DDoS攻撃は、ユーザーがサービスを利用できないようにする標的システムに対するサイバー攻撃です。 デフォルトでは、Anti-DDoS Origin Basicは、Global Acceleratorインスタンスの高速化IPアドレスとエンドポイントグループIPアドレスをDDoS攻撃から無料で保護します。 この機能は、Global Acceleratorインスタンスの軽減機能とセキュリティの向上に役立ちます。
Anti-DDoS Origin Basicの仕組み
軽減機能
デフォルトでは、Anti-DDoS Origin Basicは、Global Acceleratorインスタンスの高速化IPアドレスとエンドポイントグループIPアドレスに対して有効になっています。 Anti-DDoS Origin Basicは、最大5 Gbit/sの軽減機能を提供します。 軽減能力はリージョンによって異なります。
各リージョンのAnti-DDoS Origin Basicでブラックホールフィルタリングをトリガーするデフォルトのしきい値の詳細については、「Anti-DDoS Origin Basicでブラックホールフィルタリングしきい値を表示する」をご参照ください。
Global Acceleratorインスタンスの実際のブラックホールフィルタリングしきい値は、リージョンと帯域幅の設定によって異なります。 実際のしきい値は、Traffic Securityコンソールの [資産] ページで確認できます。
Anti-DDoS Origin Basicの仕組み
Anti-DDoS Origin Basicは、Global Acceleratorインスタンスへのトラフィックをリアルタイムで監視します。 インターネットからのすべてのトラフィックは、トラフィックがGlobal Acceleratorインスタンスに到達する前に、Anti-DDoS Origin Basicを通過する必要があります。 DDoS攻撃トラフィックなど、大量のトラフィックまたは不審なトラフィックが検出された場合、Anti-DDoS Origin Basicは、トラフィックを宛先ネットワークからスクラビングデバイスにリダイレクトします。 スクラビングデバイスは、悪意のあるトラフィックを識別して軽減し、正当なトラフィックを宛先ネットワークに転送してからGlobal Acceleratorインスタンスに転送します。 このプロセスは、トラフィックスクラビングと呼ばれる。 詳細については、「」をご参照ください。Anti-DDoSオリジンとは
クラスターへのインターネットトラフィックの量がAnti-DDoSの容量を超えると、トラフィックはクラスターを保護するためにブラックホールにルーティングされます。 この場合、すべてのトラフィックがブロックされます。 詳細については、「Alibaba CloudのBlackholeフィルタリングポリシー」をご参照ください。
トラフィックスクラブをトリガーするには、次の条件を満たす必要があります。
交通パターン。 トラフィックパターンが攻撃トラフィックのパターンと一致する場合、トラフィックスクラブがトリガーされます。
トラフィック量。 Anti-DDoS Origin Basicは、GAインスタンスの高速化IPアドレスおよびエンドポイントグループIPアドレスの帯域幅に基づいて、スクラブしきい値を自動的に設定します。 トラフィックがしきい値に達すると、Anti-DDoS Origin Basicは、トラフィックが攻撃トラフィックと見なされるかどうかに関係なく、トラフィックをスクラブします。
トラフィックスクラビングの方法は、攻撃パケットフィルタリング、帯域幅スロットリング、およびパケットスロットリングを含む。 次のスクラブしきい値は、Anti-DDoS Origin Basicによって提供されます。
1秒あたりのビット数 (BPS) に基づくスクラビングしきい値: 1秒あたりの受信トラフィック量がこの値を超えると、スクラビングがトリガーされます。
1秒あたりのパケット数 (PPS) に基づくスクラビングしきい値: 1秒あたりの受信パケット数がこの値を超えると、スクラビングがトリガーされます。
スクラブしきい値
次の表に、Global Acceleratorインスタンスの高速化IPアドレスとエンドポイントグループIPアドレスのトラフィックスクラブしきい値の計算に使用する方法を示します。
IPアドレス帯域幅 (単位: Mbit/s) | 最大BPSベースのスクラブしきい値 (単位: Mbit/s) |
≤ 300 | 450 |
> 300 | 高速IPアドレスの帯域幅 × 1.5 |
IPアドレス帯域幅 (単位: Mbit/s) | 最大PPSベースのスクラブしきい値 (単位: パケット /秒) |
≤ 100 | 100,000 |
> 100 | 高速IPアドレスの帯域幅 × 1,000 |
IPアドレス帯域幅は、次の式を使用して計算されます。
