概要
ドメインネームシステム (DNS) はインターネット上の中核技術であり、ウェブサイトや電子メールなどの多くのネットワークサービスにアクセスするために重要です。 インターネット上のアプリケーションを保護するために、DNSのセキュリティを確保する必要があります。
Alibaba Cloud DNSは、ドメイン名をDDoS攻撃から保護します。 DDoS攻撃は、攻撃されたネットワークが通常のユーザー要求を処理できないように、ネットワークのシステムリソースを使い果たすためのボットネットからの大量の要求です。 洪水攻撃は、DDoS攻撃の主要な形態です。 膨大な数のDNS要求がネットワークに送信され、すべての帯域幅リソースを占有します。 その結果、通常のDNSリクエストは転送できません。
Alibaba Cloud DNSは、DDoS攻撃に対する以下のレベルの保護を提供します。
基本的なDNS攻撃防御: Alibaba Cloud DNSの有料インスタンスにバインドされているすべてのドメイン名で使用できます。 1秒あたり最大10万件のDDoS攻撃からドメイン名を保護します。 このレベルの保護を選択すると、通常のDDoS攻撃から防御できます。
高度なDNS攻撃防御: Alibaba Cloud DNSの有料インスタンスにバインドされているすべてのドメイン名で使用できます。 1秒あたり100万件を超えるDDoS攻撃からドメイン名を保護します。 サービスが頻繁に深刻なDDoS攻撃を受ける場合は、このレベルの保護を選択できます。
手順
DNS保護機能を有効にした後は、手動で設定する必要はありません。 DNS保護の詳細を表示するには、次の手順を実行します。
Alibaba Cloud DNS コンソールにログオンします。
[ドメイン名の解決] ページの [権限のあるドメイン名] タブで、目的のドメイン名をクリックします。 [DNS設定] タブが表示されます。
[DNS設定] タブの横にある [DNS保護] タブをクリックします。
[DNS保護] タブで、DNS解決ステータス、DNS保護統計チャート、およびDNS保護履歴を表示できます。 DNS保護統計チャートでは、過去7日間のデータを取得できます。
DNS解決ステータス: DNSサーバーが攻撃を受けている場合、[DNS保護] タブでアラートを表示でき、ショートメッセージサービス (SMS) メッセージまたは電子メールで通知されます。
DNS保護統計: DNSサーバーが攻撃を受けている場合、このセクションには1秒あたりの異常なリクエストのトレンドチャートが表示されます。
DNS保護履歴: 保護時間、保護結果、1秒あたりの異常なリクエストなどのデータを含む履歴ログを表示できます。
保護ステータス
DDoS攻撃が発生すると、Alibaba Cloud DNSはドメイン名を攻撃から保護し始めます。 保護状態には、スクラビング開始、スクラビング停止、ブラックホール有効、ブラックホール無効が含まれます。
スクラブの開始: DNS保護機能により、ドメイン名に対する異常なDNSリクエストがDNSサーバーに送信されたことが検出された場合、スクラビングポリシーが有効になります。 このポリシーは、DNSサーバーが異常なリクエストに応答するのを停止します。
スクラブの停止: DNS保護機能により、ドメイン名に対する異常なリクエストが減少していることが検出された場合、スクラビングポリシーが無効になります。
ブラックホールが有効: DNS保護機能により、ドメイン名に対する膨大な数の異常なDNSリクエストがDNSサーバーに継続的に送信され、機能の防御機能を超えることが検出された場合、この機能はブラックホールフィルタリングポリシーを有効にします。 ブラックホールフィルタリングポリシーは、DNSサーバーがドメイン名のすべての要求に応答するのを停止します。
ブラックホール無効: ブラックホールフィルタリングポリシーを有効にした後、DNS保護機能が、ドメイン名に対する異常なリクエストの数が防御機能の範囲内に減少したことを検出した場合、ブラックホールフィルタリングポリシーを無効にします。 これにより、DNSサーバはDNS要求に再び応答することができる。 ただし、DNSサーバーは、有効期限 (TTL) が切れた後にのみドメイン名の解決を開始します。