Web Application Firewall (WAF) インスタンスを購入すると、Anti-DDoS Origin Basicは、WAFインスタンスに対する最大5 Gbit/sのDDoS攻撃を無料で軽減できます。 Anti-DDoS Origin Basicは、WAFインスタンス宛てのトラフィックをスクラブして、DDoS攻撃を軽減し、トラフィックの急増によるブラックホールフィルタリングのトリガーを防ぎます。 このトピックでは、Anti-DDoS Origin Basic、ブラックホールフィルタリングを防止する方法、およびブラックホールフィルタリングを無効にする方法について説明します。
Anti-DDoS Origin Basic
軽減機能
Alibaba Cloudは、WAFインスタンスに対して最大5 Gbit/sのDDoS攻撃を無料で軽減できます。 Anti-DDoS Origin Basicでブラックホールフィルタリングをトリガーするしきい値は、リージョンによって異なります。 詳細については、「Anti-DDoS Origin Basicでブラックホールフィルタリングをトリガーするしきい値の表示」をご参照ください。
Anti-DDoS Origin Basicの仕組み
Anti-DDoS Origin Basicは、WAF宛ての正当で悪意のあるトラフィックをスクラブし、疑わしいDDoS攻撃トラフィックをスクラビングデバイスにリダイレクトします。 スクラビングデバイスは、悪意のあるトラフィックを識別して除去し、正当なトラフィックを元のネットワークにリダイレクトします。 これにより、正規のトラフィックをWAFに転送できます。 これにより、DDoS攻撃を軽減できます。
トラフィックスクラブ
WAFインスタンスへのトラフィックがトラフィックスクラブのトリガー条件を満たしている場合、Anti-DDoS Origin Basicはトラフィックをスクラブします。 WAFインスタンスへのトラフィックがスクラブされている場合、通知が送信されます。 通知は、WAF 3.0コンソールの上部バナーセクションに表示できます。
条件
WAFインスタンスへのトラフィックのパターンが攻撃トラフィックのパターンと一致し、トラフィックスクラブしきい値に達した場合、トラフィックスクラブがトリガーされます。
攻撃トラフィックのパターン: Anti-DDoS Origin Basicは、Alibaba Cloudが提供するビッグデータ機能を使用して通常のサービストラフィックを学習し、アルゴリズムを使用してDDoS攻撃を識別します。
トラフィックスクラブしきい値: トラフィックスクラブのしきい値は、WAFインスタンスへのトラフィック量によって異なります。 同じWAFインスタンスによって保護されているパブリックIPアドレスには、排他的IPアドレスによって保護されているパブリックIPアドレスと、共有クラスターベースのインテリジェント負荷分散に使用されるすべての保護ノードが含まれます。
説明WAFインスタンスへのトラフィック量がしきい値に達しても、トラフィックが攻撃トラフィックとして識別されない場合、トラフィックスクラブはトリガーされません。
しきい値
トラフィックスクラビングに使用されるメソッドには、攻撃パケットフィルタリング、帯域幅スロットリング、およびパケットスロットリングが含まれます。 Anti-DDoS Origin Basicを使用する場合、次のしきい値を指定する必要があります。
ビット /秒 (bps) に基づくスクラビングしきい値: WAFインスタンスへの1秒あたりのトラフィック量がしきい値を超えると、トラフィックスクラビングがトリガーされます。
1秒あたりのパケット数 (pps) に基づくスクラブしきい値。 1秒あたりの受信パケット数がしきい値を超えると、トラフィックのスクラブがトリガーされます。
トラフィックスクラブしきい値は、WAFインスタンスへの実際のトラフィック量によって異なります。 次の表に、しきい値を示します。
データ型
しきい値
bpsに基づく最大しきい値 (単位: Mbit/s)
MAX (800、QPS × 4.5/150)
ppsに基づく最大しきい値 (単位: pps)
MAX (800000、QPS × 4.5)
WAFインスタンスの最大トラフィックスクラブしきい値を表示するには、traffic Securityコンソールにログインします。
トラフィックスクラブしきい値の表示と指定
システムは、デフォルトのトラフィックスクラビング閾値を提供する。 しきい値が高すぎる場合、トラフィックのスクラビングはトリガーされません。 ビジネス要件に基づいてしきい値を指定できます。
にログインします。Traffic Securityコンソール.
