## page was renamed from DNS/用語/水責め対策 ## page was renamed from DNS/水責め対策 <> == DNS/脅威/水責め対策 == 存在しない名前を送ってくるリゾルバーには本来のゾーンサーバとは異なるゾーンサーバへ誘導する返答を返すのではどうか。 query をdropすると、リゾルバーはqueryをより頻繁に送ってくるので、より多くのバンド幅をとられる。(消耗戦なので、負ける) tinydns-data に与えるデータの変更で対応できる範囲であれば、    攻撃を受けたことが分かった時点で切り替えるのでもやれそう。 nxdomain 返答をするところで、別サーバへのredirection返答を返すように修正したい。   nxdomain 返答が多いことの監視機能は必要だ。 (wild card 設定が利用できるか) wildcard 機能を使っておけば、移転通知機能により、偽の移転通知を付け加えることはできるだろう。     CNAME を返して、別ドメインに誘導するのでは、トラフィックが増える。でも、警告を転送できる。 wildcardに該当する返事には嘘の移転通知(NSとglue)を返すのではどうか。    tinydnsであれば、location機能を使って、分別するのも有効だろう。 -- ToshinoriMaeno <> == 共用DNSサービスへの攻撃 == 共用DNSサービスで収容しているドメインの一部が攻撃された場合には  当該ドメインのNSレコードを分離することで、被害の拡大を防ぐことができるだろう。 -- ToshinoriMaeno <> == リゾルバーでの対策 == NXDOMAIN返答を利用すれば、ゾーンサーバへの問い合わせを発生させないですむ場合もあるだろう。 NSレコードの問い合わせに限られるので、大した効果はないか。-- ToshinoriMaeno <>