Wondershare EdrawMind
マインドマップギャラリー Alibaba Cloud DDoS 保護
- 10
Alibaba Cloud DDoS 保護
Alibaba Cloud DDoS 保護サービスは、Alibaba Cloud のグローバル DDoS 保護ネットワークに基づいており、Alibaba が自社開発した DDoS 攻撃検出およびインテリジェントな保護システムと組み合わせて、管理可能な DDoS 保護サービスを提供し、ビジネスに対するネットワーク攻撃の影響を自動的かつ迅速に軽減します。その結果として生じる遅延、アクセスの制限、ビジネスの中断により、ビジネス上の損失が軽減され、潜在的な DDoS 攻撃のリスクが軽減されます。
2024-01-13 21:13:52 に編集されました
- おすすめ
- アウトライン
Alibaba Cloud DDoS 保護
DDoS攻撃とは何ですか
攻撃原理
通常、攻撃者は不正なアカウントを使用して、ネットワーク上の 1 台のコンピュータに DDoS マスター プログラムをインストールし、ネットワーク上の複数のコンピュータにエージェント プログラムをインストールします。設定された時間内に、メイン制御プログラムは多数のエージェント プログラムと通信し、エージェント プログラムが指示を受け取ると、数秒以内に数百、数千のエージェント プログラムを起動することもあります。
DDoS 攻撃の危険性
重大な経済的損失
DDoS 攻撃を受けると、オリジンサーバーがサービスを提供できなくなり、ユーザーがビジネスにアクセスできなくなり、多大な経済的損失とブランドの損害が発生する可能性があります。
例: 電子商取引プラットフォームが DDoS 攻撃を受けた場合、Web サイトは正常にアクセスできなくなったり、一時的にシャットダウンされたりするため、正規のユーザーは商品の購入を注文できなくなります。
データ侵害
ハッカーがサーバーに DDoS 攻撃を仕掛けると、その機会を利用してビジネスの中核となるデータが盗まれる可能性があります。
悪意のある競争
一部の業界では悪質な競争が存在しており、競合他社が業界の競争で優位に立つために、DDoS 攻撃を通じてサービスを悪意を持って攻撃する可能性があります。
たとえば、あるゲーム ビジネスが DDoS 攻撃を受け、ゲーム プレイヤーの数が激減し、ゲーム ビジネスは数日以内に急速に完全にオフラインになってしまいました。
一般的な DDoS 攻撃の種類
DDoS 攻撃の分類 攻撃サブクラス 説明する 不正な形式のメッセージ 不正なメッセージには主に、Frag Flood、Smurf、Stream Flood、Land Flood、IP 不正メッセージ、TCP 不正メッセージ、UDP 不正メッセージなどが含まれます。 不正なパケット攻撃とは、欠陥のある IP パケットをターゲット システムに送信し、そのようなパケットの処理中にターゲット システムをクラッシュさせ、それによってサービス妨害攻撃の目的を達成することを指します。 トランスポート層の DDoS 攻撃 トランスポート層の DDoS 攻撃には、主に Syn Flood、Ack Flood、UDP Flood、ICMP Flood、RstFlood などが含まれます。 Syn Flood 攻撃を例に挙げると、TCP プロトコルの 3 ウェイ ハンドシェイク メカニズムが使用されます。サーバーは、Syn リクエストを受信すると、リスニング キューを使用して一定期間接続を保存する必要があります。したがって、Syn リクエストをサーバーに送信し続けながら Syn Ack メッセージに応答しないと、サーバーのリソースが消費されます。