構図: 低い極北の光の下に綴じられたヴェラム紙のフォリオ、最上層にシアンの印章が捺されている ── NordBastion のプライバシー語彙集の視覚的記録
用語集エントリー・ネットワーク · 2026年更新

DDoS 緩和。

ボリュメトリック攻撃が VPS に到達するのを防ぐエッジ防御。常時オン。込み。決してアップセルではありません。

定義

分散サービス拒否攻撃が標的サーバーの帯域やコンピュートを飽和させるのを防ぐ技術的措置のセット ── エッジレート制限、スクラビングセンター、anycast 迂回、行動トラフィック分類。NordBastion では緩和は 4 つのバスティオンすべてのエッジで常時オンであり、すべてのティアに含まれており、オプトインもオプトアウトもありません。

NordBastion で重要な理由

緩和は最低基準であり、プレミアムティアではありません。

課金可能な DDoS 保護の構造的問題は、攻撃者が顧客の価格を設定できるようにすることです。吸収されたフラッド 1 Gbps があなたにお金がかかるなら、あなたの IP に数百 Gbps を投げられる攻撃者は、何も侵害することなく、経済性だけでプラットフォームからあなたを追い出せます。NordBastion はこれをプラットフォームレベルのコストとして扱い、カタログ全体で償却します: すべての VPS とすべての専用ティアが同じ常時オンのボリュメトリックおよび L7 緩和を備え、吸収された攻撃トラフィックは決して請求されません。

機械的には、4 つのバスティオンはそれぞれ 1.6〜2.4 Tbps の集計入力でピアリングし、キャリアハンドオフ近くで常時オンのスクラビングを実施します。ボリュメトリックフラッド(UDP 増幅、SYN フラッド、断片化 IP)はエッジルーターでドロップされ、レイヤー 7 ストーム(slow-POST、回転ユーザーエージェントによる HTTP GET フラッド)はティアに到達する前に行動的に分類されます。コントロールプレーンは 4 サイトにわたって anycast で、1 バスティオンを脅かすほど大きい攻撃は自動的に他のサイトに分散されます。

緩和がしないこと: アプリケーションペイロードを検査せず、TLS を終端せず、サービスに誰がログインしているか見ません。これは、アプリケーションが実際に到達したリクエストに集中できるようにするネットワーク層の最低基準です。ワークロードがアプリケーション層のフィルタリング(SQL インジェクションガード、不正使用ボットのスコアリング)を必要とするなら、上に WAF を実行してください ── ただし両者を混同しないでください。

関連用語
このサイトのどこに現れるか

NordBastion 全体で緩和を追跡。

  • · /network/ — バスティオンごとのピアリングマップ、スクラビングトポロジー、anycast プレーン図。
  • · /vps/ — すべての VPS ティア(Sentinel から Bastille)はデフォルトで常時オン緩和を提供。
  • · /dedicated/ — ベアメタルティアはより高いアップリンク速度で同じエッジ保護を継承。
  • · /status/ — ライブなバスティオンごとのアップリンク飽和と緩和されたインシデントの公開履歴。
  • · /peering/ — 各サイトでボリュメトリック上限を決定する IX プレゼンスとトランジットミックス。
  • · / — ホームページは機能ストリップで常時オン緩和保証を示しています。
よくある質問・DDoS 緩和

緩和に関する質問、回答済み。

エッジはどのサイズの攻撃を扱うのか?

各バスティオンは、常時オンのボリュメトリックスクラビングで 1.6〜2.4 Tbps の集計入力容量でピアリングしており、これは実世界の攻撃の圧倒的大多数を吸収します ── 公開された 2025 年第 4 四半期のテレメトリでは、インターネット DDoS イベントの 99.4 % が 100 Gbps 未満でした。レイヤー 7 のフラッド(HTTP GET/POST ストーム)は行動的に分類され、VPS に到達する前にドロップされます。バスティオンごとのハード上限はピアリング合計です。真に国家規模の攻撃(マルチ Tbps)は、4 バスティオンの anycast プレーン全体に分散されます。

DDoS 保護に追加料金はあるのか?

ありません ── そしてこれは意図的です。他のホストは DDoS 保護を Gbps あたりのアドオンや別個のエンタープライズティアとして価格設定します。それは事実上、小さな標的が攻撃されることで課金されることを意味します。NordBastion はすべての Sentinel(月額 $5.90)から Bastille(月額 $23.90)の VPS ティア、およびすべての専用ティアに常時オン緩和を含めており、吸収された攻撃トラフィックに使用量ベースの請求はありません。緩和コストはインシデントごとに請求されるのではなく、プラットフォーム全体で償却されるため、経済学が機能します。

Cloudflare スタイルの WAF とどう違うのか?

WAF(Web Application Firewall)は OSI レイヤー 7 で動作します ── HTTP リクエストをアプリケーション層の攻撃シグネチャ(SQL インジェクション、XSS、不正使用ボットパターン)について検査し、それ自体が TLS を終端するリバースプロキシです。NordBastion の DDoS 緩和はレイヤー 3〜4 で動作します ── 不正な形式のパケット、増幅反射、ボリュメトリックフラッドを、帯域を消費する前にネットワークエッジで除去し、TLS を終端せず、アプリケーションペイロードを見ません。両者は補完的で、アプリが必要とするなら WAF を上に実行してください。

ワークロード自体がスパイクを引き起こしている場合はどうか?

正当なバイラルトラフィックイベント ── ローンチ、プレスヒット、Hacker News のトップページ ── は、攻撃形ではなくレート制限形で、行動分類器はそれを通過させます。正当なトラフィックでティアのアップリンクを飽和させる場合、アップグレード経路はパネルワンクリックで、より大きな VPS や太いアップリンクの専用ティアへ。サポートチケット不要。アウトバウンドの不正使用(サーバーが攻撃トラフィックの送信元、例: SSH ブルートフォーサーやオープンメールリレー)は別途処理されます ── ホストする / しないものについては /doctrine/ を参照してください。