Anti-DDoS Origin Basicは、分散型サービス拒否 (DDoS) 攻撃からElastic Compute service (ECS) インスタンスを保護し、システムの安定性を確保するサービスです。 インスタンスへのインバウンドトラフィックがインスタンスタイプで許可されている最大トラフィックレートを超える場合、Alibaba Cloud Securityはトラフィックを抑制します。
Anti-DDoS Origin Basicは、Alibaba Cloud Securityに含まれる無料のサービスです。 一般的なDDoS攻撃に対して、最大5 Gbit/sの軽減能力を無料で提供します。 ECSインスタンスのインスタンスタイプによって、空き層で提供される軽減容量が決まります。 Alibaba Cloud Security Anti-DDoS Origin Basicコンソールにログインして、実際の軽減容量のしきい値を確認できます。 詳しくは、「Security Center の概要」をご参照ください。 Anti-DDoS Origin Basicでブラックホールフィルタリングをトリガーするしきい値を表示します。
Anti-DDoS Origin Basicの仕組み
Anti-DDoS Origin Basicを有効にすると、Alibaba Cloud SecurityはECSインスタンスへのインバウンドトラフィックをリアルタイムで監視します。 大量のトラフィックまたはDDoS攻撃トラフィックなどの不審なトラフィックが検出された場合、Alibaba Cloud Securityはトラフィックを宛先ネットワークからスクラブデバイスにリダイレクトします。 スクラビングデバイスは、悪意のあるトラフィックを識別して削除し、宛先ネットワークに向かう正当なトラフィックをECSインスタンスに転送します。 このプロセスは、トラフィックスクラビングと呼ばれる。 詳細については、「Anti-DDoS Origin有料版とは? 」をご参照ください。
ECSインスタンスに対してAnti-DDoS Origin Basicが有効になっている場合、インターネットからのインバウンドトラフィックが5 Gbit/sを超えると、Alibaba Cloud Securityはブラックホールフィルタリングをトリガーします。 インスタンスへのすべてのトラフィックはブラックホールにルーティングされ、クラスター全体のセキュリティを確保するために、インターネットからインスタンスへのすべてのアクセス要求がブロックされます。 詳細については、Anti-DDoSドキュメントの「Alibaba CloudのBlackholeフィルタリングポリシー」をご参照ください。
トラフィックスクラブをトリガーするための条件
トラフィックスクラブをトリガーするには、次の条件を満たす必要があります。
トラフィックパターン: 受信トラフィックが攻撃トラフィックパターンと一致すると、トラフィックスクラブがトリガーされます。
トラフィック量: ほとんどの場合、DDoS攻撃はGbit/sの大きさのフラッドトラフィックを生成します。 ECSインスタンスへのインバウンドトラフィックが特定のしきい値に達すると、トラフィックが正常であるかどうかにかかわらず、トラフィックスクラブがトリガーされます。
トラフィックスクラブの方法
トラフィックスクラビングには、攻撃パケットのフィルタリング、帯域幅の調整、およびパケット転送速度の調整が含まれます。 Anti-DDoS Origin Basicを使用する場合、次のしきい値を設定する必要があります。 詳細については、「トラフィックスクラブしきい値の設定」をご参照ください。
BPSベースのスクラブしきい値: インバウンドトラフィックがこのしきい値を超えると、トラフィックスクラブがトリガーされます。
PPSベースのスクラブしきい値: 受信パケット転送レートがこのしきい値を超えると、トラフィックスクラブがトリガーされます。
ECSインスタンスのスクラビングしきい値
トラフィックスクラブ機能は、次のリージョンで利用できます。中国 (河原) 、中国 (広州) 、中国 (成都) 、中国 (フホト) 、中国 (ウランカブ) 、中国 (香港) 、アラブ首長国連邦 (ドバイ) 、英国 (ロンドン) 、ドイツ (フランクフルト) 、オーストラリア (シドニー) 、フィリピン (マニラ) 、マレーシア (クアラルンプール) 、インドネシア (ジャカルタ) 、インド (ムンバイ) 、日本 (東京) 、米国 (バージニア) 、米国 (シリコンバレー) 、シンガポール。