リスニング キューがいっぱいになると、サーバーは通常のユーザー要求に応答できなくなり、サービス拒否攻撃の目的が達成されます。 DNS DDoS 攻撃 DNS DDoS 攻撃には主に、DNS リクエスト フラッド、DNS レスポンス フラッド、偽のソースおよび実際のソースの DNS クエリ フラッド、権威サーバー攻撃、ローカル サーバー攻撃が含まれます。 DNS クエリ フラッド攻撃を例に挙げると、基本的には通常のビジネス動作である実際のクエリ リクエストが実行されます。ただし、複数の Puppet マシンが同時に大量のドメイン名クエリ リクエストを開始すると、サーバーは通常の Query リクエストに応答できなくなり、サービス拒否が発生します。 接続された DDoS 攻撃 接続型 DDoS 攻撃とは、主に TCP 低速接続攻撃、接続枯渇攻撃、Loic、Hoic、Slowloris、Pyloris、Xoic などの低速攻撃を指します。 Slowloris 攻撃を例に挙げると、その攻撃対象は Web サーバーの同時実行数の上限です。 Web サーバーの同時接続数が上限に達すると、Web サービスは新しいリクエストを受信できなくなります。 Web サービスは、新しい HTTP リクエストを受信すると、そのリクエストを処理するために新しい接続を確立し、処理が完了した後に接続を閉じます。接続が常に接続されている場合は、新しい HTTP リクエストを受信したときに処理するために新しい接続を確立する必要があります。すべての接続が接続されると、Web は新しいリクエストを処理できなくなります。 Slowloris 攻撃は、HTTP プロトコルの特性を利用して攻撃目的を達成します。 HTTP リクエストが \r \r ヘッダーの識別で終了する場合、Web サーバーが \r のみを受信した場合は、HTTP ヘッダー部分が終了していないと見なされ、接続が維持され、後続のメッセージが届くまで待機します。リクエスト内容。 Webアプリケーション層のDDoS攻撃 Web アプリケーション層攻撃とは、主に HTTP Get Flood、HTTP Post Flood、CC およびその他の攻撃を指します。 通常、アプリケーション層の攻撃は、さまざまな検索エンジンやクローラーと同様に、ユーザーのリクエストを完全にシミュレートします。これらの攻撃動作と通常のビジネスとの間に厳密な境界はなく、区別することは困難です。 Web サービスの一部のトランザクションとページは大量のリソースを消費します。たとえば、Web アプリケーションのページングとテーブル分割の場合、ページを制御するパラメータが大きすぎると、頻繁なページめくりにより多くの Web サービス リソースが占有されます。特に同時実行性が高く、呼び出しが頻繁に行われる場合、このようなトランザクションは初期の CC 攻撃の標的になります。 現在の攻撃のほとんどはハイブリッドであるため、ユーザーの動作をシミュレートする頻繁な操作は CC 攻撃とみなされる可能性があります。たとえば、さまざまな投票ブラッシング ソフトウェアによる Web サイトへのアクセスは、ある程度 CC 攻撃です。 CC 攻撃は、Web アプリケーションのバックエンド ビジネスを標的とし、サービス妨害を引き起こすだけでなく、Web 応答時間、データベース サービス、ディスクの読み取りと書き込みなど、Web アプリケーションの機能とパフォーマンスにも直接影響を与えます。
あなたのビジネスが DDoS 攻撃を受けているかどうかを確認するにはどうすればよいですか?
