Anti-DDoS Originは、Elastic Compute Service (ECS) 、Classic Load Balancer (CLB) 、Web Application Firewall (WAF) 、Elastic IP Address (EIP) に対するDDoS攻撃を軽減できます。 Anti-DDoS Originは、前述のサービスと統合されています。 IPアドレスを変更することなく、Anti-DDoS Originを使用できます。 さらに、レイヤ4ポートまたはレイヤ7ドメイン名に対する制限は、Anti-DDoS Originに課されない。
概要
デフォルトでは、Anti-DDoS Origin BasicはCLBに対して無料で有効になっています。 Anti-DDoS Origin Basicは、最大5 Gbit/sの帯域幅容量を提供します。 インターネットからのすべてのトラフィックは、トラフィックがCLBインスタンスに到達する前にAlibaba Cloud Securityを通過する必要があります。 Alibaba Cloud Securityは、SYNフラッド攻撃、UDPフラッド攻撃、ACKフラッド攻撃、ICMPフラッド攻撃、DNSフラッド攻撃、DDoS攻撃などの一般的な攻撃を軽減するためにトラフィックをスクラブします。
Anti-DDoS Originは、主要な保護ポリシーとしてパッシブスクラビングを採用し、DDoS攻撃を軽減するための補助ポリシーとしてアクティブブロッキングを採用しています。 Anti-DDoS Originは、逆検出、ブラックリスト、ホワイトリスト、およびパケットコンプライアンスなどの従来の技術を使用します。 これらのテクノロジーにより、保護されたリソースは攻撃を受けても期待どおりに機能します。 次の図は、Anti-DDoS Originのネットワークトポロジーを示しています。
Anti-DDoS Origin Basicは、インターネットに接続するCLBインスタンスの帯域幅に基づいて、スクラブとブラックホールのしきい値を指定します。 受信トラフィックがしきい値に達すると、スクラブまたはブラックホールがトリガーされます。
スクラブ: システムが特定のモデルに一致する攻撃やインターネットからの多数の攻撃を検出すると、Alibaba Cloud Securityはパケットフィルタリング、トラフィックスロットリング、およびパケットスロットリングを通じて攻撃トラフィックを自動的にスクラブします。
ブラックホール: システムがしきい値を超える多数の攻撃を受けると、セキュリティを確保するためにすべてのリクエストがドロップされます。
しきい値は、次の原則に基づいて計算されます。
しきい値は、CLBインスタンスのアウトバウンド帯域幅に基づいて決定されます。 アウトバウンド帯域幅の値が大きいほど、高いしきい値を指定します。
ブラックホールしきい値は、セキュリティクレジットスコアに基づいて決定されます。
説明ただし、セキュリティクレジットスコアはスクラブしきい値には影響しません。
しきい値を計算する
次の手順を実行して、しきい値を計算できます。
CLBは、CLBインスタンス用に購入した帯域幅リソースに基づいて推奨しきい値を提供します。
説明データ転送課金CLBインスタンスを購入した場合、アウトバウンド帯域幅は、CLBインスタンスがデプロイされているリージョンでサポートされている最大帯域幅と同じです。 中国本土のすべてのリージョンで最大5 Gbit/sの帯域幅をサポートしています。 詳細については、「最大帯域幅」をご参照ください。
CLB帯域幅とスクラブしきい値 (ビット /秒) の相関
CLB帯域幅が100 Mbit/s未満の場合: デフォルトのスクラブしきい値 (Mbit/s) = 120
CLB帯域幅が100 Mbit/sより大きい場合: デフォルトのスクラブしきい値 (Mbit/s) = CLB帯域幅 × 1.2
CLB帯域幅とスクラブしきい値 (パケット /秒) の相関
スクラブしきい値 (パケット /秒) = CLB帯域幅 /500 × 150,000
帯域幅はMbit/sで測定されます。
CLB帯域幅とブラックホールしきい値 (ビット /秒) の相関
CLB帯域幅が1 Gbit/s未満の場合: デフォルトのブラックホールしきい値 (Gbit/s) = 2
CLB帯域幅が1 Gbit/sより大きい場合: デフォルトのブラックホールしきい値 (Gbit/s) = Max {CLB帯域幅 × 1.5, 2}
Alibaba Cloud Securityは、推奨されるしきい値、セキュリティクレジットスコア、各リージョンのリソースに基づいて最終しきい値を計算します。
Alibaba Cloud Securityは、次のルールを使用してしきい値 (ビット /秒およびパケット /秒) を評価します。
閾値の最小値は、Mbit/sで1000され、packet/sで300000される。
CLBによって計算されたしきい値が前の最小値よりも小さい場合、最小値が優先されます。
CLBによって計算されたしきい値が前の最小値よりも大きい場合、CLBによって計算されたしきい値が優先されます。
Alibaba Cloud Securityは、セキュリティクレジットスコアに基づいてブラックホールしきい値を決定します。
RAMユーザーに読み取り専用権限を付与する
次の手順を実行して、Resource Manage Access (RAM) ユーザーにAnti-DDoS Origin Basicの読み取り専用権限を付与します。
RAMユーザーに読み取り専用権限を付与するには、Alibaba Cloudアカウントを使用する必要があります。
Alibaba Cloud アカウントで RAM コンソールにログインします。
左側のナビゲーションペインで、
を選択します。[ユーザー] ページでRAMユーザーを見つけ、[操作] 列の [権限の追加] をクリックします。
[権限の付与] パネルで、RAMロールに権限を付与します。
リソーススコープを選択します。
アカウント: 権限付与は、Alibaba Cloudアカウントのすべてのリソースに対して有効になります。
ResourceGroup: 指定されたリソースグループ内のリソースに対して権限が有効になります。
説明リソーススコープパラメーターにResourceGroupを選択する場合は、関連するクラウドサービスとリソースがリソースグループをサポートしていることを確認します。 詳細については、「リソースグループで動作するサービス」をご参照ください。
プリンシパルを指定します。
ポリシーを選択します。
[ポリシー名] 列で [AliyunYundunDDosFullAccess] を選択し、選択したリストにポリシーを追加します。 次に、[権限の付与] をクリックします。
閉じるをクリックします。
しきい値の確認
CLB コンソールにログインします。
上部のナビゲーションバーで、CLBインスタンスがデプロイされているリージョンを選択します。
[インスタンス] ページで、CLBインスタンスを見つけ、CLBインスタンスのAlibaba Cloudセキュリティアイコンの上にポインターを移動して、スクラブしきい値 (ビット /秒およびパケット /秒) とブラックホールしきい値を表示します。 詳細については、Anti-DDoSコンソールをご参照ください。
スクラブしきい値 (ビット /秒): 1秒あたりの受信データがこの値を超えると、スクラブがトリガーされます。
スクラブしきい値 (パケット /秒): 1秒あたりの受信パケットがこの値を超えると、スクラブがトリガーされます。
ブラックホールしきい値: 1秒あたりの受信データがこの値を超えると、すべてのリクエストがドロップされます。