お使いのドメイン名が攻撃された場合、またはデータ送信に悪用された場合、帯域幅の過剰消費またはトラフィックの急増が発生します。 この場合、想定よりも高額の請求書を受け取ることになります。 悪意のある攻撃やデータ送信の悪用によって発生した高額の請求は、免除または返金されません。 このトピックでは、高額請求を防ぐ方法について説明します。
シナリオ
Dynamic Content Delivery Network (DCDN) では、コンテンツ配信が高速化され、DCDN の POP (Points of presence) の安定性を確保するための基本的な保護機能が提供されます。 追加のセキュリティ対策が実装されていない場合、DCDN はすべての攻撃を特定すること、または Web サイトが攻撃を受けた場合にサービスの安定性を確保することができません。
以下のシナリオでは、高額の請求書が生成される場合があります。
シナリオ 1:お使いのドメインが攻撃を受けている場合
お使いのドメインが攻撃された場合、攻撃から防御するために消費された帯域幅リソースに対して課金されます。
シナリオ 2:Web サイトがデータ送信に悪用されている場合
Web サイトがデータ送信に悪用されると、帯域幅使用量が急増することがあります。 これは、シナリオ 1 の場合と同様です。 消費された帯域幅リソースに対して課金されます。
潜在的なリスク:攻撃または攻撃に類似したアクティビティによって発生する高額請求
攻撃が発生した場合、帯域幅リソースとデータ転送に対して課金されます。
ドメイン名がデータ送信に悪用された場合、攻撃と同様の方法で帯域幅の過剰消費またはトラフィックの急増が発生します。 この場合、帯域幅リソースとデータ転送に対して課金されます。
お使いのドメインが攻撃を受けている場合、ドメインはサンドボックスに追加されます。 この場合、DCDN は高速化ドメインに対してサービスの安定性を確保できません。 詳細については、「サンドボックスの概要」をご参照ください。
見込まれる結果:想定よりも高額の請求
ドメイン名が攻撃を受けたり、データ送信に悪用されたりした場合、請求額が想定よりも高額になり、アカウントの残高が使い尽くされる可能性があります。
DCDN は、使用したリソースに基づいて課金されます。 場合によっては、課金サイクル (時間単位、日単位、月単位) や課金の遅延などの理由でアカウントの残高が 0 に低下した場合、サービスが停止されないことがあります。 DCDN の請求書は、各課金サイクルの終了後、3 ~ 4 時間後に生成されます。 そのため、料金の滞納が発生したり、1 件の請求書での支払金額が当座貸越限度額を超える可能性があります。
Alibaba Cloud では、サービス停止保護を提供しています。 この機能を有効化した場合、DCDN は猶予期間が終了するまで中断されません。 猶予期間または当座貸越限度額は、アカウントの階層と購入履歴に基づいて決定されます。 当座貸越限度額は毎月リセットされます。
解決策
デフォルトでは、DCDN ではアクセス制御またはセキュリティ保護機能は提供されません。 DCDN では、帯域幅使用量の急増を検出します。 異常なトラフィックが検出された場合、Alibaba Cloud は、トラフィックを抑制するか、サンドボックスにドメイン名を追加するか、または通常のサービストラフィックと異常なトラフィック全体に基づいて他の対策を講じるかどうかを評価します。 詳細については、「」「制限事項」をご参照ください。 これにより、他のユーザーに対するサービスの安定性が確保されます。 Alibaba Cloud は、このような状況で発生する可用性の問題について責任を負いません。
システムを正常に実行し、予期せぬ高額請求を防止するために、セキュリティ機能を有効化するか、またはアクセス制御を実行することを推奨します。
アクセス制御の有効化
トラフィックの急増が発生した場合は、リアルタイムログを分析して原因を特定することを推奨します。 詳細については、「」「リアルタイムログ配信の設定」をご参照ください。 次に、特定の原因に基づいてコンソールでドメイン名に対するアクセス制御機能を有効化して、不要なトラフィックと帯域幅の消費を回避します。
機能 | 説明 |
Referer に基づくホットリンク保護 | お客様の Web サイトシステムに関連するドメイン名など、特定ドメイン名からのリクエストのみを許可するようにリファラーホワイトリストを設定できます。 この方法により、訪問者を特定してフィルタリングし、Web サイトリソースの不正使用を防止できます。 詳細については、「」「リファラーホワイトリストまたはブラックリストを設定してホットリンク保護を有効化する」をご参照ください。 |
URL 署名 | URL 署名機能を使用すると、POP (Point of presence) と配信元サーバーを連携して、オリジンリソースを不正使用から保護できます。 この方法は安全性と信頼性が高くなっています。詳細については、「」「URL 署名の設定」をご参照ください。 |
IP アドレスのブラックリストまたはホワイトリスト | 悪意のある攻撃やトラフィックの急増が発生した後は、リアルタイムログ配信機能を使用して、IP アドレスがドメイン名に頻繁にアクセスしているかどうかを確認できます。 悪意のある IP アドレスが特定された場合、ブラックリストまたはホワイトリストを設定して IP アドレスをブロックできます。 詳細については、「」「IP アドレスブラックリストまたはホワイトリストの設定」をご参照ください。 |
User-Agent ブラックリストまたはホワイトリスト | 悪意のある攻撃やトラフィックの急増が発生した後、リアルタイムログ配信機能を使用して、悪意のあるリクエストの User-Agent ヘッダーが特定の値であるかどうかを確認できます。 悪意のあるリクエストの User-Agent ヘッダーが特定の値である場合、User-Agent ブラックリストまたはホワイトリストを設定して、特定の値を持つ User-Agent ヘッダーを含むリクエストをブロックできます。 詳細については、「」「User-Agent ブラックリストまたはホワイトリストの設定」をご参照ください。 |
トラフィック管理の有効化
CloudMonitor を使用して、サービス名またはドメイン名ごとに帯域幅アラートルールを設定し、トラフィックと帯域幅の使用状況をモニタリングすることを推奨します。 詳細については、「アラートルールの設定」をご参照ください。 予期せぬ帯域幅の急増が発生した場合は、帯域幅およびリクエストのスロットリングを設定することもできます。
機能 | 説明 |
帯域幅調整 | ドメイン名の 1 日あたりのピーク帯域幅が 10 Gbit/s を超える場合で、ドメイン名に対する DCDN 帯域幅を制限する場合は、チケットを起票してください。 重要
|
リアルタイムモニタリング | ドメイン名のピーク帯域幅をリアルタイムでモニタリングする必要がある場合、CloudMonitor を使用できます。 ドメイン名の帯域幅が指定されたしきい値に達すると、テキストメッセージ、電子メール、または DingTalk メッセージで潜在的なリスクが通知されます。 詳細については、CloudMonitor のプロダクトページをご参照ください。 |
料金の管理とアラート | 以下の機能を使用して、料金を監視および制限できます。 この機能を設定するには、コンソール上部のナビゲーションバーの [料金] にポインターを移動し、[料金とコスト] を選択します。
説明 統計の整合性と請求書の正確性を確保するため、DCDN は課金サイクル終了後、約 3 時間で請求書を発行します。 関連する料金がアカウントの残高から差し引かれる時点は、課金サイクル内でリソースが消費される時点よりも後である場合があります。 DCDN は分散型サービスです。 そのため、Alibaba Cloud ではリソースの消費の詳細を請求書に記載していません。 他の CDN プロバイダーでも同様のアプローチが採用されています。 |