dns-penetration-problem-why-can-not-i-say-penetration-kichijojipm152018年7月27日(金)、吉祥寺.pm15でお話した DNS浸透問題「なぜ浸透と言ってはいけないのか」 〜正しい知識と手順を添えて〜 のスライドになります。
DNS: 短いTTLのリスク
(Last Updated On: 2014年12月5日)TTLが短いとDNSキャッシュサーバがドメイン権限を持ったDNSサーバにクエリに行く機会が増える(当たり前ですがDNSキャッシュサーバはTTLで指定された時間だけレコード情報をキャッシュしてドメイン権限を持つDNSサーバにクエリしない)ので危険と言う話。1秒に一回キャッシュを更新するほうが1時間に一回キャッシュを更新するよりDNSキャッシュ汚染が行いやすくなる、という当たり前の事です。DNSキャッシュが汚染可能である事、その汚染の仕組みを知らない方には思いがけないリスク増加かもしれません。 7ページ目に記載されている数式だけではどれが何だか分かりませんが、Nはポート数を表しているはずです。ポートが固定されていると16^2の組み合わせしかない、と言う話は良く知られていると思います。DNSを管理している人なら誰でも知っていると思いますが
Kazuho@Cybozu Labs: DNS ラウンドロビンと高可用性 (High Availability)
« brainf*ck でマジメに素数探索 | メイン | Brainf*ck で動的リスト » 2006年06月29日 DNS ラウンドロビンと高可用性 (High Availability) ウノウラボ Unoh Labs - ベンチャー流サーバ構築のススメ(ネットワーク編) について。 おもしろく読ませていただきました。また、監視系を導入せずに自律的に動作させようという発想も大好きです。 でも、 DNSは各回線の内側に設置しておきます。例えば上図のような場合、回線A側のDNSは回線AのIPアドレスを返すようにして、回線B側のDNSは回線BのIPアドレスを返すようにします。こうするとどちらかの回線が切れたときは切れたほうの回線のDNSにアクセスできなくなるので、自動的に生きている方の回線に接続されるようになります。 (ウノウラボ Unoh Labs - ベンチャー流サーバ構築のススメ(
(ひ)メモ - そんなわきゃない>DNS RRはロードバランサの座を奪い返せるか
チープなDNSラウンドロビンは高価なロードバランサの座を奪い返せるか つっこみどころが満載スギなのは脇においておいて、金をかけないなら、DNSラウンドロビンじゃなくて、せめて、件の記事でも紹介されている Apache 2.2のmod_proxy_balancer か、Apache 2.2じゃなくても使えるreverse proxy系の実装たち、 POUND mod_backhand Perlbal を使うべきでしょう。 んで、「L7ロードバランサ(要はreverse proxy)なんていらねっす。セッション? んなのmemcachedでシェアすりゃいいんじゃん。その方がスケールアウトしやすいしー」という向きには、LinuxでL4のロードバランサするのをオススメでします。まともなL4ロードバランサが手に入るのに、金銭的コストはゼロですってよ、オクサン! Linux Virtual Serve
「国内のDNSサーバーが攻撃の踏み台に,管理者は対策を」,JPCERT/CC
JPCERTコーディネーションセンター(JPCERT/CC)は3月29日,国内のDNSサーバーがDDoS(分散サービス妨害)攻撃の踏み台になっているとして注意を呼びかけた。DNSサーバーの管理者は,適切なアクセス制限が設定されていることを確認したい。適切な設定方法などについては,日本レジストリサービス(JPRS)が情報を 公開している。 DDoS攻撃の踏み台になっているのは,キャッシュ・サーバーとして使われているDNSサーバー。JPCERT/CCによると,DNSの再帰的な問合せ(recursive queries)を使ったDDoS攻撃に国内のDNSサーバーが利用されているとの報告が,海外のセキュリティ組織から寄せられているという。 DNSサーバーの管理者は,攻撃の踏み台にされないよう対策を施す必要がある。具体的には,再帰的な問合せを受け付ける範囲を確認し,不要な問い合わせは受けつかないよう
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