左側のナビゲーションウィンドウで、資産.
上部のナビゲーションバーで、アセットが存在するリージョンを選択します。
[WAF] タブで、トラフィックスクラブしきい値を指定するWAFインスタンスを見つけ、[トラフィックスクラブしきい値] 列にデフォルトのbpsベースまたはppsベースのしきい値を表示します。
オプションです。 ビジネス要件に基づいて、デフォルトのbpsベースまたはppsベースのトラフィックスクラブしきい値を変更できます。
トラフィックスクラブしきい値を変更するWAFインスタンスを見つけ、インスタンスのIPアドレスをクリックします。
[IPアドレスの詳細] パネルで、[トラフィック軽減設定] をクリックします。
[トラフィック軽減設定] ダイアログボックスで、[スクラブしきい値] パラメーターを設定し、[OK] をクリックします。
デフォルト: Anti-DDoS Origin Basicは、WAFインスタンスへのトラフィック量に基づいてトラフィックスクラブしきい値を調整します。
手動設定: スループットと1秒あたりのパケット数 (pps) に特定のしきい値を選択できます。
説明DDoS攻撃が検出され、スループットまたはppsが選択したしきい値に達すると、トラフィックのスクラブがトリガーされます。
[マニュアル] を選択した場合は、次の項目に注意してください。
実際のスループットとppsよりわずかに大きいトラフィックスクラブしきい値を設定します。 しきい値が実際のスループットまたはppsよりも大幅に大きい場合、保護効果は損なわれます。 閾値が実際のスループットまたはppsよりも著しく小さい場合、通常のトラフィックをスクラブすることができる。
サービストラフィックがスクラブされる場合は、トラフィックスクラブしきい値を上げることを推奨します。
Webサイトの大規模なプロモーションやアクティビティでは、トラフィックスクラブのしきい値を上げることをお勧めします。
ブラックホールのフィルタリング
WAFインスタンスへの正規トラフィックのピークが5 Gbit/sを超えると、ブラックホールフィルタリングがトリガーされます。 WAFインスタンスへの正当なトラフィックと悪意のあるトラフィックは、ブラックホールにルーティングされ、ネットワークから削除されます。
同じWAFインスタンスによって保護されているパブリックIPアドレスのトラフィックスクラブしきい値は同じです。 パブリックIPアドレスには、専用IPアドレスによって保護されたパブリックIPアドレスと、共有クラスタベースのインテリジェント負荷分散に使用されるすべての保護ノードが含まれます。
この場合、WAF 3.0 の上部バナーセクションに通知が表示されます。
ブラックホールフィルタリングのためにWebサイトに長期間アクセスできないようにするには、[DDoSブラックホールのアラート] を選択し、メッセージセンターの [ボイスメッセージ管理] ページで通知を送信する連絡先を指定することをお勧めします。 詳細については、「メッセージセンターでのアラート通知の設定」をご参照ください。
[ボイスメッセージ管理] ページで [DDoSブラックホールでのアラート] を選択した後、WAFインスタンスでブラックホールフィルタリングがトリガーされたときにボイスメッセージを受信できます。 このようにして、できるだけ早い機会に問題を処理できます。
ブラックホールのフィルタリングを防ぐ方法
Anti-DDoS Origin Basicの軽減機能が強いほど、ブラックホールフィルタリングのしきい値は大きくなります。 Anti-DDoS Origin Basicの軽減機能がビジネス要件を満たせない場合は、Anti-DDoS OriginやAnti-DDoS Proxyなどの有料版のAnti-DDoSインスタンスを購入して、DDoS軽減機能を改善し、ブラックホールフィルタリングを防ぐことができます。 DDoSエディションの詳細については、「シナリオ固有のDDoS対策ソリューション」をご参照ください。
ブラックホールのフィルタリングを無効にする方法
手動による無効化: ブラックホールのフィルタリングをすぐに無効にする場合は、WAFコンソールの上部のバナーセクションにある [ブラックホールのフィルタリングの無効化] をクリックします。 詳細については、「ブラックホールフィルタリングの自動無効化のベストプラクティス」をご参照ください。
