概述
DNS是互連網的重要基礎,例如Web訪問、Email服務在內的眾多網路服務都和DNS息息相關,DNS的安全則直接關係到整個互連網應用能否正常使用。
Alibaba Cloud DNS安全針對DNS的DDoS攻擊提供防護能力,DDoS (Distributed Denial of service)攻擊通過殭屍網路利用各種服務要求耗盡被攻擊網路的系統資源,造成被攻擊網路無法處理合法使用者的請求。主要表現為Flood攻擊:通過發送海量DNS查詢報文導致網路頻寬耗盡而無法傳送正常DNS 查詢請求。
Alibaba Cloud DNS安全提供的防禦等級包含如下
DNS攻擊基礎防禦:針對付費版本執行個體綁定的所有網域名稱,提供基礎DNS攻擊保護能力,基礎DNS攻擊防禦上限不超過每秒1000萬次,適用於一般情況下的DNS攻擊預防保障。
DNS攻擊全力防禦:針對付費版本執行個體綁定的所有網域名稱,提供全面的DNS攻擊保護能力,能承受每秒過億次的DNS查詢攻擊,適用於頻繁受到嚴重DNS攻擊時情境。
設定方法
DNS防護購買後不需要單獨做配置,以下為DNS防護資料的查看方法。
在 網域名稱解析 頁面,權威網域名稱 頁簽下,單擊目標網域名稱,進入解析設定頁面。
在 解析設定 頁面,上方導覽列單擊 DNS安全,進入DNS安全頁面。
在 DNS安全 頁面,您可以查看網域名稱解析狀態、DNS防護資料統計圖(支援查詢歷史7天內的DNS防護資料)、DNS防護記錄 等資訊。
網域名稱解析狀態:如果DNS受到攻擊,會在此展示警示資訊,同時傳送簡訊/郵件通知。
DNS防護資料統計圖:如果DNS受到攻擊,此模組會展示異常請求QPS統計資料趨勢圖。
DNS防護記錄:歷史日誌模組,可查看到防護時間、防護結果、異常請求QPS。
防護狀態說明
在發生DNS查詢攻擊時,DNS防護狀態包含:清洗開始、清洗結束、黑洞開始、黑洞結束。
清洗開始:如果DNS安全系統檢測到使用者網域名稱持續遭受到大量異常請求,則會啟用清洗策略,清洗策略是指對異常請求不做DNS查詢響應。
清洗結束:如果DNS安全系統檢測到使用者網域名稱遭受的異常請求正在減少,則會停止清洗策略。
黑洞開始:如果DNS安全系統檢測到使用者網域名稱持續遭受到大量異常請求,且超過網域名稱目前的版本提供的安全防禦上限,則會對該網域名稱停止解析服務。
黑洞結束:網域名稱解析在黑洞策略期間,如果DNS安全系統檢測到使用者網域名稱遭受的異常請求恢複到安全防禦上限內,則會自動回復解析,恢複後需要等待TTL解析生效時間。