Configurando o Route 53 para proteção de custos contra ataques NXDOMAIN - AWS Melhores práticas para DDoS resiliência

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurando o Route 53 para proteção de custos contra ataques NXDOMAIN

NXDOMAINos ataques ocorrem quando os atacantes enviam uma enxurrada de solicitações para uma zona hospedada para subdomínios inexistentes, geralmente por meio de resolvedores “bons” conhecidos. O objetivo desses ataques pode ser impactar o cache do resolvedor recursivo e/ou a disponibilidade do resolvedor autoritário, ou pode ser uma forma de DNS reconhecimento para tentar descobrir registros da zona hospedada. Usar o Route 53 para seu resolvedor autorizado reduz o risco de impacto na disponibilidade/desempenho, no entanto, o resultado pode ser um aumento significativo nos custos mensais do Route 53. Para se proteger contra aumentos de custo, aproveite os preços do Route 53, nos quais DNS as consultas são gratuitas quando as duas condições a seguir são verdadeiras:

  • O nome do domínio ou subdomínio (example.comoustore.example.com) e o tipo de registro (A) na consulta correspondem a um registro de alias.

  • O destino do alias é um AWS recurso diferente de outro registro do Route 53.

Crie um registro curinga, por exemplo, *.example.com com um tipo A (Alias) apontando para um AWS recurso, como uma EC2 instância, Elastic Load Balancer CloudFront ou distribuição, qwerty12345.example.com para que, quando uma consulta for feita, o IP do recurso seja retornado e você não seja cobrado pela consulta.