あなたのビジネスは、次のような場合に DDoS 攻撃を受けた可能性があります。
ネットワークや機器が正常な場合でも、突然サーバーが切断されたり、アクセスラグが発生したり、ユーザーが切断されたりすることがあります。
サーバーの CPU またはメモリの使用量が大幅に増加します。
ネットワークのアウトバウンドまたはインバウンドトラフィックが大幅に増加しています。
ビジネス Web サイトまたはアプリケーションに、突然大量の未知のアクセスが発生します。
サーバーへのログインが失敗したか、ログインが遅すぎました。
DDoS 攻撃を軽減するためのベスト プラクティス
DDoS攻撃軽減ソリューション
露出面を減らし、リソースと無関係なビジネスを隔離し、攻撃を受けるリスクを軽減します。
セキュリティグループの構成
ビジネスに関係のないリクエストやアクセスを避けるために、ビジネスに不可欠ではないサービス ポートをパブリック ネットワークに公開しないようにしてください。セキュリティ グループを構成すると、システムがスキャンされたり、誤って公開されたりするのを効果的に防ぐことができます。
プライベートネットワークVPC(Virtual Private Cloud)を使用する
プライベート ネットワーク VPC は、ネットワーク内で論理的な分離を実現し、イントラネットの Puppet マシンからの攻撃を防ぐために使用されます。
ビジネス アーキテクチャを最適化し、パブリック クラウドの特性を利用して、柔軟なスケーリングと災害復旧スイッチングのためのシステムを設計します。
ビジネスアーキテクチャのパフォーマンスを科学的に評価する
ビジネス展開の初期段階または運用中に、技術チームはビジネス アーキテクチャのストレス テストを実施して、既存のアーキテクチャのビジネス スループット処理能力を評価し、DDoS 防御のための詳細な技術パラメータ ガイダンス情報を提供する必要があります。
復元力と冗長性を備えたアーキテクチャ
負荷分散またはリモート マルチセンター アーキテクチャを通じて、ビジネス全体に影響を与える単一障害点を回避します。 Alibaba Cloudを利用している場合、負荷分散サービスSLB(Server Load Balancer)を柔軟に利用することで、業務アクセスを複数サーバーで多点同時処理を実現し、ユーザーのアクセストラフィックを各サーバーに均等に分散し負荷を軽減できます。単一のサーバーでビジネス スループットの処理能力を向上させ、特定のトラフィック範囲内の接続層の DDoS 攻撃を効果的に軽減できます。
柔軟なスケーリングを導入する
Auto Scaling は、ユーザーのビジネス ニーズと戦略に応じて柔軟なコンピューティング リソースを自動的かつ経済的に調整する管理サービスです。柔軟なスケーリングを導入することで、システムはセッション層とアプリケーション層の攻撃を効果的に軽減し、攻撃された場合に自動的にサーバーを追加し、処理パフォーマンスを向上させ、ビジネスへの重大な影響を回避できます。
DNS解決を最適化する
インテリジェントな解決を通じて DNS 解決を最適化すると、DNS トラフィック攻撃のリスクを効果的に回避できます。同時に、複数の DNS サービス プロバイダーでビジネスをホストし、次の側面から DNS 解決の最適化を検討することをお勧めします。
未承諾の DNS 応答をブロックする
高速再送信パケットをドロップする
TTLを有効にする
不明なソースからの DNS クエリ要求および応答データを破棄します
未承諾またはバースト的な DNS リクエストをドロップします
DNSクライアント検証を開始する
応答情報のキャッシュ
ACL を使用するための権限
ACL、BCP38、および IP レピュテーション機能を活用する
マージン帯域幅を提供する
サーバーのパフォーマンス テストを通じて、通常のビジネス環境で許容できる帯域幅とリクエストの数を評価します。帯域幅を購入するときは、攻撃中に帯域幅が通常の使用量を超えて通常のユーザーに影響を与える状況を避けるために、一定量の予備の帯域幅があることを確認してください。
サーバーのセキュリティが強化され、接続数などサーバー自体のパフォーマンスが向上します。
サーバー上のオペレーティング システムとソフトウェア サービスのセキュリティを強化して、攻撃される可能性のあるポイントを減らし、攻撃者の攻撃コストを増加させます。
サーバーのシステム ファイルが最新バージョンであることを確認し、システム パッチを適時に更新してください。