高速化IPアドレスの帯域幅: 高速化リージョンに割り当てられている帯域幅。
エンドポイントグループIPアドレスの帯域幅: Global Acceleratorインスタンスの課金方法と帯域幅計測方法によって異なります。
課金方法
帯域幅計測方法
IPアドレス帯域幅
サブスクリプション
データ転送による支払い (CDTで管理)
エンドポイントグループIPアドレスの帯域幅=GAインスタンスでサポートされる最大帯域幅
帯域幅課金 (基本帯域幅プランに関連付けられている)
エンドポイントグループIPアドレスの帯域幅=基本帯域幅プランの最大帯域幅
従量課金
データ転送による支払い (CDTで管理)
1,200 Mbps
たとえば、標準のGlobal Acceleratorインスタンスの高速化IPアドレスが属する高速化リージョンに割り当てられた帯域幅は100 Mbit/sで、GAインスタンスに関連付けられた基本帯域幅プランの最大帯域幅は200 Mbit/sです。 次のセクションでは、高速化IPアドレスとエンドポイントグループIPアドレスのスクラブしきい値について説明します。
高速化されたIPアドレス: 最大BPSベースのスクラブしきい値は450 Mbit/sで、最大PPSベースのスクラブしきい値は100,000パケット /秒です。
エンドポイントグループIPアドレス: 最大BPSベースのスクラブしきい値は450 Mbit/sで、最大PPSベースのスクラブしきい値は200,000パケット /秒です。
Global Acceleratorインスタンスの保護しきい値の表示
にログインします。GAコンソール.
On theインスタンスページで、管理するインスタンスを検索し、インスタンスのIDをクリックします。
説明基本的なGlobal Acceleratorインスタンスの保護しきい値を表示する場合は、左側のナビゲーションウィンドウで [基本インスタンス] を選択して Global Accelerator ページに移動します。
Global Acceleratorインスタンスの高速化IPアドレスまたはエンドポイントグループIPアドレスの保護しきい値を表示できます。
説明Anti-DDoS Origin Basicは、Protected、Cleaning、Blackholeのいずれかの状態になります。 Anti-DDoS Origin Basicアイコンは、状態に応じて異なる色で表示されます。 情報は、表示されるツールチップで表示できます。
高速IPアドレスの保護しきい値の表示
インスタンスの詳細ページで、アクセラレーションエリア タブをクリックします。 表示する高速化IPアドレスを見つけ、高速化 IP アドレス 列または [セキュリティ保護] 列のAnti-DDoS Origin Basicアイコンの上にポインターを移動します。 表示されるツールヒントでは、高速化IPアドレスのBPSベースのスクラブしきい値、PPSベースのスクラブしきい値、およびブラックホールフィルタリングしきい値を表示できます。
エンドポイントグループIPアドレスの保護しきい値の表示
標準のGlobal Acceleratorインスタンスのみが、エンドポイントグループIPアドレスの保護しきい値をサポートしています。
インスタンスの詳細ページで、リスナー タブをクリックし、エンドポイントグループのIPアドレスが属するリスナーのIDをクリックします。
リスナーの詳細ページで、エンドポイントグループ タブをクリックします。 管理するエンドポイントグループのIPアドレスを見つけ、ポインターをAnti-DDoS Origin Basicアイコンの上に移動します。 表示されるツールヒントでは、エンドポイントグループIPアドレスのBPSベースのスクラブしきい値、PPSベースのスクラブしきい値、およびブラックホールフィルタリングしきい値を表示できます。
関連ドキュメント
トラフィックスクラブしきい値の指定: Anti-DDoS Origin Basicは、IPアドレス帯域幅を使用して計算された最大しきい値を使用してGlobal Acceleratorインスタンスを保護します。 特定のIPアドレスの最大BPSベースのスクラブしきい値は、保護をトリガーするには高すぎる可能性があります。 ビジネス要件に基づいてトラフィックスクラブしきい値を調整できます。 詳細については、「トラフィックスクラブしきい値の指定」をご参照ください。
その他のAnti-DDoSサービスの購入: Anti-DDoS Origin Basicは、基本的な保護のみを提供します。 追加の保護が必要な場合は、Anti-DDoS Origin EnterpriseまたはAnti-DDoS Pro/Premiumを購入できます。 詳細については、「Anti-DDoS Origin Enterpriseインスタンスの購入」および「Anti-DDoS Pro/Premiumインスタンスの購入」をご参照ください。