-
- いいね!2
t0r0
@t0r0_twit
JPRSの水責めの資料の図キャッシュで考えればそれほど問題ないんだけど権威側についてはあまりイケてない。 あれ見ちゃうと権威側への影響過小評価しちゃう。 権威側はサーバーに来る事が問題じゃなくてサーバーの入っているネットワークの許容流入量以上の問い合わせが来る事がやばいのねん。
2015-02-10 18:03:11
t0r0
@t0r0_twit
水責めはネットワークの入り口でフィルタかける というコストを払えないとほぼ死亡するしかないし じゃぁそういった機械いれますか?というとコストのバランスに会わない(攻撃来ない限りただのくっそ高い仕事しない置物)
2015-02-10 18:24:24
t0r0
@t0r0_twit
ARBOR・Securesoft・F5・A10とかの機械でできるのわかってるけど一台1千万オーバーコースで複数台必要かつAS持ってて10G単位の回線ある所じゃないとむーりーだし。そするとチープにいくには結局ぐぐるやくらうどふれあに魂をささげよなんだよなぁ。
2015-02-10 19:10:41
Yasuhiro Morishita
@OrangeMorishita
.@t0r0_twit RFC 2182の内容は(それ以外のすべてのものにも言えることですが)「キャッシュが効くこと」が大前提ですね。SECCONやIW2014の資料にも書きましたが「キャッシュが効かないと(無効化されると)DNSはどうなるか」ということですね。。
2015-02-10 19:11:28
Yasuhiro Morishita
@OrangeMorishita
.@t0r0_twit んで、それをうまく表現できる図にするにはどうするのがよさげですかね。。。
2015-02-10 19:14:38
Yasuhiro Morishita
@OrangeMorishita
.@t0r0_twit Unfortunately, I agree with you..
2015-02-10 19:21:19
t0r0
@t0r0_twit
@OrangeMorishita 今の図だとサーバーのリソース問題に見えてしまっているのでトラフィック量(サーバーの設置されているデータセンター等への)を権威サーバー運用者向けに書く方がいかなーと思います。(キャッシュが主に見えちゃってます。)
2015-02-10 19:28:55
Yasuhiro Morishita
@OrangeMorishita
.@t0r0_twit 承っておきます。しかし、その「ネットワークをあふれさせること」に対する権威DNSサーバー側でできる対策、というのが、現時点では「ほぼ力技(Google/Amazon/CloudFlare/etc.)」ということですよね。。。
2015-02-10 19:33:41
Yasuhiro Morishita
@OrangeMorishita
.@t0r0_twit たぶん「トピックス&コラム」のフォーマットでは限界がありますね(続きます)
2015-02-10 19:36:47
Yasuhiro Morishita
@OrangeMorishita
.@t0r0_twit (続き)そのへんまでカバーするとなるとかつての幽霊ドメイン名のもの→ jprs.jp/tech/notice/20… やリフレクター攻撃のもの→ jprs.jp/tech/notice/20… クラスの「気合入れた技術解説」が必要ですね。。
2015-02-10 19:37:33
Yasuhiro Morishita
@OrangeMorishita
【自分用メモ】「(DNS水責め攻撃では)権威側はサーバーに来る事が問題じゃなくてサーバーの入っているネットワークの許容流入量以上の問い合わせが来る事がやばい」 twitter.com/t0r0_twit/stat…
2015-02-10 19:46:32
Yasuhiro Morishita
@OrangeMorishita
(承前)少し補足しておくと「サーバに来る事が問題じゃなくて」は「サーバに来ることよりも」とか「サーバに来ることも問題だが」がよいです。そっちについても当然、過小評価は禁物で。
2015-02-10 19:48:28
Tetsuo Sakaguchi
@tsaka1
なんか、DNS権威サーバを設置できるのは「体力がある」ところだけだとすると、いよいよDNSの「分散」の意味が変わるのかな(素人解釈:-) RE twitter.com/OrangeMorishit…
2015-02-10 19:48:55
Yasuhiro Morishita
@OrangeMorishita
【自分用メモ】リフレクター攻撃のように反射させなくても、「広く薄く」攻撃すれば、問い合わせだけで権威DNSサーバーのネットワークはあふれるし、サーバーの能力以上の問い合わせを送り付けることもできると。
2015-02-10 19:51:55
t0r0
@t0r0_twit
@OrangeMorishita 正直キャッシュに流れてくる水責めトラフィックは大きいとはいえ許容範囲なのでサーバー側の細工やリソース調整でどうにかできるのでいいのですけど権威側のほうがにっちもさっちもいかないのでそっちに重点を置いた方がいいんじゃないかなーとは思ってます。
2015-02-10 19:52:48
Yasuhiro Morishita
@OrangeMorishita
.@hdais @otsuka752 この話、東さんに’ちょっとしたことありますね。ヘッダーセクションにTERMINATEフラグを作るとかEDNS0で何かするとかして、名前の終端であることをキャッシュに知らせられるようにすると。
2015-02-10 22:46:57
Yasuhiro Morishita
@OrangeMorishita
【自分用メモ】> 最近value-domainのDNSは攻撃を受けて(ここらへんはググって)いたみたいでいろいろと対策を練った結果、海外からのアクセスを拒否しているみたいです。// eai04191.tumblr.com/post/110182603…
2015-02-14 17:41:20
(🍥)
@hdais
@OrangeMorishita 私が持ってる海外のVPSからdigする限りは、現在は応答してるようです。防御のために海外からのクエリをブロックするなら、NSのうち1台はブロックしないようにしたほうがいいかもしれませんね
2015-02-14 18:39:45
Yasuhiro Morishita
@OrangeMorishita
調査ありがとうございます。やむを得ずブロックするなら一部に、ということですかね。 QT @hdais: 現在は応答してるようです。防御のために海外からのクエリをブロックするなら、NSのうち1台はブロックしないようにしたほうがいいかもしれませんね
2015-02-14 18:42:30
(🍥)
@hdais
@OrangeMorishita はい、その1台の権威サーバは死んじゃうかもしれませんが、そうしておけば攻撃が止み次第、海外からも名前解決できるようになりますからね
2015-02-14 18:51:03