差分

DNSamp対策

495 バイト追加, 2018年6月22日 (金) 10:53

編集の要約なし

[[カテゴリ:セキュリティ]]

=何をやられるのか？=

DNSampはオープンリゾルバを狙ったDOS攻撃のひとつです。DNSサーバに対して別名ドメインのクエリを行い、その時に得られる応答が「なるべく長いもの」を要求するDOSです。

×www.google.com-> <-○www.google.com

~~これがDNSサーバの設定のリカーシブ機能で通常はこのような挙動をするようにリカーシブは自ドメイン~~これはDNSサーバの設定のリカーシブ機能のことで、通常は上記のような挙動をするようにリカーシブは自ドメイン/ネットワーク内だけに許可を与えます。

普通はこの対策をしておけばリカーシブされないので、DNSamp攻撃は防ぐことが'''出来るように思えます'''。

○<-DNS Query

もちろん内からは問いあわせなければいけないので、内から外へのクエリは通します。これで少しは安心なのですが、大量のクエリ、すなわちUDPのショートパケットを投げつけられると、家庭用のルータではちょっと性能が心配になります。もちろん内からは問いあわせなければいけないので、内から外へのクエリは通します。これで少しは安心なのですが、大量のクエリ、すなわちUDPのショートパケットを投げつけられると、家庭用のルータではちょっと性能が心配になります '''追記：『普通の』アクセスルータでも入力(WAN)側のフィルタが適切でないと外からのDNSクエリに応答するものがありました。ということは単なるアクセス回線しか持っていなくてもDNSampに荷担する可能性があります。''' =サーバを運用している場合の対策(ヤマハルータを使った対策)=

サーバを運用している場合にはオープンリゾルバになっていなければ、外から問いあわせされてもRefusedで返るので特に問題ない「気」はします。ですが、当然ながら猛烈なトラフィックを食らうと他のサービスに影響する可能性があります。でまあ、何といってもやっかいなのが、そこそこ性能のあるルータがないと戦えないという点なのですが・・・

queue class filter 2 2 ip * * * * *

~~これでDNSのクエリに使う帯域を100kbspに絞ることができます。そもそもDNSクエリは小さいのでそんなに帯域は要らないはずです。~~これでDNSのクエリに使う帯域を100kbspに絞ることができます。そもそもDNSクエリは小さいのでそんなに帯域は要らないはずです。上記の例ではDNS以外のその他のトラフィックには60Mbpsを割り当てています。

ですが、この方法には欠点があります。DoSを食らった場合、それに帯域を占有され正常なリクエストもドロップしてしまいます。つまり、「普通に」自サイトに対しクエリしようとしているものまで落としてしまうことになります。

上の例ではLAN1側でQoSをかけていますが、実はこれには理由があります。単純な帯域制御であればLAN2側でかけてもいいのですが、ひと工夫してサービスをデグレードしないように設定を行います。