2004年7月27日(火曜日)
DDoS に Aレコード削除は禁物
セキュリティホールmemoにこんな話が。
ちなみに、Antinny というウィルスの攻撃を受けた ACCS という組織は「当該 web サーバの A レコードを削除する」という手段に出たのですが、この行為は ISP の DNS サーバに多大なる影響を及ぼしたことが報告されています: ISP における DDoS 対応について~DNS の活用とネットワークの立場から~ (NTT コミュニケーションズ,OCN / JANOG14 発表資料)。同資料には対応方法も記載されていますから、まさかの時のためにも一読しておくとよいでしょう。
以上、セキュリティホールmemo [debian-announce:00043] packages.debian.or.jpの停止のお知らせ より
ACCS の A レコード削除は私も確認していますが、この対処が ISP の DNS サーバにとんでもない負荷をかけたというお話。資料のグラフを見ると、確かに物凄い負荷がかかっていたことが分かります。
※しかし、そのカウントには私の dig によるものも数回分含まれているのだろうと思うと、ちょっと複雑ですが。
結局、ISP 側で blackhole な IP アドレスを返すように設定することで回避したという話が紹介されています。実際には Web サイト側で blackhole を用意して、それを返すようにするのが望ましいという話のようですね。
奥が深いです。
- 「DDoS に Aレコード削除は禁物」へのコメント (4件)
- 前(古い): 2004年7月21日(Wednesday)のえび日記
- 次(新しい): 2004年7月30日(Friday)のえび日記
