ドメイン名攻撃とデータ転送悪用の影響と解決策 - CDN

ドメイン名が攻撃されたり、データ転送が悪用されたりすると、帯域幅消費量が高くなったり、トラフィックが急増したりします。この場合、予想よりも高い請求書を受け取ることになります。悪意のある攻撃やデータ転送の悪用によって発生した高額な請求は、放棄または払い戻しすることはできません。このトピックでは、高額な請求を回避する方法について説明します。

潜在的なリスク: 攻撃または攻撃に類似したアクティビティによって発生する高額な請求

攻撃が発生した場合、帯域幅リソースとデータ転送に対して課金されます。
ドメイン名がデータ転送のために悪用された場合、攻撃と同様に、帯域幅消費量が高くなったり、トラフィックが急増したりします。このような場合、帯域幅リソースとデータ転送に対して課金されます。

潜在的な結果: 予想よりも高い請求

ドメイン名が攻撃を受けたり、データ転送のために悪用されたりすると、請求額が予想よりも高くなり、アカウントの残高が不足する可能性があります。

Alibaba Cloud CDN は、使用したリソースに基づいて課金されます。請求サイクル（時間ごと、日ごと、または月ごと）や請求の遅延などの理由により、アカウントの残高が 0 になってもサービスが一時停止されない場合があります。Alibaba Cloud CDN の請求書は、各請求サイクルの終了後 3 ～ 4 時間後に生成されます。そのため、支払い遅延が発生したり、1 回の請求額が過剰引出し限度額を超えたりする可能性があります。

Alibaba Cloud はサービス停止保護を提供しています。サービス停止保護を有効にすると、サービス停止保護期間が終了するまでサービスは一時停止されません。サービス停止保護期間または過剰引出し限度額は、アカウント層と購入履歴に基づいて決定されます。過剰引出し限度額は毎月リセットされます。

解決策

デフォルトでは、Alibaba Cloud CDN はアクセス制御またはセキュリティ保護機能を提供していません。Alibaba Cloud CDN は帯域幅使用量の急増を検出します。異常トラフィックが検出された場合、Alibaba Cloud は、通常のサービストラフィックと全体的な異常トラフィックに基づいて、トラフィックを調整するか、ドメイン名をサンドボックスに追加するか、その他の対策を講じるかを評価します。詳細については、「制限」をご参照ください。これにより、他のユーザーのサービスの安定性が確保されます。Alibaba Cloud は、このような状況で発生した可用性の問題については責任を負いません。
システムが想定どおりに動作し、予期しない高額な請求を回避するために、セキュリティ機能を有効にするか、アクセス制御を実行することをお勧めします。

アクセス制御を有効にする

トラフィックが急増した場合、リアルタイムログを分析して原因を特定することをお勧めします。詳細については、「リアルタイムログ配信」をご参照ください。次に、コンソールで特定の原因に基づいてドメイン名のアクセス制御機能を有効にして、不要なトラフィックと帯域幅の消費を回避します。

