1 回答
- 最新
- 投票最多
- 评论最多
0
【以下的回答经过翻译处理】 Shield Standard可以保护Amazon Route 53,对可疑查询进行速率限制,防止其被服务。客户需要支付未被该系统阻止的任何查询费用。客户可以订阅AWS Shield Advanced,利用它所提供的费用保护功能。如果客户使用AWS Shield Advanced保护了一个Route 53托管区域并遭受攻击,导致Route 53利用率增加,他们可以请求有限金额的退款。请参阅https://docs.aws.amazon.com/waf/latest/developerguide/request-refund.html以获取更多详情。
另一个应对DNS query flood攻击(NXDOMAIN攻击)的方法是使用通配符子域名和Route 53别名记录。
根据Route 53的定价策略,当满足以下两个条件时DNS查询是免费的:
- 域名或子域名(
example.com
或store.example.com
)以及查询中的记录类型(A记录或者AAAA记录)与别名记录相匹配。 - 别名目标是Route 53以外的AWS资源。
所以,可以创建通配符记录,例如
*.example.com
,类型为A记录(别名)或者AAAA记录(别名),指向一个AWS资源,比如EC2实例、Elastic Load Balancer或CloudFront分配(考虑到AWS即将对Public IPv4地址收费,所以将别名记录指向CloudFront是最佳选择)。这样当查询dummy.example.com
时,会返回该资源的IP,并且不会收取Route 53查询费用。
相关内容
- AWS 官方已更新 2 年前
- AWS 官方已更新 1 年前
- AWS 官方已更新 1 年前
- AWS 官方已更新 7 个月前