お使いのドメイン名が攻撃された場合、またはデータ送信に悪用された場合、帯域幅の過剰消費またはトラフィックの急増が発生します。 この場合、想定よりも高額の請求書を受け取ることになります。 悪意のある攻撃やデータ送信の悪用によって発生した高額の請求は、免除または返金されません。 このトピックでは、高額請求を防ぐ方法について説明します。
潜在的なリスク:攻撃または攻撃に類似した行為によって発生する高額請求
攻撃が発生した場合、帯域幅リソースとデータ転送に対して課金されます。
ドメイン名がデータ送信に悪用された場合、攻撃と同様の方法で帯域幅の過剰消費またはトラフィックの急増が発生します。 この場合、帯域幅リソースとデータ転送に対して課金されます。
見込まれる結果:想定よりも高額の請求
ドメイン名が攻撃を受けたり、データ送信に悪用されたりした場合、請求額が想定よりも高額になり、アカウントの残高が使い尽くされる可能性があります。
Alibaba Cloud CDN は、使用したリソースに基づいて課金されます。 場合によっては、課金サイクル (時間単位、日単位、月単位) や課金の遅延などの理由でアカウントの残高が 0 に低下した場合、サービスが停止されないことがあります。 Alibaba Cloud CDN の請求書は、各課金サイクルの終了後、3 ~ 4 時間後に生成されます。 そのため、料金の滞納が発生したり、1 件の請求書での支払金額が当座貸越限度額を超える可能性があります。
Alibaba Cloud ではサービス停止保護を提供しています。 サービス停止保護を有効化した場合、猶予期間が終了するまでサービスは停止されません。 猶予期間または当座貸越限度額は、アカウントの階層と購入履歴に基づいて決定されます。 当座貸越限度額は毎月リセットされます。
解決策
デフォルトでは、Alibaba Cloud CDN ではアクセス制御またはセキュリティ保護機能は提供されません。 Alibaba Cloud CDN では、帯域幅使用量の急増を検出します。 異常なトラフィックが検出された場合、Alibaba Cloud は、トラフィックを抑制するか、サンドボックスにドメイン名を追加するか、または通常のサービストラフィックと異常なトラフィック全体に基づいて他の対策を講じるかどうかを評価します。 詳細については、「制限事項」「」をご参照ください。 これにより、他のユーザーに対するサービスの安定性が確保されます。 Alibaba Cloud は、このような状況で発生する可用性の問題について責任を負いません。
システムを正常に実行し、予期せぬ高額請求を防止するために、セキュリティ機能を有効化するか、またはアクセス制御を実行することを推奨します。
アクセス制御の有効化
トラフィックの急増が発生した場合は、リアルタイムログを分析して原因を特定することを推奨します。 詳細については、「リアルタイムログ配信」「」をご参照ください。 次に、特定の原因に基づいてコンソールでドメイン名に対するアクセス制御機能を有効化して、不要なトラフィックと帯域幅の消費を回避します。
機能 | 説明 |
Referer に基づくホットリンク保護 | お客様の Web サイトシステムに関連するドメイン名など、特定ドメイン名からのリクエストのみを許可するようにリファラーホワイトリストを設定できます。 この方法により、訪問者を特定してフィルタリングし、Web サイトリソースの不正使用を防止できます。 詳細については、「リファラーホワイトリストまたはブラックリストを設定してホットリンク保護を有効化する」「」をご参照ください。 |
URL 署名 | URL 署名機能を使用すると、POP (Point of presence) と配信元サーバーを連携して、オリジンリソースを不正使用から保護できます。 この方法は安全性と信頼性が高くなっています。詳細については、「URL 署名の設定」「」をご参照ください。 |
リモート認証 | リモート認証機能を有効化すると、POP はユーザーリクエストを特定の認証サーバーにリダイレクトします。 認証サーバーは、権限のないユーザーによるアクセスからリソースを保護するためにユーザーからのリクエストを検証します。詳細については、「リモート認証の設定」をご参照ください。 |
