Alibaba Cloud Anti-DDoS Pro は、中国本土でのみ利用可能な BGP 帯域幅リソースを提供し、DDoS 攻撃を軽減します。 このサービスは、8 つの ISP に基づき、1 秒間にテラビット規模の攻撃トラフィックをスクラブできます。 Anti-DDoS Pro は、以前のバージョンと比較して、低遅延かつ高信頼性のネットワークをサポートし、迅速なディザスタリカバリを実現します。

このタスクについて

セキュリティは常にインターネットが直面している課題です。 DDoS 攻撃に代表されるネットワーク脅威は、ネットワークセキュリティに深刻な影響を及ぼします。

DDoS 攻撃は、規模と移動性がより拡大し、グローバルになりつつあります。 最近の調査レポートによると、DDoS 攻撃の頻度は増加しています。 攻撃者の検出は困難で、セキュリティ対策が不十分な多数のクラウドサービスプロバイダー、IDC、さらにはカメラを操作して攻撃を仕掛けることができます。 攻撃者は成熟した闇業界チェーンを形成し、ますます組織化されています。 同時に、攻撃方法は二極化に向かって発展しています。 スロー攻撃とハイブリッド攻撃、特に HTTP フラッド攻撃の割合が増加しており、検出と防御がより困難になっています。 一方で、ピークが 1 Tbit/s 以上の攻撃が一般的になり、100 GB の攻撃の数が増加しています。 また、アプリケーション層の攻撃も倍増しています。

Kaspersky Lab の DDoS Q1 2018 Intelligence Report によると、中国は依然として DDoS 攻撃の主な発生源と標的です。 攻撃を受けている主な業界には、インターネット、ゲーム、ソフトウェア会社、金融会社などがあります。 DDoS 攻撃の 80%以上が HTTP 攻撃と組み合わされており、HTTP フラッド攻撃は特に検出が困難です。 したがって、ログを使用してアクセスや攻撃のアクティビティを分析・調査し、それに応じて保護ポリシーを設定することが極めて重要です。

Log Serviceは、Alibaba Cloud Anti-DDoS Pro の Web サイトアクセスログと HTTP フラッド攻撃ログをリアルタイムで収集できます。 Log Service は、収集したログデータのリアルタイムの取得と分析もサポートし、クエリ結果をダッシュボードの形式で表示します。

利点

  • シンプルな設定:簡単な設定でリアルタイムの Anti-DDoS ログを収集できます。 新しい Web サイトが追加されると、自動的にログ収集が有効になります。
  • リアルタイム分析:この機能は Log Service に依存しており、リアルタイムログ分析とすぐに使えるレポートセンターを提供します。 これは、HTTP 攻撃のステータスとクライアントアクセスの詳細を把握するのに役立ちます。
  • リアルタイムアラート:カスタマイズされたメトリックに基づいてリアルタイムのモニタリングとアラートをサポートし、重要なビジネス例外へのタイムリーなレスポンスを保証します。
  • コラボレーション:この機能をリアルタイムコンピューティング、クラウドストレージ、視覚化、その他のデータソリューションと統合して、より多くのデータ価値を見出すことができます。
  • 無料のクォータ:3 TB のデータインポートクォータが無料で提供されるほか、ログストレージ、クエリ、リアルタイム分析機能を 30 日間無料で使用することもできます。

制限とガイドライン

  • 追加データを 専用の Logstore に書き込むことはできません

    専用の Logstore は、Anti-DDoS Pro Web サイトのログの保存に使用されます。 他のデータの書き込みはサポートされていません。 クエリ、統計、アラート、ストリーミング消費など、他の機能は制限されていません。

  • 専用 Logstore のデータ TTL と合計ストレージ容量は変更できません。

    ビジネス要件に基づいて、専用の Logstore のストレージ容量を購入します。 最大 1,000 TB のストレージ容量がサポートされ、ログは最大 180 日間保存できます。

シナリオ

  • Web サイトアクセス例外のトラブルシューティング

    Anti-DDoS Pro ログを収集するように Log Service を設定した後、収集したログをリアルタイムでクエリ・分析できます。 SQL 文を使用して Anti-DDoS Pro アクセスログを分析することで、Web サイトアクセス例外を迅速にトラブルシューティングしたり分析したりできます。 また、ISP ごとの読み取りや書き込みの遅延、例外分布などの情報をクエリすることもできます。

    たとえば、次の文を使用して、Anti-DDoS Pro のアクセスログエントリをクエリします。
    __topic__: DDoS_access_log
    次の図に示すように、クエリ結果が表示されます。
    図 1. Anti-DDoS Pro のログエントリへのアクセス
  • HTTP フラッド攻撃の発生源の追跡

    Anti-DDoS Pro アクセスログには、HTTP フラッド攻撃の発生源と分布に関する情報が記録されます。 アクセスログをリアルタイムでクエリ・分析して攻撃者を特定し、この情報を使用して最も効果的な保護ポリシーを選択できます。

    たとえば、次の文を使用して、HTTP フラッド攻撃の地理的分布を分析します。
    __topic__: DDoS_access_log and cc_blocks > 0| SELECT ip_to_country(if(real_client_ip='-', remote_addr, real_client_ip)) as country, count(1) as "number" group by country
    分析結果は、次のようにダッシュボードに表示されます。
    図 2. HTTP フラッド攻撃
  • たとえば、次の文を使用して、PV を表示します。
    __topic__: DDoS_access_log | select count(1) as PV
    次の図に示すように、分析結果はダッシュボードに表示されます。
    図 3. PV アクセス
  • Web サイト操作の分析

    Anti-DDoS Pro アクセスログには、Web サイトのトラフィックに関する情報がリアルタイムで記録されます。 SQL クエリを使用してログデータを分析することで、訪問者についてより詳しく把握したり、Web サイト操作を分析したりできます。 たとえば、最も訪問数の多い Web ページ、リクエストを開始したブラウザー、リクエストのクライアント、ソース IP アドレス、ISP を特定できます。

    たとえば、次の文を使用して、ISP ごとの訪問者分布を表示します。
    __topic__: ddos_access_log | select ip_to_provider(if(real_client_ip='-', remote_addr, real_client_ip)) as provider, round(sum(request_length)/1024.0/1024.0, 3) as mb_in group by provider having ip_to_provider(if(real_client_ip='-', remote_addr, real_client_ip)) <> '' order by mb_in desc limit 10
    次の図に示すように、分析結果はダッシュボードに表示されます。
    図 4. 訪問者の分布