DDoS攻擊可能導致網域名稱解析響應緩慢或服務中斷。Alibaba Cloud DNS的 DDOS攻击防护 功能,為網域名稱提供安全防護,保障解析服務的可用性。
防護等級說明
Alibaba Cloud DNS提供兩種防護等級,可根據業務需求選擇。
防護等級 | 防護能力 | 適用情境 |
DNS攻击基础防御 | 防護執行個體下所有網域名稱的DNS攻擊,攻擊防禦上限為1000萬QPS(每秒查詢數)。 | 適用於遭受一般強度DNS攻擊的業務。 |
DNS攻击全力防御 | 防護執行個體下所有網域名稱的DNS攻擊,可抵禦過億QPS的超大規模DNS查詢攻擊。 | 適用於金融、遊戲、電商等對商務持續性要求極高,或頻繁遭受大規模攻擊的核心業務。 |
適用範圍
此功能僅適用於已購買Alibaba Cloud DNS付費版執行個體。若網域名稱當前使用免費版解析服務,開啟防護時需同步升級至付費版。
開啟DDOS攻击防护
訪問公網權威防火牆。
頁簽切換到 DDOS攻击防护(預設),即可看到目前 公网权威解析 維護的網域名稱列表。
找到目標網域名稱,點擊操作列的 开启安全防护,彈出規格選擇面板,填寫表單項後完成購買。
情境一:網域名稱使用免費版公網權威解析
需先將解析服務升級至付費版,再選擇DNS防護等級。
在規格選擇面板中,選擇一個付費的公網權威解析版本。
在 DNS安全 模組,選擇 DNS攻击基础防御 或 DNS攻击全力防御。
確認訂單資訊後,完成購買。
情境二:網域名稱已使用付費版公網權威解析
直接購買併疊加DNS防護功能。注意:購買時間長度與公網權威解析執行個體的剩餘時間長度相同,費用會根據剩餘時間長度進行計算。在規格選擇面板的 DNS安全 模組,選擇 DNS攻击基础防御 或 DNS攻击全力防御。
確認訂單資訊後,完成購買。
返回 DDOS攻击防护 頁面,可以看到網域名稱的 安全防护状态 處於 已启用。
查看安全防護大盤
開啟防護後,可在 安全防护大盘 頁面監控網域名稱的安全狀態、查看攻擊資料和記錄。
點擊 公网权威防火墙,選擇目標網域名稱,即可查看到網域名稱解析狀態、DNS防护数据统计图(支援查詢歷史7天內的DNS防護資料)、DNS防护历史记录 等資訊。
網域名稱解析狀態:如果DNS受到攻擊,會在此展示警示資訊,同時傳送簡訊/郵件通知。
DNS防护数据统计图:如果DNS受到攻擊,此模組會展示異常請求QPS統計資料趨勢圖。
DNS防护历史记录:歷史日誌模組,可查看到 防护时间 (UTC+8)、防护结果、异常请求QPS。
計費說明
DDOS攻击防护 是一項增值服務,需要額外付費購買,費用可參考產品計費。
若購買防護功能時,網域名稱已綁定付費的公網權威解析執行個體,則新購防護功能的購買時間長度將與該執行個體的剩餘時間長度保持一致,費用按比例折算,以確保兩項服務的到期時間同步。
若需要同時購買付費版公網權威解析服務,參見產品計費。
防護狀態說明
在發生DNS查詢攻擊時,DNS防護狀態包含:清洗開始、清洗結束、黑洞開始、黑洞結束。
清洗開始:如果DNS安全系統檢測到使用者網域名稱持續遭受到大量異常請求,則會啟用清洗策略,清洗策略是指對異常請求不作DNS查詢響應。
清洗結束:如果DNS安全系統檢測到使用者網域名稱遭受的異常請求正在減少,則會停止清洗策略。
黑洞開始:如果DNS安全系統檢測到使用者網域名稱持續遭受到大量異常請求,且超過網域名稱目前的版本提供的安全防禦上限,則會對該網域名稱停止解析服務。
黑洞結束:網域名稱解析在黑洞策略期間,如果DNS安全系統檢測到使用者網域名稱遭受的異常請求恢複到安全防禦上限內,則會自動回復解析,恢複後需要等待TTL解析生效時間。