DNSのDNSリフレクター攻撃、DDoS攻撃対策



DNSを利用、もしくはDNSを攻撃対象としたDDos対策のために、
オープンリゾルバをやめましょうという話があります。


でも、オープンリゾルバの対策をとっているからと喜んでいても・・・


許可をしているユーザがオープンリゾルバ+フォワーダだと
対策の意味がない（対策が不十分）
実際、いきなりトラフィック量が4倍とかになることも・・・　（ログみると明らかに怪しい）


なので、キャッシュの利用自体にレート制限をかけましょう
（Response Rate Limiting）
キャッシュDNSに限らず、コンテンツDNSにも有効です


でも、利用しているユーザが多いDNSほど、
設定値がいくらが適切なのかわからんよね。
下手すると、時々アクセスできないという苦情が・・(windowsupdate失敗とか）
ユーザが多いと「同一名の問合せ」って率が高まるよね。


なので、InternetWeek2013に行かれるサイフも心も広い人は、
ぜひ議論してください。議論してください。議論してください。
大事なことなので3回言いました。
そして何でも良いので情報広めてください。m(__)m