#JANOG 51 Meeting Day2午後 3F会議室
-
- いいね!0
Yukihiro Kikuchi
@yukihirokikuchi
DNS権威サーバのクラウドサービス向けに行われた攻撃および対策 長野 雅広さん(さくらインターネット株式会社) からです #janog #janog51_3f
2023-01-26 14:00:14
Yukihiro Kikuchi
@yukihirokikuchi
長野さん:自己紹介 さくらインターネットにてクラウド事業本部SRE室の室長してます。 ブースにいるのでお声がけを #janog #janog51_3f
2023-01-26 14:01:40
Yukihiro Kikuchi
@yukihirokikuchi
長野さん: 2006年までWeb業界にいた。MIXI Livedoor Mercariを経由しておととしから現職 SREをずっとしてた。JANOGは初参加。是非よろしくお願いします。 #janog #janog51_3f
2023-01-26 14:02:19
Yukihiro Kikuchi
@yukihirokikuchi
長野さん: クラウド事業本部SRE室は何しているか 2022年7月に発足 クラウドサービスの信頼性を高める。社会のDXを支える 社内でのSREの実践を広める。さくらの社員がSREとしてEnablingできることがミッション #janog #janog51_3f
2023-01-26 14:03:03
Yukihiro Kikuchi
@yukihirokikuchi
長野さん: どんなこと? 他の開発チームと一緒に活動する取り組み チーム開発 CI/CD DX(Developper Experience)向上 k8s基盤の構築、ログ監視基盤の研究開発 #janog #janog51_3f
2023-01-26 14:04:00
Yukihiro Kikuchi
@yukihirokikuchi
長野さん: DNSに関する発表はさくらインターネットとしては2回目 前回は? DNS権威サーバ向けのDDoS攻撃について発表、資料は非公開にしていたのでここでまとめ #janog #janog51_3f
2023-01-26 14:04:37
Yukihiro Kikuchi
@yukihirokikuchi
長野さん: JANOG39の振り返り DNSコンテンツサーバへのDDoS攻撃に対応するための インフラ構成の見直し L7やDDoS ミティゲーション など #janog #janog51_3f
2023-01-26 14:05:22
Yukihiro Kikuchi
@yukihirokikuchi
長野さん:さくらのクラウドの紹介とDNSアプライアンスの実情 2011年のサービス開始から12年目に入りました #janog #janog51_3f
2023-01-26 14:05:44
Yukihiro Kikuchi
@yukihirokikuchi
長野さん:東京と石狩リージョンでIaaSを中心にDBやロードバランサ、GSLB、DNSアプライアンスのサービスをしている。オートスケール機能(NW帯域)など珍しいものも #janog #janog51_3f
2023-01-26 14:06:24
Yukihiro Kikuchi
@yukihirokikuchi
長野さん:DNSアプライアンス 権威DNSサーバのクラウドサービス。 お客様が所有するドメインのゾーン情報などをコントロールパネルやAPIで管理 ALIASやHTTPS RRにも対応 #janog #janog51_3f
2023-01-26 14:07:03
Yukihiro Kikuchi
@yukihirokikuchi
長野さん: API操作からDNS浸透? 反映までの速度 APIの呼び出しを含んで20秒ちょっと、23秒ぐらいで反映 SRE化の取り組みとして可視化 #janog #janog51_3f
2023-01-26 14:07:37
Yukihiro Kikuchi
@yukihirokikuchi
長野さん:DNSアプライアンスの構成 さくらのクラウドの東京と石狩で分散してサービス提供 それぞれのリージョンでサービスを複数台のサーバで冗長 #janog #janog51_3f
2023-01-26 14:08:09
Yukihiro Kikuchi
@yukihirokikuchi
長野さん: 権威DNSサーバ、PowerDNSの権威サーバを利用 BackendoとしてRDBMS(MariaDB)を使用している #janog #janog51_3f
2023-01-26 14:08:44
Yukihiro Kikuchi
@yukihirokikuchi
長野さん:APIからDBをたたいてPowerDNSで参照する仕組み。割と早い時間で名前解決ができるように #janog #janog51_3f
2023-01-26 14:09:12
Yukihiro Kikuchi
@yukihirokikuchi
長野さん:本題:DNSサーバへの攻撃 なぜDNSサーバが狙われる? DNSが動作しなければ一般ユーザはインターネットが利用できないのと同じ DNSサーバ運用主体への脅迫・抗議 特定のWebサイトへのアクセスを不能にさせる 正当なルートを改ざんし、不正サイトへの誘導(フィッシング) #janog #janog51_3f
2023-01-26 14:10:15
Yukihiro Kikuchi
@yukihirokikuchi
長野さん: どんな攻撃がある?分類 DDoS: DNSフラッド、DNS水責め攻撃(今回) DNSの改ざん キャッシュポイゾニング #janog #janog51_3f
2023-01-26 14:10:56
Yukihiro Kikuchi
@yukihirokikuchi
長野さん: IIJさんの記事でBGPの経路を使って上書きとか、参考になる 今回の水責め攻撃について、ランダムサブドメイン攻撃とも言われる。2014年に初めて観測2014-2016年に攻撃や議論が多く行われた。最近は多くないという感覚 #janog #janog51_3f
2023-01-26 14:11:49
Yukihiro Kikuchi
@yukihirokikuchi
長野さん:どんな攻撃? 攻撃対象となるゾーンにランダムなサブドメインを作って問い合わせを行うことにより機能停止や機能低下を狙うもの 攻撃者は特定のDBに大量な攻撃はせず、オープンリゾルバに問い合わせをする #janog #janog51_3f
2023-01-26 14:12:36
Yukihiro Kikuchi
@yukihirokikuchi
長野さん:オープンリゾルバ、ネガティブキャッシュを持つ。結果DNSサーバに問い合わせ、数が多ければ多いほどDoSとなる #janog #janog51_3f
2023-01-26 14:13:03
Yukihiro Kikuchi
@yukihirokikuchi
長野さん: いままで観測している中で、Flood攻撃のような広帯域にはならない。が、影響を受けてしまう。 DNSのクエリとして全く正しいものが攻撃としてやってくるので、防ぐのが難しい #janog #janog51_3f
2023-01-26 14:13:36
Yukihiro Kikuchi
@yukihirokikuchi
長野さん:さくらのクラウドへの攻撃 去年の8月に発生、断続的に攻撃が続いている。 数度に渡りサービスに影響があり、お客様にご迷惑を #janog #janog51_3f
2023-01-26 14:14:15
Yukihiro Kikuchi
@yukihirokikuchi
長野さん: どれぐらい続いている? グラフとしては12月7日から1ヶ月のグラフで11個ぐらい攻撃が観測された。短時間のものを含めると毎日1回8月から続いている #janog #janog51_3f
2023-01-26 14:14:51
Yukihiro Kikuchi
@yukihirokikuchi
長野さん: 多くは特定ゾーン、それ以外にも単発できに 実際の攻撃は、一番長く強かったのは12/15 - 16 20何時間攻撃1分間900万クエリ、15万クエリ/秒 サービスに影響はフィルタでなかったが、長い攻撃があった #janog #janog51_3f
2023-01-26 14:15:42
Yukihiro Kikuchi
@yukihirokikuchi
長野さん: 実際どんなサブドメインが?ランダムな文字列 単語の組み合わせ ドット、ラベル数が増えることも 大文字小文字の混ざりがくる。Google Public DNSの仕様としてあるみたい #janog #janog51_3f
2023-01-26 14:16:29