Alibaba Cloud DNS への大量クエリ

この記事は Alibaba Cloud の日本サイト の環境(ドキュメントやアカウント、そのアカウントでの検証結果)に基づいて記載しています。 日本サイトと国際サイトでは各プロダクトごとに提供機能が一部異なることがあります(そのほとんどは国際サイトの方が日本サイトよりも多機能になっている)。記事の内容は適宜最新化する予定です。

Alibaba Cloud DNSで管理している”bigriver.jp”ゾーンに対して、ここ2日間ほど1時間当たり約14,000クエリが発生していたという話です。 なお原因究明には至っていない為、あまり参考にならないかもしれません。

1. 最初のトラブル

別の作業でレコードを追加するためにAlibaba Cloud DNSの管理画面にアクセスしました。 そうしたところ、”実行時例外”および!マークと何やらトラブルが発生しているようです。

!マークのアイコンにカーソルを合わせると”ドメイン登録情報を確認してください”とのメッセージが表示されました。 これは上位のDNSサーバに登録している bigriver.jp の NS レコードを Alibaba Cloud DNS が確認出来ていないことを示しています。

取り急ぎ Windows クライアントの nslookup コマンドから確認します。AレコードおよびNSレコードの名前解決は問題ないことが確認できます。

再度コンソール画面を確認すると、”標準”と正常な状態に戻っています。 何もしていないのですがいつの間にか復旧したようです。 

ドメイン管理画面でも”DNSサーバー:vip8.alidns.com, vip7.alidns.com”と正常な状態であることが確認出来ます。

一時的な問題なのでしょうか。 上記以上のエラー情報は確認出来ないため原因究明が難しい状況です。 頻発するようだったり、本当に名前解決に支障が出た場合はサポートチケットで確認することとします。

とここで話が終わればよかったのですが、思わぬ方向に話は続きます。

2. 大量のDNSクエリ

DNSの管理画面から特に意図もなく”クエリ状況”を確認しました。まったく別の問題?が発生していたようです。

Alibaba Cloud DNSで管理している”bigriver.jp”ゾーンについて、常時14,000/時もの問い合わせが発生していることがわかりました。 また、上記の実行時例外が発生し、復旧した時刻あたりでクエリ数が減っているように見えます。

この大量のクエリがいつから発生しているのか確認します。クエリ状況の範囲を”今日”から”7日間”に変更します。 3月31日の9時から10時位が始点のようです。

”ダウンロード”からExcelデータをダウンロードし確認します。 やはり3月31日の9時以降に急激にアクセスが増えています。

クエリの送信元やクエリ内容まではわからないため断定は出来ませんがDDoS攻撃を受けていた可能性があります。ただ1時間当たりの14,000クエリは1秒あたり約4クエリなのでDDoSといえる量でもありません。 攻撃を受ける理由に思い当たることはないのですが気分はよくないものですね。

桁は違いますが有償のEnterpriseエディションを利用しており保護QPSは20,000 Q/sです。 1秒間に20,000クエリまでは対応する仕様です。オプションでより多くのQPSにすることも可能です。

念のためこのブログをホストしているECSの状況も確認します。DNSクエリが増えた3月31日9時前からのCPUとネットワークの状況ですが特に問題は見当たりません。  ”bigriver.jp”としてWebサイトを公開しているECSインスタンスへの大量の処理要求は特に無かったと言ってよいでしょう。

Anti-DDoSの状況も確認します。ステータスは正常なのでECSへのDoS攻撃等は特に発生していなかったようです。 なお、 Anti-DDoSは無償で利用可能ですので有効にしておきましょう。

詳細画面でここ3日間を確認します。 特に大量のトラフィックは発生していないことを確認できました。

まとめ

大量ではあるのですがDDoSとまでは言えないこのDNSクエリ、今は収まったようでとりあえず様子見とします。

ただし、大量クエリを受けていることに気付くのに時間がかかったのも事実です。 もっと能動的にそのような状況を検知し、必要であれば対処する必要があったと思います。 APIから定期的にクエリ状況を確認し閾値をもとにアラートを上げるなどが対処方法となりそうです(ドキュメントセンターのマニュアルをざっと見る限りクエリ状況に関するAPIがなさそうだったのですが)。

以上