-
- いいね!2
(🍥)
@hdais
@otsuka752 RPZはどちらかと言えばcacheのための機能ですね。権威サーバ側はRPZ使っても水責め防御はあまり期待できないと思います
2015-02-09 18:10:47
otsuka0752 @Dublin/Ireland 🇮🇪
@otsuka0752
@hdais 狙われたドメインの権威サーバの管理者はどうするのが効果的なのでしょうか? 自力で頑張ってもしかたなく、外部サービスに頼る感じでしょうか?
2015-02-09 18:16:28
otsuka0752 @Dublin/Ireland 🇮🇪
@otsuka0752
iptables と DNS(cache and/or authoritative)サーバで、どのくらい pps が負荷になるのか...
2015-02-09 18:18:53
otsuka0752 @Dublin/Ireland 🇮🇪
@otsuka0752
cache と authoritative では何となく違いが分かる気がするが。
2015-02-09 18:19:30
otsuka0752 @Dublin/Ireland 🇮🇪
@otsuka0752
@linus404 ノーガード戦法しか無いなら、それはそれであきらめられる!?w
2015-02-09 18:21:19
otsuka0752 @Dublin/Ireland 🇮🇪
@otsuka0752
自分管理の cache は、それなりに管理されたクライアントだけだから、あまり心配してないってのもある。
2015-02-09 18:22:35
(🍥)
@hdais
@otsuka752 攻撃対象のドメインのサービスを続けるならば、基本的に力づくの対処になると思います。攻撃対象のドメインのサービスを止めてもよい(同じサーバに載ってる他のドメインは守る)なら、力づくでない緩和策はいくつか考えられるかと
2015-02-09 18:29:43
otsuka0752 @Dublin/Ireland 🇮🇪
@otsuka0752
@hdais コメントありがとうございます。もう少し考えてみます。考えるだけでつらいですね...
2015-02-09 18:41:06
(🍥)
@hdais
@otsuka752 効果的な対処のためにはプロトコル変更(追加)が必要だと思っています。例えば、権威からキャッシュに対して、攻撃中は"このqname以外は問い合わせるな"と指示することができれば相当緩和になるかと
2015-02-09 19:48:36
otsuka0752 @Dublin/Ireland 🇮🇪
@otsuka0752
F5 さんのアプライアンスで iRule でフィルタするとどうなるんだろう? DNS 水責め攻撃。
2015-02-09 22:18:01
otsuka0752 @Dublin/Ireland 🇮🇪
@otsuka0752
queryperf でも使ってみるか。回線帯域ごとつぶされるなら DNS の話題じゃなくなるし。14 + 20 + 12 + (20 位) で考えれば良いんか?
2015-02-10 07:20:23
otsuka0752 @Dublin/Ireland 🇮🇪
@otsuka0752
iptables さんが、権威サーバの処理可能な pps の 2-3 桁上くらい処理できたら...
2015-02-10 07:22:23
Yasuhiro Morishita
@OrangeMorishita
【JPRS】 #SECCON 会場で先行配布したJPRSトピックス&コラムの新作「Bot経由でDNSサーバーを広く薄く攻撃~DNS水責め攻撃の概要と対策~」をWeb公開しました。バックナンバーも含め、以下のURIから入手できます。// jprs.jp/related-info/g…
2015-02-10 10:51:08
otsuka0752 @Dublin/Ireland 🇮🇪
@otsuka0752
@t0r0_twit ありがとうございます。指定した qps でクエリを送信できるから、マルチスレッド対応だから、などがお勧めの理由でしょうか?
2015-02-10 12:04:31
t0r0
@t0r0_twit
@otsuka752 やればわかるんですがqueryperfはポート固定でぶん投げてくるだけなのでBIND等のプロセスのqpsを測るのにはいいのですがiptables等をかぶせて状態を見るのには向いてないんです。
2015-02-10 12:52:50
otsuka0752 @Dublin/Ireland 🇮🇪
@otsuka0752
@t0r0_twit 確かにポート固定でした。今気付きました。dnsperf 使います!
2015-02-10 13:00:51
t0r0
@t0r0_twit
ベンチマークソフトってある意味過保護な状況を前提としてたりするからあんまり役に立たないんだよなぁ。 queryperfだとクエリーリストに問い合わせNGレコード散らばらすとqps劇落ちするし。
2015-02-10 13:06:12
otsuka0752 @Dublin/Ireland 🇮🇪
@otsuka0752
@t0r0_twit dnsperf は -x で SrcPort を指定できますが、ずっと同じ SrcPort を使い続けるんですね。(txid は変わりますが) やはり、手を入れないと...
2015-02-10 14:44:49
t0r0
@t0r0_twit
@otsuka752 一応コントロール効く分queryperfよりはましなんですけど今回みたいにその前での処理をしたい場合にはベンチマークソフト自体が不向きなんですよね。私も似たような事やったときはdnsperfで負荷かけつつ自作ツールで攻撃して状態確認しました。
2015-02-10 14:51:38
otsuka0752 @Dublin/Ireland 🇮🇪
@otsuka0752
@t0r0_twit 情報ありがとうございます。負荷かけだけに注力するプロセスと、randam な query 投げるのとを分ける方向で考えてみます。
2015-02-10 15:01:20
t0r0
@t0r0_twit
@otsuka752 iptablesのリアルなリソース消費も確認したいのでしたらIPアドレスも複数振ってあげてそこから攻撃してあげるといいです。
2015-02-10 15:36:47