Contents
1. DNS/脅威/水責め対策
存在しない名前を送ってくるリゾルバーには本来のゾーンサーバとは異なるゾーンサーバへ誘導する返答を返すのではどうか。
- query をdropすると、リゾルバーはqueryをより頻繁に送ってくるので、より多くのバンド幅をとられる。(消耗戦なので、負ける) tinydns-data に与えるデータの変更で対応できる範囲であれば、
- 攻撃を受けたことが分かった時点で切り替えるのでもやれそう。
- nxdomain 返答をするところで、別サーバへのredirection返答を返すように修正したい。
- nxdomain 返答が多いことの監視機能は必要だ。 (wild card 設定が利用できるか)
- wildcard 機能を使っておけば、移転通知機能により、偽の移転通知を付け加えることはできるだろう。
- CNAME を返して、別ドメインに誘導するのでは、トラフィックが増える。でも、警告を転送できる。
- wildcardに該当する返事には嘘の移転通知(NSとglue)を返すのではどうか。
-- ToshinoriMaeno 2015-02-16 17:13:30
2. 共用DNSサービスへの攻撃
共用DNSサービスで収容しているドメインの一部が攻撃された場合には
- 当該ドメインのNSレコードを分離することで、被害の拡大を防ぐことができるだろう。
-- ToshinoriMaeno 2015-02-15 22:44:59
3. リゾルバーでの対策
NXDOMAIN返答を利用すれば、ゾーンサーバへの問い合わせを発生させないですむ場合もあるだろう。
NSレコードの問い合わせに限られるので、大した効果はないか。-- ToshinoriMaeno 2016-03-16 22:11:42