ECSインスタンスのスクラブしきい値は、購入したパブリック帯域幅とインスタンスタイプによって決まります。 次の表に、ECSインスタンスのスクラブしきい値の計算方法を示します。
購入した帯域幅 (単位: Mbit/s) | 最大BPSベースのスクラブしきい値 (単位: Mbit/s) | 最大PPSベースのスクラブしきい値 (単位: pps) |
≤ 300 | ECSインスタンスタイプまたは450で許可されている最大帯域幅 (小さい方) 。 | ECSインスタンスタイプまたは100,000のいずれか小さい方で許可される最大パケット転送速度。 |
> 300 | ECSインスタンスタイプで許可されている最大帯域幅、または購入した帯域幅の値に1.5を掛けた値のいずれか小さい方です。 | ECSインスタンスタイプまたは購入した帯域幅の値に1,000を掛けた積で許可される最大パケット転送速度のいずれか小さい方です。 |
BPSベースのしきい値とPPSスクラブしきい値の帯域幅とパケット転送速度については、インスタンスファミリーの概要トピックの「インスタンスタイプの仕様」セクションのネットワーク帯域幅とパケット転送速度の行を参照してください。
インスタンスファミリーで使用できる帯域幅メトリックがない場合、Traffic Securityコンソールに表示されるスクラブしきい値が優先されます。
Traffic Securityコンソールに表示されるブラックホールフィルタリングをトリガーするためのしきい値が優先されます。 詳細については、「Anti-DDoS Origin Basicでブラックホールフィルタリングをトリガーするしきい値の表示」をご参照ください。
たとえば、ECS. g5.16xlargeインスタンスタイプのecsインスタンスを購入し、購入した帯域幅が100 Mbit/sの場合、インスタンスの最大帯域幅は20,000 Mbit/sで、最大パケット転送速度は4,000,000です。 次の表に、インスタンスのスクラブしきい値の計算方法を示します。
購入した帯域幅 (単位: Mbit/s) | 最大BPSベースのスクラブしきい値 (単位: Mbit/s) | 最大PPSベースのスクラブしきい値 (単位: pps) |
100 < 300 | 20,000または450のいずれか小さい方。 結果は450です。 | 4,000,000または100,000のいずれか小さい方。 結果は100,000です。 |
Traffic Securityコンソールに表示される最終的なスクラブしきい値が優先されます。 詳細については、「アセットの表示」をご参照ください。 以下の図は一例です。 
次のステップ
デフォルトでは、ECSインスタンスに対してAnti-DDoS Origin Basicが有効になっています。 ECSインスタンスを作成した後、次の操作を実行できます。
スクラブしきい値を指定します。 ECSインスタンスが作成されると、インスタンスタイプのAnti-DDoS Origin Basicの最大しきい値が使用されます。 ただし、特定のインスタンスタイプの最大BPSベースのスクラブしきい値は高く、安全ではない場合があります。 ビジネスニーズに基づいてしきい値を設定する必要があります。 詳細については、「トラフィックスクラブしきい値の設定」をご参照ください。
(推奨されません) トラフィックスクラブを無効にします。 トラフィックスクラブが有効になり、ECSインスタンスへのインバウンドトラフィックが特定のしきい値に達すると、トラフィックが正常であるかどうかにかかわらず、トラフィックスクラブがトリガーされます。 これは、通常のビジネスに影響または中断する可能性があります。 ECSインスタンスのトラフィックスクラブを手動で無効にできます。 詳細については、「トラフィッククリーニングのキャンセル」をご参照ください。
警告ECSインスタンスのトラフィックスクラブを無効にした後、インスタンスへのインバウンドトラフィックが5 Gbit/sを超えると、インスタンスへのすべてのトラフィックがブラックホールにルーティングされます。 作業は慎重に行ってください。