DNSのDNSリフレクター攻撃、DDoS攻撃対策
DNSを利用、もしくはDNSを攻撃対象としたDDos対策のために、
オープンリゾルバをやめましょうという話があります。
でも、オープンリゾルバの対策をとっているからと喜んでいても・・・
許可をしているユーザがオープンリゾルバ+フォワーダだと
対策の意味がない(対策が不十分)
実際、いきなりトラフィック量が4倍とかになることも・・・ (ログみると明らかに怪しい)
なので、キャッシュの利用自体にレート制限をかけましょう
(Response Rate Limiting)
キャッシュDNSに限らず、コンテンツDNSにも有効です
でも、利用しているユーザが多いDNSほど、
設定値がいくらが適切なのかわからんよね。
下手すると、時々アクセスできないという苦情が・・(windowsupdate失敗とか)
ユーザが多いと「同一名の問合せ」って率が高まるよね。
なので、InternetWeek2013に行かれるサイフも心も広い人は、
ぜひ議論してください。議論してください。議論してください。
大事なことなので3回言いました。
そして何でも良いので情報広めてください。m(__)m