DNS安全

概述

DNS是互联网的重要基础,例如Web访问、Email服务在内的众多网络服务都和DNS息息相关,DNS的安全则直接关系到整个互联网应用能否正常使用。

云解析DNS安全针对DNSDDoS攻击提供防护能力,DDoS (Distributed Denial of service)攻击通过僵尸网络利用各种服务请求耗尽被攻击网络的系统资源,造成被攻击网络无法处理合法用户的请求。主要表现为Flood攻击:通过发送海量DNS查询报文导致网络带宽耗尽而无法传送正常DNS 查询请求。

云解析DNS安全提供的防御等级包含如下

  • DNS攻击基础防御:针对付费版本实例绑定的所有域名,提供基础DNS攻击保护能力,基础DNS攻击防御上限不超过每秒1000万次,适用于一般情况下的DNS攻击预防保障。

  • DNS攻击全力防御:针对付费版本实例绑定的所有域名,提供全面的DNS攻击保护能力,能承受每秒过亿次的DNS查询攻击,适用于频繁受到严重DNS攻击时场景。

设置方法

DNS防护购买后不需要单独做配置,以下为DNS防护数据的查看方法。

  1. 登录到 云解析DNS 控制台

  2. 权威域名解析 页面,权威域名 页签下,单击目标域名,进入解析设置页面。

  3. 解析设置 页面,上方导航栏单击 DNS安全,进入DNS安全页面。

  4. DNS安全 页面,您可以查看域名解析状态、DNS防护数据统计图(支持查询历史7天内的DNS防护数据)、DNS防护历史记录 等信息。

    域名解析状态:如果DNS受到攻击,会在此展示告警信息,同时发送短信/邮件通知。

    DNS防护数据统计图:如果DNS受到攻击,此模块会展示异常请求QPS统计数据趋势图。

    DNS防护历史记录:历史日志模块,可查看到防护时间防护结果异常请求QPS

防护状态说明

在发生DNS查询攻击时,DNS防护状态包含:清洗开始、清洗结束、黑洞开始、黑洞结束。

  • 清洗开始:如果DNS安全系统检测到用户域名持续遭受到大量异常请求,则会启用清洗策略,清洗策略是指对异常请求不做DNS查询响应。

  • 清洗结束:如果DNS安全系统检测到用户域名遭受的异常请求正在减少,则会停止清洗策略。

  • 黑洞开始:如果DNS安全系统检测到用户域名持续遭受到大量异常请求,且超过域名当前版本提供的安全防御上限,则会对该域名停止解析服务。

  • 黑洞结束:域名解析在黑洞策略期间,如果DNS安全系统检测到用户域名遭受的异常请求恢复到安全防御上限内,则会自动恢复解析,恢复后需要等待TTL解析生效时间。