分散型サービス拒否 (DDoS) 攻撃は、ユーザーがサービスを利用できないようにする標的システムに対するサイバー攻撃です。 Alibaba Cloudは、Anti-DDoS Origin Basic for elastic IPアドレス (EIP) を無料で提供しています。 Anti-DDoS Origin Basicは、最大5 Gbit/sでDDoS攻撃を軽減できます。
Anti-DDoS Origin Basicの仕組み
デフォルトでは、Anti-DDoS Origin BasicはEIPに対して有効になっており、最大5 Gbit/sでDDoS攻撃を軽減できます。 インターネットからのすべてのトラフィックは、トラフィックがEIPに到達する前にAlibaba
Cloud Securityを通過する必要があります。 Alibaba Cloud Securityはトラフィックをスクラブして攻撃を軽減します。 詳細については、「Anti-DDoSオリジンとは」をご参照ください。
説明 クラスターへのインターネットトラフィックの量がAnti-DDoSの容量を超えると、トラフィックはクラスターを保護するためにブラックホールにルーティングされます。 この場合、すべてのトラフィックがブロックされます。
Anti-DDoS Origin Basicが各リージョンでブラックホールフィルタリングを自動的にトリガーするデフォルトのしきい値の詳細については、「Anti-DDoS Origin Basicでブラックホールフィルタリングをトリガーするしきい値を表示する」をご参照ください。 EIPのブラックホールフィルタリングをトリガーするしきい値は、リージョンと帯域幅によって決まります。 詳細については、「アセット」をご参照ください。
トラフィックスクラブがトリガーされるかどうかは、次の要因によって決まります。
- 交通パターン。 トラフィックパターンが攻撃トラフィックのパターンと一致する場合、トラフィックスクラブがトリガーされます。
- トラフィック量。 Anti-DDoS Origin Basicは、EIPの帯域幅に基づいてスクラブしきい値を自動的に設定します。 トラフィックが指定されたしきい値に達すると、トラフィックがサービストラフィックであるか攻撃トラフィックであるかにかかわらず、Alibaba Cloud Securityはトラフィックをスクラブします。
トラフィックスクラビングの方法は、攻撃パケットフィルタリング、帯域幅スロットリング、およびパケットスロットリングを含む。 次のスクラブしきい値は、Anti-DDoS
Origin Basicによって提供されます。
- 1秒あたりのビット数 (BPS) に基づくスクラビングしきい値: 1秒あたりの受信トラフィック量がこの値を超えると、スクラビングがトリガーされます。
- 1秒あたりのパケット数 (PPS) に基づくスクラビングしきい値: 1秒あたりの受信パケット数がこの値を超えると、スクラビングがトリガーされます。
スクラブしきい値
次の表に、EIPのスクラブしきい値を計算する方法を示します。
| EIP帯域幅 (単位: Mbit/s) | BPSベースの最大スクラブしきい値 (単位: Mbit/s) |
|---|---|
| ≤ 300 | 450 |
| > 300 | EIP帯域幅 × 1.5 |
| EIP帯域幅 (単位: Mbit/s) | PPSベースの最大スクラブしきい値 (単位: パケット /秒) |
|---|---|
| ≤ 100 | 100,000 |
| > 100 | EIP帯域幅 × 1,000 |
例えば、EIPの帯域幅が200 Mbit/sである場合、最大BPSベースのスクラビング閾値は450 Mbit/sであり、最大PPSベースのスクラビング閾値は毎秒200,000パケットである。
EIPがクラウドリソースに関連付けられた後、スクラブしきい値が変更されます。 詳細については、Anti-DDoSコンソールのアセットページをご参照ください。 詳細については、「アセットページの表示」をご参照ください。
EIPのスクラブしきい値の表示
- EIPコンソールにログインします。
- 上部のナビゲーションバーで、EIPが作成されているリージョンを選択します。
- [Elastic IPアドレス] ページで、管理するEIPを見つけます。 [保護] 列で、ポインターをAlibaba Cloudセキュリティアイコンの上に移動します。 表示されるツールヒントで、BPSベースのスクラブしきい値、PPSベースのスクラブしきい値、およびブラックホールフィルタしきい値を表示します。