すべてのサーバー ホストをチェックして、訪問者のソースを確認します。
不要なサービスとポートをフィルタリングします。たとえば、WWW サーバーの場合は、ポート 80 のみを開き、他のポートをすべて閉じるか、ファイアウォールにブロック ポリシーを設定します。
同時に開かれる SYN ハーフ接続の数を制限し、SYN ハーフ接続のタイムアウトを短縮し、SYN および ICMP トラフィックを制限します。
ネットワークデバイスやサーバーシステムのログを注意深く確認してください。脆弱性が発生したり、時刻が変化すると、サーバーが攻撃を受ける可能性があります。
ファイアウォールの外側でのネットワーク ファイル共有を制限します。ハッカーがシステム ファイルを傍受する可能性を減らします。ハッカーがシステム ファイルをトロイの木馬に置き換えると、ファイル転送機能が麻痺します。
ネットワーク機器を最大限に活用してネットワークリソースを保護します。ルータを構成するときは、フロー制御、パケット フィルタリング、半接続タイムアウト、ガベージ パケットの破棄、偽造ソースからのパケット破棄、SYN しきい値、ICMP および UDP ブロードキャストの無効化などのポリシー構成を考慮する必要があります。
iptable などのソフトウェア ファイアウォールを使用して、悪意のある IP アドレスからの新しい TCP 接続を制限し、悪意のある IP アドレスの接続と送信速度を制限します。
ビジネスの監視と緊急時の対応を実行します。
基本的な DDoS 保護の監視に注意を払う
ビジネスが DDoS 攻撃を受けた場合、基本的な DDoS はデフォルトで SMS および電子メール経由でアラーム情報を送信します。
クラウドモニタリング
クラウド監視サービスを使用すると、Alibaba Cloud リソースの監視インジケータまたはユーザー定義の監視インジケータを収集および取得し、サービスの可用性を検出し、インジケータのアラーム設定をサポートできます。
緊急対応計画を策定する
現在の技術的な業務体制と要員に基づいて、緊急時の技術計画を事前に作成し、必要に応じて事前に技術訓練を実施し、緊急時対応計画の合理性をテストします。
適切なビジネス セキュリティ ソリューションを選択してください。 Alibaba Cloud は、無料の基本的な DDoS 保護ソリューションと商用セキュリティ ソリューションの両方を提供します。
ウェブアプリケーションファイアウォール(WAF)
一般的な HTTP フラッド攻撃などの Web サイト アプリケーションの場合、WAF を使用すると、接続層攻撃、セッション層攻撃、アプリケーション層攻撃を効果的に防御できます。
DDoS ネイティブ保護
DDoS ネイティブ保護は、クラウド製品 IP に DDoS 攻撃に対する共有の完全な保護機能を提供し、すぐに有効になります。
高度な DDoS 保護
大量のトラフィックの DDoS 攻撃には、Alibaba Cloud DDoS Advanced Defense Service を使用することをお勧めします。
避けるべきこと
コンピューター ネットワークは、安定性を維持するために複数の関係者が協力する必要がある共有環境です。一部の動作は、ネットワーク全体および他のテナントのネットワークに影響を与える可能性があります。
クラウド上で DDoS 防御サービスを構築および提供するために、クラウド製品メカニズム (製品には OSS、DNS、ECS、SLB、EIP などが含まれますが、これらに限定されません) を使用または利用することは避けてください。
ブラックホール状態にあるインスタンスを解放しないでください。
ブラック ホール状態のサーバーに対して、SLB IP、Elastic Public IP、NAT ゲートウェイなどの IP 製品の継続的な交換、バンドル解除、追加を避けてください。
防御のために IP プールを構築することは避け、防御のために攻撃トラフィックが多数の IP に分散することを避けてください。
Alibaba Cloud の非ネットワーク セキュリティ防御製品 (CDN や OSS を含むがこれらに限定されない) を攻撃に対して脆弱なフロントエンド ビジネスに使用することは避けてください。
上記のルールを回避するために複数のアカウントを使用しないでください。
DDoS防御ソリューション
Alibaba Cloud が提供する DDoS 防御ソリューションには、無料の DDoS 基本防御と次の有料サービスが含まれます: DDoS ネイティブ防御、DDoS 高度な防御 (新しい BGP および国際) 次の表では、さまざまなソリューションの具体的な手順について説明します。
