組み
Anti-DDoS Origin Basicを有効化すると、ECSインスタンスへのインバウンドトラフィックがリアルタイムで監視されます。 大量のトラフィックやDDoS攻撃トラフィックなどの不審なトラフィックが検出された場合、Anti-DDoS Origin Basicは、トラフィックを意図したパスからスクラビングデバイスにリダイレクトします。 スクラビングデバイスは、悪意のあるトラフィックを識別して削除し、正当なトラフィックを返します。 次に、目的のパスを使用して、正規のトラフィックがECSインスタンスに転送されます。 上記のプロセスは、トラフィックスクラブと呼ばれます。 詳細については、「」をご参照ください。Anti-DDoSオリジンとは
ECSインスタンスに対してAnti-DDoS Origin Basicが有効化されている場合、インターネットからのインバウンドトラフィックが5 Gbit/sを超えると、Anti-DDoS Origin Basicはブラックホールフィルタリングをトリガーします。 インスタンスへのすべてのトラフィックはブラックホールにルーティングされ、クラスター全体のセキュリティを確保するために、インターネットからインスタンスへのすべてのアクセス要求がブロックされます。 詳細については、Anti-DDoSドキュメントの「Alibaba CloudのBlackholeフィルタリングポリシー」をご参照ください。
トラフィックスクラブをトリガーするための条件
トラフィックスクラブをトリガーするには、次の条件が満たされていることを確認します。
トラフィックパターン: 受信トラフィックが攻撃トラフィックパターンと一致すると、トラフィックスクラブがトリガーされます。
トラフィック量: ほとんどの場合、DDoS攻撃はGbit/sの規模でフラッドトラフィックを生成します。 ECSインスタンスへのトラフィック量が特定のしきい値に達すると、Anti-DDoS Origin Basicは自動的にトラフィックをスクラブします。
トラフィックスクラブの方法
トラフィックスクラブ方法には、攻撃パケットの除外、帯域幅の調整、およびパケット転送速度の調整が含まれます。 Anti-DDoS Origin Basicを使用する場合、次のしきい値を設定する必要があります。 詳細については、「トラフィックスクラブしきい値の設定」をご参照ください。
BPSベースのスクラブしきい値: インバウンドトラフィックがこのしきい値を超えると、トラフィックスクラブがトリガーされます。
PPSベースのスクラブしきい値: 受信パケット転送レートがこのしきい値を超えると、トラフィックスクラブがトリガーされます。
ECSインスタンスのスクラビングしきい値
この機能は、中国 (Heyuan) 、中国 (広州) 、中国 (成都) 、中国 (Hohhot) 、中国 (Ulanqab) 、中国 (香港) 、アラブ首長国連邦 (ドバイ) 、英国 (ロンドン) 、ドイツ (フランクフルト) 、オーストラリア (シドニー)(サービス終了) 、フィリピン (マニラ) 、マレーシア (クアラルンプール) 、インドネシア (ジャカルタ) 、日本 (東京) 、米国 (バージニア) 、米国 (シリコンバレー) 、シンガポール。
ECSインスタンスのスクラブしきい値は、購入したパブリック帯域幅とインスタンスタイプによって異なります。 次の表に、ECSインスタンスのスクラブしきい値の計算方法を示します。
購入したパブリック帯域幅 (Mbit/s) | 最大BPSベースのスクラブしきい値 (Mbit/s) | 最大PPSベースのスクラブしきい値 (pps) |
≤ 300 | ECSインスタンスタイプまたは450のいずれか低い方で許可される最大帯域幅。 | ECSインスタンスタイプまたは100,000のいずれか低い方で許可される最大パケット転送速度。 |
> 300 | ECSインスタンスタイプで許可されている最大帯域幅、または購入した帯域幅の値に1.5を掛けた値のいずれか小さい方です。 | ECSインスタンスタイプ、または購入した帯域幅の値に1,000を掛けた値のいずれか小さい方で許可される最大パケット転送速度。 |
BPSベースおよびPPSベースのスクラブしきい値の帯域幅とパケット転送速度の詳細については、「インスタンスファミリーの概要」トピックの「インスタンスタイプの仕様」セクションの「ネットワーク帯域幅」と「パケット転送速度」の行をご参照ください。
インスタンスファミリーで使用できる帯域幅メトリックがない場合、Traffic Securityコンソールに表示されるスクラブしきい値が優先されます。
Traffic Securityコンソールに表示されるブラックホールフィルタリングをトリガーするためのしきい値が優先されます。 詳細については、「Anti-DDoS Basicでブラックホールフィルタリングをトリガーするしきい値の表示」をご参照ください。
たとえば、ECS. g5.16xlargeインスタンスタイプのecsインスタンスを購入し、購入したパブリック帯域幅が100 Mbit/sの場合、インスタンスの最大帯域幅は20,000 Mbit/sで、最大パケット転送速度は4,000,000です。 次の表に、インスタンスのスクラブしきい値の計算方法を示します。
購入したパブリック帯域幅 (Mbit/s) | 最大BPSベースのスクラブしきい値 (Mbit/s) | 最大PPSベースのスクラブしきい値 (pps) |
100 < 300 | 20,000または450のいずれか小さい方。 結果は450です。 | 4,000,000または100,000のいずれか小さい方。 結果は100,000です。 |
Traffic Securityコンソールに表示される最終的なスクラブしきい値が優先されます。 詳細については、「アセットの表示」をご参照ください。 以下の図は一例です。
関連ドキュメント
デフォルトでは、ECSインスタンスに対してAnti-DDoS Origin Basicが有効になっています。 ECSインスタンスを作成した後、次の操作を実行できます。
スクラブしきい値を指定します。 ECSインスタンスが作成されると、インスタンスタイプのAnti-DDoS Origin Basicの最大しきい値が使用されます。 特定のインスタンスタイプの最大BPSベースのスクラブしきい値が高すぎる場合があります。 ビジネス要件に基づいてしきい値を変更する必要があります。 詳細については、「トラフィックスクラブしきい値の設定」をご参照ください。
(推奨されません) トラフィックスクラブを無効にします。 トラフィックスクラブが有効になり、ECSインスタンスへのインバウンドトラフィックが特定のしきい値に達すると、トラフィックが正常であるかどうかにかかわらず、トラフィックスクラブがトリガーされます。 これは、通常のビジネスに影響または中断する可能性があります。 ECSインスタンスのトラフィックスクラブを手動で無効にできます。 詳細については、「トラフィッククリーニングのキャンセル」をご参照ください。
警告ECSインスタンスのトラフィックスクラブが無効になった後、インスタンスへのインバウンドトラフィックが5 Gbit/sを超えると、インスタンスへのすべてのトラフィックがブラックホールにルーティングされます。 作業は慎重に行ってください。
DDoS攻撃に対する従来のセキュリティソリューションと比較して、Alibaba Cloud Anti-DDoS Proxyは、簡単なデプロイ、高いBGPネットワーク品質、包括的な保護機能、安定したシステム可用性、正確な保護、高度なAIインテリジェント保護技術という利点を提供します。 詳細については、「」をご参照ください。Anti-DDoSプロキシとは
anti-DDoSソリューションの選択方法については、「シナリオ固有のanti-DDoSソリューション」をご参照ください。