IP アドレスのブラックリストまたはホワイトリスト | 悪意のある攻撃やトラフィックの急増が発生した後は、リアルタイムログ分析機能を使用して、IP アドレスがドメイン名に頻繁にアクセスしているかどうかを確認できます。 悪意のある IP アドレスが特定された場合、ブラックリストまたはホワイトリストを設定して IP アドレスをブロックできます。 詳細については、「IP アドレスブラックリストまたはホワイトリストの設定」「」をご参照ください。 |
User-Agent ブラックリストまたはホワイトリスト | 悪意のある攻撃やトラフィックの急増が発生した後、リアルタイムログ分析機能を使用して、悪意のあるリクエストの User-Agent ヘッダーが特定の値であるかどうかを確認できます。 悪意のあるリクエストの User-Agent ヘッダーが特定の値である場合、User-Agent ブラックリストまたはホワイトリストを設定して、特定の値を持つ User-Agent ヘッダーを含むリクエストをブロックできます。 詳細については、「User-Agent ブラックリストまたはホワイトリストの設定」「」をご参照ください。 |
トラフィックの管理
CloudMonitor を使用して、サービスまたはドメイン名ごとに帯域幅アラートルールを設定し、トラフィックと帯域幅の使用状況をモニタリングし、アラートを送信することを推奨します。 詳細については、「アラートルールの設定」をご参照ください。 予期せぬ帯域幅の突発的な急増が発生した場合は、ドメイン名に対して、個々のリクエストの帯域幅スロットリングやトラフィックスロットリングなどのポリシーを設定することもできます。
機能 | 説明 |
帯域幅上限 | ドメイン名で消費可能な帯域幅リソースの量を制限する場合は、ドメイン名に対して帯域幅上限を指定できます。 ドメイン名の帯域幅が指定された帯域幅上限に達すると、Alibaba Cloud CDN はドメイン名のアクセラレーションを無効化し、ドメイン名は無効なアドレスに解決されます。 この方法により、想定外の高額請求を防止できます。 詳細については、「帯域幅上限の設定」をご参照ください。 |
個別のリクエストに対するトラフィックスロットリング | 個別のリクエストに対するトラフィックスロットリングを使用すると、POP に送信されるすべてのリクエストのダウンストリーム速度を制限できます。 個別のリクエストに対するトラフィックスロットリングは、ゲームリリースなどの Web サイト運用で使用できます。 この方法により、高速化ドメイン名の全体的なピーク帯域幅を制限できます。 詳細については、「個別のリクエストに対するトラフィックスロットリングの設定」をご参照ください。 |
帯域幅調整 | ドメイン名の 1 日あたりのピーク帯域幅が 10 Gbit/s を超える場合で、ドメイン名に対する Alibaba Cloud CDN 帯域幅を制限する場合は、チケットを起票してください。 重要
|
リアルタイムモニタリング | ドメイン名のピーク帯域幅をリアルタイムでモニタリングする必要がある場合、CloudMonitor を使用できます。 ドメイン名の帯域幅が指定されたしきい値に達すると、テキストメッセージ、電子メール、または DingTalk メッセージで潜在的なリスクが通知されます。 詳細については、CloudMonitor のプロダクトページをご参照ください。 |
料金の管理とアラート | 以下の機能を使用して、料金を監視および制限できます。 この機能を設定するには、コンソール上部のナビゲーションバーの [料金] にポインターを移動し、[料金とコスト] を選択します。
説明 統計の整合性と請求書の正確性を確保するため、Alibaba Cloud CDN は課金サイクル終了後、約 3 時間で請求書を発行します。 関連する料金がアカウントの残高から差し引かれる時点は、課金サイクル内でリソースが消費される時点よりも後である場合があります。 Alibaba Cloud CDN は分散型サービスです。 そのため、Alibaba Cloud ではリソースの消費の詳細を請求書に記載していません。 他の CDN プロバイダーでも同様のアプローチが採用されています。 |
関連ドキュメント
セキュリティ保護の問題と解決策の詳細については、「よくある質問」をご参照ください。