製品アーキテクチャ DDoS の基本的な保護 DDoS ネイティブ保護 DDoS 高度防御 (新しい BGP&インターナショナル) 標準タイプ 強化された ソリューションの紹介 Alibaba Cloud のネイティブ保護ネットワークに基づいて、ネットワーク層とトランスポート層での DDoS 攻撃に対抗するために、オリジン サーバーの IP アドレスは変更されません。 トラフィックは、DNS 解決を通じて Alibaba Cloud のグローバル DDoS クリーニング センターに送信され、ネットワーク層、トランスポート層、アプリケーション層で DDoS 攻撃に対抗し、保護されたオリジン サーバーを隠します。 保護能力 低い、Alibaba Cloud の防御能力に基づく、500 Mbps ~ 5 Gbps。 詳細については、「基本的な DDoS 保護ブラック ホールしきい値」を参照してください。 Alibaba Cloud の防御能力に基づいて、最大数百 Gbps に達する可能性があります。 詳細については、「ネイティブ DDoS 保護とは」を参照してください。 高、Alibaba Cloud のグローバル DDoS クリーニング センターの機能に基づくと、最大 Tbps 以上に達する可能性があります。 高、Alibaba Cloud のグローバル DDoS クリーニング センターの機能に基づくと、最大 Tbps 以上に達する可能性があります。 保護対象 一部の Alibaba Cloud 製品。 ECS、SLB、EIP (NAT ゲートウェイにバインドされた EIP を含む)、IPv6 ゲートウェイ、軽量サーバー、WAF、GA が含まれます。 一部の Alibaba Cloud 製品。 ECS、SLB、EIP (NAT ゲートウェイにバインドされた EIP を含む)、IPv6 ゲートウェイ、軽量サーバー、WAF、GA が含まれます。 一部の Alibaba Cloud 製品。現在、DDoS 保護強化 EIP のみがサポートされています。 任意のパブリック IP。 該当シーン 対応するクラウド製品を購入すると、デフォルトで有効になります。 多数の IP/ポート。 ビジネス帯域幅が大きいため、外部 IP を変更できません。たとえば、サービス帯域幅は 1 Gbps を超え、HTTP および HTTPS サービスの QPS は 5,000 を超えます。 大規模なトラフィック攻撃時にビジネスの継続性を確保するには、極めて低い遅延が必要です。 時折、DDoS 攻撃を受けることがあります。 多数の IP/ポート。 ビジネス帯域幅が大きいため、外部 IP を変更できません。たとえば、サービス帯域幅は 1 Gbps を超え、HTTP および HTTPS サービスの QPS は 5,000 を超えます。 大規模なトラフィック攻撃時にビジネスの継続性を確保するには、遅延を低減する必要があります。 資産には Tbps レベルの DDoS 保護機能が必要です。 時折、DDoS 攻撃を受けることがあります。 さらに攻撃を受け、激しい攻防が続いた。 洗練されたアプリケーション層の CC 攻撃を防御する必要があります。 ビジネスの外部 IP を変更する必要があります。 説明する 無料。 年間および月次購入モデルは、中小企業向けの包括的なバージョンとエンタープライズ バージョンに分かれています。詳細については、「Native Protection 2.0 の年間および月間サブスクリプション」を参照してください。 後払い購入モデルの詳細については、「Native Protection 2.0 後払い」を参照してください。 後払い購入モデルの詳細については、「Native Protection 2.0 後払い」を参照してください。 バージョン選択ガイド: アクセス元と発信元サイトの両方が中国本土にある場合は、DDoS Anti-DDoS Advanced (新 BGP) を使用してください。 アクセス元および発信元サイトが中国本土以外の場合は、Anti-DDoS Premium (International) の保険または安心版をご利用ください。 国境を越えたシナリオ (アクセス元が中国本土にあり、発信局が中国本土外にある) の場合は、DDoS Advanced Defense (International) の高速回線保険バージョン/安心バージョン、または安全な高速回線を使用してください。