機能	説明
リファラーブラックリストまたはホワイトリスト	リファラーホワイトリストとブラックリストを使用すると、Referer ヘッダーを検証することでアクセス制御を有効にできます。ホワイトリストに一致するリクエストは許可されますが、ブラックリストに一致するリクエストはブロックされます。これにより、リソースへの不正アクセスを防ぎます。必要に応じて、リファラーブラックリストまたはホワイトリストを設定できます。
URL 署名	URL 署名機能を使用すると、配信拠点（POP）がオリジンサーバーと連携して、オリジンリソースを不正使用から保護できます。この方法はより安全で信頼性があります。必要に応じて、URL 署名を設定できます。
リモート認証	リモート認証機能を有効にすると、POP はユーザーリクエストを特定の認証サーバーにリダイレクトします。認証サーバーはユーザーリクエストを検証して、権限のないユーザーがリソースにアクセスするのを防ぎます。必要に応じて、リモート認証を設定できます。
IP アドレスブラックリストまたはホワイトリスト	悪意のある攻撃またはトラフィックの急増が発生した後、リアルタイムログ分析機能を使用して、IP アドレスがドメイン名に頻繁にアクセスしているかどうかを確認できます。悪意のある IP アドレスが特定された場合は、ブラックリストまたはホワイトリストを設定して、その IP アドレスをブロックできます。詳細については、「IP アドレスブラックリストまたはホワイトリストの設定」をご参照ください。
User-Agent ブラックリストまたはホワイトリスト	悪意のある攻撃またはトラフィックの急増が発生した後、リアルタイムログ分析機能を使用して、悪意のあるリクエストの User-Agent ヘッダーが特定の値かどうかを確認できます。悪意のあるリクエストの User-Agent ヘッダーが特定の値である場合は、User-Agent ブラックリストまたはホワイトリストを設定して、User-Agent ヘッダーに特定の値が含まれるリクエストをブロックできます。詳細については、「User-Agent ブラックリストまたはホワイトリストの設定」をご参照ください。

トラフィックを管理する

CloudMonitor を使用して、サービスまたはドメイン名ごとに帯域幅アラートルールを設定し、トラフィックと帯域幅の使用状況を監視し、アラートを送信することをお勧めします。詳細については、「アラートルールの設定」をご参照ください。予期しない帯域幅の急増が発生した場合、ドメイン名に対して、帯域幅調整や個々のリクエストのトラフィック調整などのポリシーを設定することもできます。

機能	説明
帯域幅上限	ドメイン名が消費できる帯域幅リソースの量を制限する場合、ドメイン名に [帯域幅上限] を指定できます。ドメイン名の帯域幅が指定された帯域幅上限に達すると、Alibaba Cloud CDN はドメイン名の高速化を無効にし、ドメイン名は無効なアドレスに解決されます。これは、予期しない高額な請求を回避します。詳細については、「帯域幅上限を設定する」をご参照ください。
個々のリクエストのトラフィック調整	個々のリクエストのトラフィック調整を使用すると、POP に送信されるすべてのリクエストのダウンストリーム速度を制限できます。個々のリクエストのトラフィック調整は、ゲームのリリースなどの Web サイト運用で使用できます。このようにして、高速化ドメイン名の全体的なピーク帯域幅を制限できます。詳細については、「個々のリクエストのトラフィック調整の設定」をご参照ください。
帯域幅調整	ドメイン名の日次ピーク帯域幅が 10 Gbit/s を超えており、ドメイン名の Alibaba Cloud CDN 帯域幅を調整する場合は、チケットを送信してください。重要帯域幅調整は、ドメイン名によってホストされているすべてのサービスの全体的な帯域幅に適用されます。帯域幅調整の精度を確保するために、帯域幅制限は 10 Gbit/s 以上にする必要があります。 10 Gbit/s などの帯域幅制限に達すると、Alibaba Cloud CDN は高速化ドメイン名の帯域幅を制限します。すべてのリクエストへの応答が遅くなり、パケット損失が発生する可能性もあります。帯域幅調整は、高速化ドメイン名のリアルタイム監視データによってトリガーされます。データには約 10 分の遅延があるため、帯域幅調整は帯域幅制限に達してから約 10 分後に開始されます。この場合、高速化ドメイン名の帯域幅が制限を超える可能性があります。
リアルタイム監視	ドメイン名のピーク帯域幅をリアルタイムで監視する場合は、[CloudMonitor] を使用できます。ドメイン名の帯域幅が指定されたしきい値に達すると、ショートメッセージ、メール、または DingTalk メッセージによって潜在的なリスクが通知されます。詳細については、CloudMonitor の製品ページをご覧ください。
支出管理とアラート	次の機能を使用して、支出を監視および制限できます。これらの機能を設定するには、[コンソール] の上部ナビゲーションバーで [費用] にポインターを移動し、[費用とコスト] を選択します。高額請求アラート: この機能を有効にすると、日次請求額が指定したアラートしきい値を超えた場合に、システムからショートメッセージでアラートが送信されます。サービス停止保護: この機能を無効にすると、高額な支払い遅延を防ぐために、支払いが遅延した直後にサービスの実行が停止します。高額請求アラート: この機能を有効にすると、日次請求額が指定した金額に達した場合に、ショートメッセージで通知が送信されます。説明統計の整合性と請求の精度を確保するために、Alibaba Cloud CDN は請求サイクルの終了後約 3 時間後に請求書を発行します。アカウント残高から関連費用が差し引かれる時点は、請求サイクル内でリソースが消費された時点よりも後になる場合があります。Alibaba Cloud CDN は分散サービスです。そのため、Alibaba Cloud は請求書に Alibaba Cloud CDN リソースの消費明細を提供していません。他の CDN プロバイダーも同様のアプローチを使用しています。

