分散型サービス拒否 (DDoS) 攻撃は、ドメイン名の名前解決を遅延させたり、中断させたりする可能性があります。Alibaba Cloud DNS の [DDOS 攻撃に対する保護]機能は、お客様のドメイン名を保護し、名前解決サービスの可用性を確保します。
保護レベル
Alibaba Cloud DNS は 2 つの保護レベルを提供します。ビジネスニーズに応じていずれかを選択できます。
保護レベル | 緩和能力 | シナリオ |
[DNS Anti-DDoS Basic] | インスタンス内のすべてのドメイン名を DNS 攻撃から保護し、最大 1,000 万 QPS の緩和能力を提供します。 | 中程度の DNS 攻撃に直面するサービスに適しています。 |
[DNS Anti-DDoS Advanced] | インスタンス内のすべてのドメイン名を DNS 攻撃から保護します。これには、1 億 QPS を超える大規模な攻撃も含まれます。 | 金融、ゲーム、eコマースなど、高いビジネス継続性が求められるコアサービスや、大規模な攻撃の標的になりやすいサービスに適しています。 |
注意事項
この機能は、Alibaba Cloud DNS の有料版インスタンスでのみ利用可能です。ドメイン名が無料の名前解決プランをご利用の場合、この機能を有効にするには有料版にアップグレードする必要があります。
[DDOS 攻撃に対する保護]の有効化
Public Zone DNS Firewall に移動します。
デフォルトで DDOS 攻撃に対する保護 タブが選択されています。このタブには、[インターネットの権威ある DNS 解決] で管理されているドメイン名の一覧が表示されます。
ドメイン名の一覧には、[ドメイン名]、[保護ステータス]、[緩和能力]、[操作] の各列が含まれています。保護ステータスが「無効、セキュリティリスクあり」の場合、[操作] 列の [保護の有効化] をクリックします。
対象のドメイン名を見つけ、[操作] 列の セキュリティ保護を有効化する をクリックします。表示されるパネルで仕様を選択し、フォームに入力して購入を完了します。
シナリオ 1:ドメイン名が Public Zone の無料版を使用している場合
名前解決サービスを有料版にアップグレードしてから、DNS 保護レベルを選択する必要があります。
エディション選択パネルで、Public Zone の有料版を選択します。
[DNS セキュリティ] セクションで、DNS Anti-DDoS Basic または DNS Anti-DDoS Advanced を選択します。
注文情報を確認し、購入を完了します。
購入ページで、[インスタンスタイプ] を [権威ホストゾーン] に、[エディション] を [Personal Edition] に設定します。[DNS セキュリティ] セクションで [DNS Anti-DDoS Basic] (最大 1,000 万 QPS を緩和) を選択し、[ドメイン名の数] と [サブスクリプション期間] を設定します。

シナリオ 2:ドメイン名がすでに Public Zone の有料版を使用している場合
DNS 保護機能を直接購入して追加できます。注意:サブスクリプション期間は、Public Zone インスタンスの残りの期間と一致し、コストはそれに応じて日割り計算されます。エディション選択パネルの [DNS セキュリティ] セクションで、DNS Anti-DDoS Basic または DNS Anti-DDoS Advanced を選択します。
注文情報を確認し、購入を完了します。
DDOS 攻撃に対する保護 ページに戻ります。ドメイン名の セキュリティ保護ステータス が 有効化されました になります。
セキュリティダッシュボード
保護を有効にすると、セキュリティ保護ダッシュボード ページでドメイン名のセキュリティステータスを監視し、攻撃データと履歴を表示できます。
インターネットの権威あるファイアウォール をクリックし、対象のドメイン名を選択して、その名前解決ステータス、DNS 保護の統計 グラフ (過去 7 日間のデータ照会に対応)、DNS 保護の履歴 などの情報を表示します。
ドメイン名の名前解決ステータス:DNS が攻撃を受けている場合、ここにアラートが表示され、テキストメッセージまたはメールで通知が届きます。
[DNS 保護の統計]:DNS が攻撃を受けている場合、このセクションには異常なリクエストの QPS トレンドグラフが表示されます。
[DNS 保護の履歴]:このログには、各攻撃イベントの 時刻 (UTC+8)、保護結果、异常请求QPS が一覧表示されます。
課金
[DDOS 攻撃に対する保護]は、別途購入が必要な付加価値サービスです。料金の詳細については、「製品の課金」をご参照ください。
すでに有料の Public Zone インスタンスに関連付けられているドメイン名に保護機能を追加する場合、保護機能のサブスクリプション期間はインスタンスの残存期間と一致します。両方のサービスの有効期限が同時に切れるように、コストは日割り計算されます。
Public Zone の有料版の料金については、「製品の課金」をご参照ください。
保護ステータス
DNS クエリ攻撃中、DNS 保護ステータスは、トラフィックスクラビング開始、トラフィックスクラビング終了、ブラックホールフィルタリング開始、またはブラックホールフィルタリング終了のいずれかになります。
トラフィックスクラビング開始:DNS セキュリティシステムが、お客様のドメイン名が大量の異常なリクエストを伴う持続的な攻撃を受けていることを検出した場合、トラフィックスクラビングポリシーを有効にします。このポリシーは、異常なソースからの DNS クエリを破棄します。
トラフィックスクラビング終了:DNS セキュリティシステムが、お客様のドメイン名に対する異常なリクエストの減少を検出した場合、トラフィックスクラビングポリシーを無効にします。
ブラックホールフィルタリング開始:DNS セキュリティシステムが、現在のエディションの緩和能力を超える異常なリクエストを伴う持続的で大規模な攻撃を検出した場合、そのドメイン名の DNS 名前解決を無効にします。
ブラックホールフィルタリング終了:ブラックホールフィルタリング中に、DNS セキュリティシステムがお客様のドメイン名への異常なリクエストの量が緩和能力内に収まったことを検出すると、自動的に名前解決を再開します。この変更は、TTL の有効期限が切れた後に有効になります。