JPRSの水責めの資料の図キャッシュで考えればそれほど問題ないんだけど権威側についてはあまりイケてない。 あれ見ちゃうと権威側への影響過小評価しちゃう。 権威側はサーバーに来る事が問題じゃなくてサーバーの入っているネットワークの許容流入量以上の問い合わせが来る事がやばいのねん。
2015-02-10 18:03:11水責めはネットワークの入り口でフィルタかける というコストを払えないとほぼ死亡するしかないし じゃぁそういった機械いれますか?というとコストのバランスに会わない(攻撃来ない限りただのくっそ高い仕事しない置物)
2015-02-10 18:24:24ARBOR・Securesoft・F5・A10とかの機械でできるのわかってるけど一台1千万オーバーコースで複数台必要かつAS持ってて10G単位の回線ある所じゃないとむーりーだし。そするとチープにいくには結局ぐぐるやくらうどふれあに魂をささげよなんだよなぁ。
2015-02-10 19:10:41.@t0r0_twit RFC 2182の内容は(それ以外のすべてのものにも言えることですが)「キャッシュが効くこと」が大前提ですね。SECCONやIW2014の資料にも書きましたが「キャッシュが効かないと(無効化されると)DNSはどうなるか」ということですね。。
2015-02-10 19:11:28.@t0r0_twit んで、それをうまく表現できる図にするにはどうするのがよさげですかね。。。
2015-02-10 19:14:38.@t0r0_twit Unfortunately, I agree with you..
2015-02-10 19:21:19@OrangeMorishita 今の図だとサーバーのリソース問題に見えてしまっているのでトラフィック量(サーバーの設置されているデータセンター等への)を権威サーバー運用者向けに書く方がいかなーと思います。(キャッシュが主に見えちゃってます。)
2015-02-10 19:28:55.@t0r0_twit 承っておきます。しかし、その「ネットワークをあふれさせること」に対する権威DNSサーバー側でできる対策、というのが、現時点では「ほぼ力技(Google/Amazon/CloudFlare/etc.)」ということですよね。。。
2015-02-10 19:33:41.@t0r0_twit たぶん「トピックス&コラム」のフォーマットでは限界がありますね(続きます)
2015-02-10 19:36:47.@t0r0_twit (続き)そのへんまでカバーするとなるとかつての幽霊ドメイン名のもの→ jprs.jp/tech/notice/20… やリフレクター攻撃のもの→ jprs.jp/tech/notice/20… クラスの「気合入れた技術解説」が必要ですね。。
2015-02-10 19:37:33【自分用メモ】「(DNS水責め攻撃では)権威側はサーバーに来る事が問題じゃなくてサーバーの入っているネットワークの許容流入量以上の問い合わせが来る事がやばい」 twitter.com/t0r0_twit/stat…
2015-02-10 19:46:32(承前)少し補足しておくと「サーバに来る事が問題じゃなくて」は「サーバに来ることよりも」とか「サーバに来ることも問題だが」がよいです。そっちについても当然、過小評価は禁物で。
2015-02-10 19:48:28なんか、DNS権威サーバを設置できるのは「体力がある」ところだけだとすると、いよいよDNSの「分散」の意味が変わるのかな(素人解釈:-) RE twitter.com/OrangeMorishit…
2015-02-10 19:48:55【自分用メモ】リフレクター攻撃のように反射させなくても、「広く薄く」攻撃すれば、問い合わせだけで権威DNSサーバーのネットワークはあふれるし、サーバーの能力以上の問い合わせを送り付けることもできると。
2015-02-10 19:51:55@OrangeMorishita 正直キャッシュに流れてくる水責めトラフィックは大きいとはいえ許容範囲なのでサーバー側の細工やリソース調整でどうにかできるのでいいのですけど権威側のほうがにっちもさっちもいかないのでそっちに重点を置いた方がいいんじゃないかなーとは思ってます。
2015-02-10 19:52:48.@hdais @otsuka752 この話、東さんに’ちょっとしたことありますね。ヘッダーセクションにTERMINATEフラグを作るとかEDNS0で何かするとかして、名前の終端であることをキャッシュに知らせられるようにすると。
2015-02-10 22:46:57【自分用メモ】> 最近value-domainのDNSは攻撃を受けて(ここらへんはググって)いたみたいでいろいろと対策を練った結果、海外からのアクセスを拒否しているみたいです。// eai04191.tumblr.com/post/110182603…
2015-02-14 17:41:20@OrangeMorishita 私が持ってる海外のVPSからdigする限りは、現在は応答してるようです。防御のために海外からのクエリをブロックするなら、NSのうち1台はブロックしないようにしたほうがいいかもしれませんね
2015-02-14 18:39:45調査ありがとうございます。やむを得ずブロックするなら一部に、ということですかね。 QT @hdais: 現在は応答してるようです。防御のために海外からのクエリをブロックするなら、NSのうち1台はブロックしないようにしたほうがいいかもしれませんね
2015-02-14 18:42:30@OrangeMorishita はい、その1台の権威サーバは死んじゃうかもしれませんが、そうしておけば攻撃が止み次第、海外からも名前解決できるようになりますからね
2015-02-14 18:51:03