## page was copied from DnsTemplate ##master-page:HelpTemplate <> <> = 対策 = NXDOMAIN flood 攻撃は DDoS攻撃の手段のひとつ: DNS サーバーが狙いというよりはネットワークを機能不全にすることが目的なのではないか。-- ToshinoriMaeno <> [[/JPRS]] https://jprs.jp/tech/notice/2006-03-29-dns-cache-server.html https://cybersecurity-jp.com/column/34745 攻撃手段は NXDOMAIN flood attackと呼ばれている。 少なくとも、以下の二種類のサーバーでの対策は分けて考えるべきだ。 * resolver (open resolver ?) * authoritative server router/firewall でのブロックも視野に入れて。 ここでは権威サーバーでの対策を検討する。 == 権威サーバーでの対策 == 1. NXDOMAIN 返答の扱い。 2. NXDOMAIN 返答になる query を多数送ってくる client (resolver) の扱い。 3. rate limiting NXDOMAIN返答は返さなければならないというものでもないので、 単に「返事をしない」という方策もありえます。(よく見かけるようになった。) NXDOMAIN 返答になる queryを一度送っただけでブロックするようなサーバーは見つけていない。 -- ToshinoriMaeno <> 存在しないサブドメインを繰り返し問い合わせてきたIPアドレスを記録しておき、限界を超えたらなんらかの対応をするということは考えられます。 でも、 送信元のアドレスは偽かもしれません。 DNS(権威)サーバーにまで届いたqueryに対して「返事をしない」のはサーバーの負荷を下げることにはつながらないかもしれません。 そういう場合にはサーバーに届く以前の段階で振り分けることも考えなくてはいけません。 サーバー以前の段階と言っても、 DNSサーバーと同様の処理をすることになるでしょうから、複数のサーバーに分散する以上の効果的な方法があるか、疑問です。 午後10:01 · 2023年5月18日 {{{ }}} ---- CategoryDns CategoryWatch CategoryTemplate