防御に適した DDoS 攻撃の種類
攻撃タイプ 攻撃サブクラス DDoS ネイティブ保護 DDoS 高度防御 (新しい BGP&インターナショナル) 標準タイプ 強化された ネットワーク層 DDoS 攻撃 主に、Frag Flood、Smurf、Stream Flood、Land Flood、不正な IP メッセージ、TCP 不正なメッセージ、UDP 不正なメッセージなどが含まれます。 √ √ √ トランスポート層の DDoS 攻撃 主に Syn フラッド、Ack フラッド、UDP フラッド、ICMP フラッド、RstFlood/NTP/SSDP/DNS リフレクションなどが含まれます。 √ √ √ アプリケーション層 DDoS 攻撃 (HTTP/HTTPS) Web アプリケーション層 CC 攻撃とも呼ばれ、主に HTTP/HTTPS CC、HTTP スロー攻撃 (Loic/Hoic/Slowloris/Pyloris/Xoic)、および Web サイト、API インターフェイス、WebSocket およびその他のサービスなどの HTTP サービスをターゲットとするその他の CC 攻撃が含まれます。 。 × × √ アプリケーション層 DDoS 攻撃(HTTP/HTTPS 以外の TCP アプリケーション層プロトコル) 非 Web アプリケーション層 CC 攻撃とも呼ばれ、主に TCP CC、TCP null 接続、TCP 接続リソース消費攻撃、およびプライベート プロトコル、MySQL、MQTT、 RTMP およびその他のサービス。 × √ パブリック ベータ版では、現在杭州地域のみをサポートしています。申請するには、販売前のオンライン コンサルテーションを通じてビジネス マネージャーにお問い合わせください。 √ アプリケーション層 DDoS 攻撃 (UDP に基づくアプリケーション層プロトコル) UDP-CC、NS サービスの DNS-Floood およびその他の CC 攻撃は、NS サービス、UDP ゲーム サービス、UDP 音声通話などの UDP サービスを標的としています。 説明する UDP ビジネス CC 保護には Security Manager を追加購入する必要があります。それ以外の場合はサポートされません。 √ 非 NS サービスに対する DNS 攻撃のクリーニングをサポートします。 NS サービスを保護する必要がある場合は、DNS セキュリティを使用してください。 √ 非 NS サービスに対する DNS 攻撃のクリーニングをサポートします。 NS サービスを保護する必要がある場合は、DNS セキュリティを使用してください。 √ 非 NS サービスに対する DNS 攻撃のクリーニングをサポートします。 NS サービスを保護する必要がある場合は、DNS セキュリティを使用してください。
保護効果の説明
アクセス後の通常のビジネス トラフィックの場合、DDoS 保護ソリューションのインテリジェント AI 保護は通常のビジネス トラフィックの特性を学習する時間があり、ビジネスにアクセスした直後に DDoS 攻撃または CC 攻撃を受けた場合、瞬間的な攻撃が透過的に送信される可能性があります。最初の攻撃では、発信元サイトの負荷容量を可能な限り改善し、次の推奨事項に従って構成することをお勧めします。
DDoS ネイティブ保護
ビジネスが接続されると、保護プロセス中にデフォルトのルールが使用され、リアルタイムで変化する攻撃の特性に応じて保護機能が自動的に追加されます。同時に、インテリジェントな AI 保護ポリシーが発行されます。ポリシーが有効になる前に、瞬間的な攻撃が透過的に送信される可能性があります。保護効果を高めるために、シリアル保護、ポート保護、トリガー保護などのさまざまな保護戦略を事前にカスタマイズすることをお勧めします。
攻撃トラフィックがデフォルトのクリーニングしきい値を超えない場合、特に EIP が帯域幅パッケージにバインドされている場合、デフォルトのクリーニングしきい値が大きすぎる可能性があります。適切なクリーニングしきい値を調整することをお勧めします。通常のビジネストラフィックのサイズに応じて。
DDoS 高度防御 (新しい BGP&インターナショナル)
保護効果を向上させるために、適切なビジネス シナリオ ポリシー (カスタマイズされたシナリオ ポリシー) を構成するか、ビジネス特性に基づいて周波数保護ポリシーをカスタマイズする (CC セキュリティ保護を設定する) ことをお勧めします。