| /JPRS /netscout |
Contents
1. 対策
NXDOMAIN flood 攻撃は DDoS攻撃の手段のひとつ:
DNS サーバーが狙いというよりはネットワークを機能不全にすることが目的なのではないか。-- ToshinoriMaeno 2023-05-20 01:15:42
https://cybersecurity-jp.com/column/34745
攻撃手段は NXDOMAIN flood attackと呼ばれている。
少なくとも、以下の二種類のサーバーでの対策は分けて考えるべきだ。
- resolver (open resolver ?)
- authoritative server
router/firewall でのブロックも視野に入れて。
ここでは権威サーバーでの対策を検討する。
1.1. 権威サーバーでの対策
- NXDOMAIN 返答の扱い。
- NXDOMAIN 返答になる query を多数送ってくる client (resolver) の扱い。
- rate limiting
NXDOMAIN返答は返さなければならないというものでもないので、 単に「返事をしない」という方策もありえます。(よく見かけるようになった。)
NXDOMAIN 返答になる queryを一度送っただけでブロックするようなサーバーは見つけていない。 -- ToshinoriMaeno 2023-05-18 20:21:39
存在しないサブドメインを繰り返し問い合わせてきたIPアドレスを記録しておき、限界を超えたらなんらかの対応をするということは考えられます。 でも、 送信元のアドレスは偽かもしれません。
DNS(権威)サーバーにまで届いたqueryに対して「返事をしない」のはサーバーの負荷を下げることにはつながらないかもしれません。
- そういう場合にはサーバーに届く以前の段階で振り分けることも考えなくてはいけません。
サーバー以前の段階と言っても、 DNSサーバーと同様の処理をすることになるでしょうから、複数のサーバーに分散する以上の効果的な方法があるか、疑問です。 午後10:01 · 2023年5月18日