タグ

dnsと*networkに関するkiririmodeのブックマーク (4)

  • 分散サービス拒否(DDoS)攻撃を仕掛けるDNS ampとは?

    DNS amp攻撃では、インターネットからアクセス可能なDNSキャッシュ・サーバを踏み台にしてDDoS攻撃を仕掛ける。踏み台として利用されないためには、インターネットからキャッシュ・サーバが利用できないようにする。それにはアクセス制御を行うか、コンテンツ・サーバと分離して運用する。 解説 ●DNSサービスを使った分散サービス拒否攻撃、「DNS amp」の発生が懸念 インターネット上での名前解決サービスを提供するDNSは、インターネットにおける非常に基的なサービスであるが、これを利用した大規模な分散サービス拒否攻撃(DDoS攻撃)の発生が懸念されている。細工したDNS要求をBOT(攻撃を行うコンピュータ)に送ると、対策の施されていないDNSサーバを“踏み台(攻撃の足がかり)”にして、攻撃対象に大量のDNSパケットが送信される。これにより、処理能力やネットワーク回線が混雑、飽和し、正常な利用

    分散サービス拒否(DDoS)攻撃を仕掛けるDNS ampとは?
  • カミンスキー氏が発表したDNSアタック手法と対策例 ― @IT

    カミンスキー氏が発表したDNSアタック手法と対策例:DNSキャッシュポイズニングの影響と対策(前編)(1/4 ページ) 2008年7月に公開されたDNSキャッシュポイズニングの脆弱性。DNSの仕様に深く関係するこの手法に対して、エンジニアはどのように対策を打つべきでしょうか。この脆弱性の質的な問題と対策、そして私たちが考えなくてはならないセキュリティの心構えなど、2回に分けてお送りします(編集部) ※ご注意 記事に掲載した行為を自身の管理下にないネットワーク、コンピュータに行った場合は、攻撃行為と判断される場合があり、最悪の場合、法的措置を取られる可能性もあります。また、今回紹介するツールの中には、攻撃行為に利用されるという観点から、アンチウイルスソフトにウイルスとして検出されるものも存在します。このような調査を行う場合は、くれぐれも許可を取ったうえで、自身の管理下にあるネットワークや

    カミンスキー氏が発表したDNSアタック手法と対策例 ― @IT
  • スレーブ・サーバのゾーン転送とセキュリティ

    マスター/スレーブの同期 ゾーン転送の強制実行(DNS NOTIFYの使用) ここまでに紹介したゾーン転送の方法では、スレーブがきっかけを作る必要があります。つまり、マスター・サーバのデータを更新しても、スレーブからゾーン転送要求が行われるまでタイムラグが発生してしまいます。 更新頻度によってはSOA中の「リフレッシュ間隔」で調整できますが、ゾーンファイルが頻繁に更新される場合は、タイムラグを最小限に抑えられる別の手法が必要です。それがBIND 9の「DNS NOTIFY」です。DNS NOTIFYは、マスターのゾーンファイルが更新されたことを検知すると、スレーブ・サーバに更新通知を送ります。スレーブは更新通知元がマスター・サーバか否かを確認し、ゾーン転送を開始します。 DNS NOTIFYを実装する前に、BIND管理コマンドrndcについて触れておきます。 rndcはBIND 8のndc

    スレーブ・サーバのゾーン転送とセキュリティ
    kiririmode
    kiririmode 2009/08/15
    zone転送をrsyncで代用するとな。
  • チープなDNSラウンドロビンは高価なロードバランサの座を奪い返せるか:Web屋のネタ帳 on CNET - CNET Japan

    結論。DNSラウンドロビンという古くからある技術を取り巻く状況の変化を見過ごしている結果、負荷分散と可用性確保のために高価なロードバランサー機器を導入しているWebサイトは、実は大幅に金を無駄にしているのかもしれない。 一部の人には「今頃気がついたか」と笑われる可能性が高い話だ。 筆者が気づいたきっかけはとあるブログに書かれたこんな一節である。 あまり知られていないことかもしれませんが、DNS があるホスト名に対して複数の IP アドレスを返した場合、多くのウェブブラウザは、その全てのアドレスに対して接続を試みます (接続に成功するまで)。 Kazuho@Cybozu Labs: DNS ラウンドロビンと高可用性 (High Availability) 「えっ?そうだったの?だとすれば、、、」というのが筆者の素直な感想である。これだけでピンと来ている人はいいのだが、詳しくない人のために

  • 1