分散型サービス拒否 (DDoS) 攻撃は、ユーザーがサービスを利用できないようにする標的システムに対するサイバー攻撃です。 Alibaba Cloudは、Anti-DDoS Origin Basic for NAT Gatewayを無料で提供しています。 Anti-DDoS Origin Basicは、最大5 Gbit/sでDDoS攻撃を軽減できます。

Anti-DDoS Origin Basicの仕組み

デフォルトでは、Anti-DDoS Origin BasicはNATゲートウェイで有効になっており、最大5 Gbit/sでDDoS攻撃を軽減できます。 インターネットからのすべてのトラフィックは、トラフィックがNATゲートウェイに到達する前にAlibaba Cloud Securityを通過する必要があります。 Alibaba Cloud Securityはトラフィックをスクラブして攻撃を軽減します。 詳細については、「Anti-DDoSオリジンとは」をご参照ください。
説明 クラスターへのインターネットトラフィックの量がAnti-DDoSの容量を超えると、トラフィックはクラスターを保護するためにブラックホールにルーティングされます。 この場合、すべてのトラフィックがブロックされます。 Anti-DDoS Origin Basicが各リージョンでブラックホールフィルタリングを自動的にトリガーするデフォルトのしきい値の詳細については、「Anti-DDoS Origin Basicでブラックホールフィルタリングをトリガーするしきい値を表示する」をご参照ください。 NAT Gatewayのブラックホールフィルタリングをトリガーするしきい値は、リージョンと帯域幅によって決まります。 詳細については、「アセット」をご参照ください。
トラフィックスクラブがトリガーされるかどうかは、次の要因によって決まります。
  • 交通パターン。 トラフィックパターンが攻撃トラフィックのパターンと一致する場合、トラフィックスクラブがトリガーされます。
  • トラフィック量。 Anti-DDoS Origin Basicは、NAT Gatewayの帯域幅に基づいてスクラブしきい値を自動的に設定します。 トラフィックが指定されたしきい値に達すると、トラフィックがサービストラフィックであるか攻撃トラフィックであるかにかかわらず、Alibaba Cloud Securityはトラフィックをスクラブします。
トラフィックスクラビングの方法は、攻撃パケットフィルタリング、帯域幅スロットリング、およびパケットスロットリングを含む。 次のスクラブしきい値は、Anti-DDoS Origin Basicによって提供されます。
  • 1秒あたりのビット数 (BPS) に基づくスクラビングしきい値: 1秒あたりの受信トラフィック量がこの値を超えると、スクラビングがトリガーされます。
  • 1秒あたりのパケット数 (PPS) に基づくスクラビングしきい値: 1秒あたりの受信パケット数がこの値を超えると、スクラビングがトリガーされます。

スクラブしきい値

次の表に、NATゲートウェイのスクラブしきい値を計算する方法を示します。
EIP帯域幅 (単位: Mbit/s) BPSベースの最大スクラブしきい値 (単位: Mbit/s) PPSベースの最大スクラブしきい値 (単位: pps)
≤ 300 450 100,000
> 300 EIP帯域幅 × 1.5 EIP帯域幅 × 1,000

例えば、EIPの帯域幅が1,000 Mbit/sである場合、最大BPSベースのスクラビング閾値は1,500 Mbit/sであり、最大PPSベースのスクラビング閾値は毎秒百万パケットである。

EIPがクラウドリソースに関連付けられた後、スクラブしきい値が変更されます。 詳細については、Anti-DDoSコンソールのアセットページをご参照ください。 詳細については、「アセットページの表示」をご参照ください。