セキュリティ

アクセス制御とトラフィック管理機能以外にも必要な場合は、エッジセキュリティアクセラレーション（ESA）をお試しください。ESA は、ネイティブ DDoS 対策と Web アプリケーションファイアウォールを備えた高度なセキュリティ機能を提供します。Alibaba Cloud の機械学習アルゴリズムを使用して各リクエストの脅威を分析し、ビジネスセキュリティを確保します。

攻撃タイプ

背景情報

ESA 機能

DDoS 攻撃

HTTP/HTTPS DDoS 攻撃（Challenge Collapsar（CC）攻撃と呼ばれることが多い）は、Web アプリケーション層を標的とします。

この攻撃は、検索エンジンや Web クローラーと同様に、正当なユーザーリクエストを模倣するため、通常の活動と区別するのが困難です。

Web サービスでは、ページングやパーティション分割など、多くのリソースを使用するトランザクションやページが、特に高い同時実行性時に、大きなパラメーターによって過剰なページ反転が発生した場合に、CC 攻撃の標的になる可能性があります。

CC 攻撃は、チケット取得ボットなどの頻繁なユーザーのような操作を伴うさまざまなアプローチを組み合わせることがあります。これらの攻撃はサービス拒否を引き起こし、Web の応答時間、データベースサービス、ディスク I/O などのパフォーマンスに影響を与えます。

ESA は、DDoS 対策をデフォルトで提供し、お客様の Web サイトを大量の DDoS 攻撃と HTTP フラッド攻撃から保護します。プランに応じて、ESA は、お客様のニーズに合わせて調整可能なさまざまな保護機能を備えた DDoS 対策サービスを提供します。ESA は、ダウンタイムを最小限に抑え、Web サイトの運用をできるだけ早く再開できるようにすることを目指しています。

トラフィック窃盗

トラフィック窃盗は、Web トラフィックを操作および窃取することを伴う脅威です。これらの攻撃は、単一の IP アドレスからのリクエスト頻度を制御し、リダイレクトを検証し、人間のアクティビティとマシンのアクティビティを区別することで軽減できます。多数の低速リクエストを伴う攻撃に対処するために、セキュリティシステムは応答コードと URL リクエストパターンを分析し、Referer ヘッダーと User-Agent ヘッダーの異常を識別します。

ESA は WAF と統合されており、Web サーバーを侵入から保護し、重要なビジネスデータを保護し、攻撃によるサーバーの異常を防止します。
ESA ボット管理は、すべてのプランで [スマートモード] を、Enterprise プランでは [プロフェッショナルモード] を提供します。スマートモードでは、Web サイトのクローラー管理を設定できます。プロフェッショナルモードでは、より詳細なクローラールールを設定できます。
ESA セキュリティ分析は、お客様に視覚化された HTTP(S) リクエストトラフィックの分析をWAF およびボット管理を介して提供し、問題の特定とセキュリティルールのカスタマイズを支援します。

参考資料

セキュリティ保護の問題とソリューションの詳細については、「よくある質問」をご参照ください。