差分

DNSamp対策

340 バイト追加, 2018年6月22日 (金) 10:53

編集の要約なし

[[カテゴリ:セキュリティ]]

=何をやられるのか？=

DNSampはオープンリゾルバを狙ったDOS攻撃のひとつです。DNSサーバに対して別名ドメインのクエリを行い、その時に得られる応答が「なるべく長いもの」を要求するDOSです。

○<-DNS Query

もちろん内からは問いあわせなければいけないので、内から外へのクエリは通します。これで少しは安心なのですが、大量のクエリ、すなわちUDPのショートパケットを投げつけられると、家庭用のルータではちょっと性能が心配になります。もちろん内からは問いあわせなければいけないので、内から外へのクエリは通します。これで少しは安心なのですが、大量のクエリ、すなわちUDPのショートパケットを投げつけられると、家庭用のルータではちょっと性能が心配になります<br><br>'''追記：『普通の』アクセスルータでも入力(WAN)側のフィルタが適切でないと外からのDNSクエリに応答するものがありました。ということは単なるアクセス回線しか持っていなくてもDNSampに荷担する可能性があります。'''

=サーバを運用している場合の対策(ヤマハルータを使った対策)=

サーバを運用している場合にはオープンリゾルバになっていなければ、外から問いあわせされてもRefusedで返るので特に問題ない「気」はします。ですが、当然ながら猛烈なトラフィックを食らうと他のサービスに影響する可能性があります。でまあ、何といってもやっかいなのが、そこそこ性能のあるルータがないと戦えないという点なのですが・・・<br>