「DDoS に Aレコード削除は禁物」へのコメント

kr-cube (2004年8月6日 16時8分)

どうしてＡレコードを削除するとＩＳＰのＤＮＳが負荷が増大するのか資料を読んでて疑問。

ACCSでレコードが削除されたらNXDOMINが返されるから、

ネガティブキャッシュに登録されてＴＴＬが切れるまでは回避できるような気がするんですが。。。

ばけら (2004年8月6日 16時50分)

>どうしてＡレコードを削除するとＩＳＰのＤＮＳが負荷が増大するのか資料を読んでて疑問。

　これに関してはワーム側の挙動が関係しているのだと思います。

　資料10ページでは

>WebｻｰﾊﾞのFQDNに対する　名前解決要求(Wormが頻繁に繰り返す)

　となっているところ、11ページでは

>WebｻｰﾊﾞのFQDNに対する　名前解決要求　(TTLが経過する都度発生)

　となっています。

　名前解決できた Antinny は DNS クエリを送るのをやめて攻撃に移りますが、NXDOMAIN 応答を受けた場合は延々と DNS クエリを送り続けるということなのでしょう。

kr-cube (2004年8月6日 18時58分)

"名前解決できた Antinny は DNS クエリを送るのをやめて攻撃に移りますが、NXDOMAIN 応答を受けた場合は延々と DNS クエリを送り続けるということなのでしょう。"

うーん、つまりこういうことでしょうか？

①名前解決できた時

ＩＰアドレス応答。ＴＴＬが経過する都度発生。

②名前解決できなかった（Ａレコードを削除された）時

NXDOMAIN応答。ｎｅｇ_ＴＴＬが経過する都度発生。

だとしたら、Ａレコードが削除されても、ＤＮＳ側への影響はあまり変わらないのではと思うのですが。

ＯＣＮのＢＩＮＤのバージョンが古くてネガティブキャッシュ機能がなかったとかと考えたのですが、まさかね。

ばけら (2004年8月6日 19時34分)

>②名前解決できなかった（Ａレコードを削除された）時

>NXDOMAIN応答。ｎｅｇ_ＴＴＬが経過する都度発生。

　仕様的にはそうなのだろうと思いますが、

>ネガティブキャッシュにはTTLが存在しないため，デフォルトでは5分間キャッシュするように設定されている。

　という Windows 2000 Server が DNS キャッシュサーバとして使われていると……とか、そういった実務上の話がいろいろあるのではないかと思います。

「水無月ばけらのえび日記 : DDoS に Aレコード削除は禁物」についてコメントを書く場合は、以下のフォームに記入してください。