ブラックホールについて

Web Application Firewall (WAF) が、Anti-DDoS Basic の無料保護機能を超える大量トラフィックの DDoS 攻撃を受けた場合、WAF はブラックホール状態に陥ります。

WAF IP アドレスがブラックホール状態に陥ると、WAF を経由するトラフィック (通常のアクセスまたは攻撃) はすべてブロックされます。つまり、ブラックホール期間中は WAF インスタンスが保護するドメイン名にアクセスできません
サイトがブラックホール状態に陥った場合、そのサイトはブラックホール期間終了後にのみ回復します。 デフォルトのブラックホール期間は 150 分です。 WAF ブラックホールしきい値は、ECS が置かれるリージョンのデフォルトしきい値と同じです。

ブラックホールおよびブラックホールポリシーの詳細については、「Alibaba Cloud ブラックホールポリシー」をご参照ください。

ブラックホールを回避する方法

デフォルトでは、各 WAF インスタンスは専用 IP アドレスをユーザーに割り当てます。 この WAF IP アドレスがブラックホール状態に陥ると、ブラックホール期間中、この WAF インスタンスが保護するドメイン名にアクセスできません。 これを回避するには、重要なドメイン名に対する追加の専用 IP アドレスを購入します。 この場合、この重要なドメイン名は DDoS 攻撃を受けている他のドメイン名の影響を受けません。
大量トラフィックの DDoS 攻撃に対する最善の解決策は、Anti-DDoS Pro を使用してドメイン名を保護することです。

WAF ブラックホール についてよくある質問

WAF がブラックホール状態に陥ります。 すぐに回復しますか。

ブラックホールは Alibaba Cloud が ISP から購入するサービスであり、ISP がブラックホールをトリガーする時間と頻度に厳しい制限を加えています。したがって、手動でブラックホール状態を無効化することはできず、システムが自動的にサーバーを解放するのを待つ必要があります。

実際には、ブラックホールがすぐに無効化されたとしても、WAF が依然として大量トラフィックの DDoS 攻撃を受けている場合は、ブラックホールは再度トリガーされます。

WAF が複数のドメイン名で設定されている場合、攻撃を受けている特定のドメイン名を知る方法を教えてください。

通常、ハッカーは WAF で保護されたドメイン名を解決して WAF インスタンスの IP アドレスを取得し、この IP アドレスに対して DDoS 攻撃を開始します。 大量トラフィックの DDoS 攻撃は、WAF IP アドレスを標的にしています。 トラフィックに基づいて、攻撃を受けているドメイン名を特定することはできません。

ただし、ドメイン名を分けて、攻撃を受けているドメイン名を調べることができます。たとえば、一部のドメイン名を WAF に、残りをその他(ECS オリジン、CDN、または SLB)に名前解決します。WAF がブラックホールからなくなっていれば、ハッカーの標的はその他に名前解決されたドメイン名にあることになります。しかし、運用がやや複雑で、配信元およびその他の資産を公開してしまう可能性があり、さらに深刻なセキュリティ問題になりかねません。必要な場合を除き、この方法で攻撃を受けているドメイン名を特定しないようにします。

WAF がブラックホール状態に陥らないように WAF IP アドレスを変更すると、効果がありますか。

WAF IP アドレスを変更しても問題は解決しません。 ハッカーはドメイン名の ping によって新しい IP アドレスを入手し、別の DDoS 攻撃を開始します。 したがって、IP アドレスを変更してもあまり効果はありません。

DDoS 攻撃と HTTP フラッド攻撃に違いはありますか。 WAF が DDoS 攻撃を防御できないのはなぜですか。

大量トラフィックの DDoS 攻撃は、IP アドレスに対するレイヤー 4 攻撃です。一方 HTTP フラッド攻撃はレイヤー 7 攻撃 (たとえば、HTTP GET や POST フラッド) です 。

WAF は HTTP フラッド攻撃を防御します。 ただし、大量トラフィックの DDoS 攻撃の場合、すべてのトラフィックをクリーニングするには十分な帯域幅のリソースが必要です。 したがって、DDoS 攻撃から保護するには、Anti-DDoS Pro を使用します。