自動無効化: Anti-DDoS Origin Basicがブラックホールフィルタリングを自動的に無効化するのを待ちます。
ブラックホールフィルタリングが自動的に無効化される時刻を表示するには、Traffic SecurityコンソールのAssetsページに移動します。 ブラックホールフィルタリングの持続時間は、ユーザIDのアクティブ化の頻度と共に増加する。
排他的IPアドレスまたは共有クラスターベースのインテリジェント負荷分散とブラックホールフィルタリング
排他的IPアドレスまたは共有クラスターベースのインテリジェント負荷分散を有効にすると、ブラックホールのフィルタリングを防ぐことはできませんが、正当なトラフィックがWAFから配信元サーバーに転送されることを保証できます。
WAFインスタンスへのトラフィックがスクラブされている場合、またはWAFインスタンスがブラックホール状態の場合、排他的IPアドレスまたは共有クラスターベースのインテリジェント負荷分散を有効にすることはできません。
排他的IPアドレスを有効にする
デフォルトでは、同じWAFインスタンスに追加されたすべてのドメイン名は、ドメイン名へのトラフィックをリッスンするために使用されるWAF IPアドレスを共有します。 排他的IPアドレスは、特定のドメイン名に割り当てられ、ドメイン名へのトラフィックをリッスンするために使用されるIPアドレスです。 詳細については、「排他的IPアドレスの有効化」をご参照ください。
排他的IPアドレスのブラックホールステータスは、共有WAF IPアドレスのブラックホールステータスとは無関係です。
ブラックホール状態の排他的IPアドレスを無効にすると、排他的IPアドレスに対するDDoS攻撃が共有WAF IPアドレスにリダイレクトされる可能性があります。
共有クラスターベースのインテリジェント負荷分散の有効化
WAFインスタンスのインテリジェントな負荷分散を有効にすると、インスタンスには異なるリージョンに少なくとも3つの保護ノードが割り当てられ、ノードとリージョン間で自動ディザスタリカバリが実装されます。 WAFは、インテリジェントDNS解決機能と最小応答時間アルゴリズムを使用して、リクエストがオリジンサーバーに転送されるときのパスを短縮し、レイテンシを最小限に抑えます。 詳細については、「インテリジェント負荷分散」をご参照ください。
共有クラスターベースのインテリジェントな負荷分散を有効にすると、WAFは別の保護ノードを自動的に使用して、リージョン内の保護ノードに対してブラックホールフィルタリングがトリガーされたときに、正当なトラフィックが配信元サーバーに転送されるようにします。
共有クラスターベースのインテリジェントバランシングを無効にすると、保護ノードでブラックホールフィルタリングがトリガーされると、保護ノードによって保護されたトラフィックをオリジンサーバーに転送できなくなります。
FAQ
WAFインスタンスに複数のドメイン名が追加されます。 攻撃を受けているドメイン名を確認するにはどうすればよいですか?
攻撃者は、WAFに追加されたドメイン名を解決して、WAFインスタンスのIPアドレスを取得できます。 その後、攻撃者はIPアドレスに対してDDoS攻撃を開始します。 DDoS攻撃は、WAFインスタンスのIPアドレスを対象としています。 攻撃トラフィックに基づいて、攻撃されているドメイン名を特定することはできません。
ただし、ドメイン名のDNSレコードを変更して、攻撃されたドメイン名を特定できます。 たとえば、特定のドメイン名をWAFに、残りのドメイン名をElastic Compute Service (ECS) 、Alibaba Cloud CDN、Server Load Balancer (SLB) などの他のサービスに解決できます。 この操作後にブラックホールのフィルタリングがトリガーされなくなった場合、攻撃されたドメイン名は、他のサービスに解決されたドメイン名に含まれます。 ただし、この方法は複雑であり、オリジンサーバーのIPアドレスなど、特定のアセットがインターネット上に公開される可能性があります。 より深刻なセキュリティ問題が発生する可能性があります。 攻撃されたドメイン名を特定するためにこの方法を使用しないことを推奨します。
WAFインスタンスに対してブラックホールフィルタリングがトリガーされます。 WAFインスタンスのIPアドレスを変更してこの問題を防ぐことはできますか?
