概要
ドメインネームシステム (DNS) は、インターネットのコアテクノロジーであり、Web サイトや電子メールなど、多くのネットワークサービスへのアクセスに重要です。インターネット上のアプリケーションを保護するには、DNS のセキュリティを確保する必要があります。
Alibaba Cloud DNS は、DDoS 攻撃からドメイン名を保護します。 分散型サービス拒否 (DDoS) 攻撃とは、ボットネットからの大量のリクエストによってネットワークのシステムリソースを枯渇させ、攻撃されたネットワークが通常のユーザーリクエストを処理できなくする攻撃です。フラッド攻撃は、DDoS 攻撃の主要な形態です。大量の DNS リクエストがネットワークに送信され、すべての帯域幅リソースが占有されます。その結果、通常の DNS リクエストを転送できなくなります。
Alibaba Cloud DNS は、DDoS 攻撃に対して以下のレベルの保護を提供します。
基本 DNS 攻撃防御: Alibaba Cloud DNS の有料インスタンスにバインドされているすべてのドメイン名で使用できます。1 秒あたり最大 1,000 万件の DDoS 攻撃からドメイン名を保護します。定期的な DDoS 攻撃を防ぐために、この保護レベルを選択できます。
高度な DNS 攻撃防御: Alibaba Cloud DNS の有料インスタンスにバインドされているすべてのドメイン名で使用できます。1 秒あたり 1 億件を超える DDoS 攻撃からドメイン名を保護します。サービスが深刻な DDoS 攻撃に頻繁にさらされている場合は、この保護レベルを選択できます。
手順
DNS 保護機能を有効にした後、手動で設定する必要はありません。次の手順を実行して、DNS 保護の詳細を表示します。
Alibaba Cloud DNS コンソール にログオンします。
[権威 DNS 解決] ページの [権威ドメイン名] タブで、目的のドメイン名をクリックします。[DNS 設定] タブが表示されます。
[DNS 設定] タブの横にある [DNS 保護] タブをクリックします。
[DNS 保護] タブで、DNS 解決ステータス、[DNS 保護統計]、および [DNS 保護履歴] を表示できます。[DNS 保護統計] では、過去 7 日間のデータを取得できます。
DNS 解決ステータス: DNS サーバーが攻撃を受けている場合、[DNS 保護] タブにアラートが表示され、ショートメッセージサービス (SMS) メッセージまたは電子メールで通知されます。
DNS 保護統計: DNS サーバーが攻撃を受けている場合、このセクションには、1 秒あたりの異常リクエストの傾向チャートが表示されます。
DNS 保護履歴: 保護時間、保護結果、1 秒あたりの異常リクエストなどのデータを含む履歴ログを表示できます。
保護ステータス
DDoS 攻撃が発生すると、Alibaba Cloud DNS は攻撃からドメイン名を保護し始めます。保護状態には、スクラビングの開始、スクラビングの停止、ブラックホールの有効化、ブラックホールの無効化が含まれます。
スクラビングの開始: DNS 保護機能が、ドメイン名に対する大量の異常な DNS リクエストが DNS サーバーに送信されていることを検出した場合、スクラビングポリシーを有効にします。このポリシーにより、DNS サーバーは異常なリクエストへの応答を停止します。
スクラビングの停止: DNS 保護機能が、ドメイン名に対する異常なリクエストが減少していることを検出した場合、スクラビングポリシーを無効にします。
ブラックホールの有効化: DNS 保護機能が、ドメイン名に対する大量の異常な DNS リクエストが DNS サーバーに継続的に送信されており、機能の防御能力を超えていることを検出した場合、ブラックホールフィルタリングポリシーを有効にします。ブラックホールフィルタリングポリシーにより、DNS サーバーはドメイン名に対するすべてのリクエストへの応答を停止します。
ブラックホールの無効化: ブラックホールフィルタリングポリシーが有効になった後、DNS 保護機能が、ドメイン名に対する異常なリクエストの数が防御能力の範囲内に減少したことを検出した場合、ブラックホールフィルタリングポリシーを無効にします。これにより、DNS サーバーは DNS リクエストに再び応答できるようになります。ただし、DNS サーバーは、生存時間 (TTL) が期限切れになった後にのみ、ドメイン名の解決を開始します。