いいえ、WAFインスタンスのIPアドレスを変更してブラックホールのフィルタリングを防ぐことはできません。
インスタンスへのトラフィックがスクラブされているとき、またはインスタンスがブラックホール状態にあるときに、WAFインスタンスからすべてのドメイン名を削除してドメイン名をWAFインスタンスに読み込むか、WAFインスタンスをリリースして新しいWAFインスタンスを購入すると、WAFはDDoS攻撃を受けていたIPアドレスをWAFインスタンスまたは新しいWAFインスタンスに割り当てます。
説明WAFに新しいIPアドレスをWAFインスタンスに割り当てる場合は、次の操作を実行します。
WAFインスタンスからすべてのドメイン名を削除し、ドメイン名をWAFインスタンスに読み込みます。
排他的IPアドレスと共有クラスターインテリジェント負荷分散を有効にします。
攻撃者がドメイン名を攻撃する場合、攻撃者は、IPアドレスを変更するかどうかに関係なく、ドメイン名をpingしてWAFインスタンスのIPアドレスを取得できます。
DDoS攻撃とHTTPフラッド攻撃の違いは何ですか? WAFがDDoS攻撃から防御できないのはなぜですか?
DDoS攻撃はレイヤー4で一般的であり、HTTPフラッド攻撃はレイヤー7で一般的です。 HTTPフラッド攻撃は、HTTP GETまたはPOSTリクエストを使用する可能性があります。 WAF は HTTP フラッド攻撃に対して防御します。 ただし、DDoS攻撃から防御するには、WAFがトラフィックをスクラブする前に、WAFが大量のトラフィックを受信できる必要があります。 この場合、WAFは十分な帯域幅を提供できません。 Anti-DDoSを使用してDDoS攻撃から防御することを推奨します。
HTTPフラッド攻撃、Anti-DDoSまたはWAFに対する保護の優先方法はどれですか?
HTTPフラッド攻撃はDDoS攻撃の一種です。 この種の攻撃は、短期間に過剰な数の要求をウェブサーバに送信することによって、HTTPプロトコルの通常の挙動を利用する。 これにより、webサーバーは正当なトラフィックを処理できなくなります。
WAFを使用してHTTPフラッド攻撃から防御するには、ビジネス要件に基づいて保護ポリシーを設定します。 たとえば、保護をトリガーするための保護パスとしきい値を指定するには、カスタムレート制限ルールを設定できます。 特定の条件を満たすリクエストに対してWAFが実行するアクションを指定するには、カスタムアクセス制御ルールを設定します。 特定のリージョンからのリクエストをブロックするには、リージョンブラックリストを設定します。 たとえば、Webサイトが中国国内のユーザーをターゲットにしている場合、中国以外のリージョンからのリクエストをブロックして、この種の攻撃を軽減できます。 クローラーを防御するには、ボット管理モジュールを有効にします。
Anti-DDoS Proxyは、複雑なHTTPフラッド攻撃に対する自動保護をサポートし、実際のシナリオに基づいて保護ポリシーを自動的に調整します。 インテリジェント保護は、トラフィックパターンを自動的に学習し、アルゴリズムを使用して攻撃を分析します。 次に、この機能は正確なアクセス制御ルールを適用して保護モードを調整し、最も早い機会に攻撃を検出およびブロックします。
Anti-DDoS Proxyは、WAFよりも強力なDDoS攻撃に対する軽減機能を提供します。 WAFは、Anti-DDoS Proxyよりも詳細なアクセス制御とレート制限機能をアプリケーションに提供します。 大量のDDoS攻撃に対して防御する場合は、Anti-DDoS Proxyを使用することを推奨します。 少量のDDoS攻撃から防御し、きめ細かいアクセス制御ポリシーを設定し、クローラーから防御する場合は、WAFを使用することを推奨します。