おはようございます。インフラ宮下です。

ビックデータ時代様々なデータやグラフがあふれかえってます。
そんなグラフに関するお話です。

はじめに

インフラ運用で使う実際のグラフを使って、どのような事が起きていてどんな対処が必要になるのかを見ていきたいと思います。

使うグラフ

muninでbindのクエリ統計をとったグラフです。
OSはCentOS release 5.9になります。

問題点

グラフの色はクエリタイプ毎に分類されているのですが、AM8時前までで一番多いのはANYレコードです。
これは「DNS AMP攻撃」が行われた形跡です。

ISPにおけるDoS/DDoS攻撃の検知・対策技術
DNS Amp攻撃の解説と、踏み台にされないためのBIND DNSの設定

対応策

今回は意図的に対策していないBindを利用している為、攻撃にさらされてしまいました。
DNS AMP攻撃がひどいのが、勝手にトラフィックを使って他人を攻撃してしまっているので本人に悪気が無くても加害者になってしまいます。
対策は既に出回っていますが、bindバージョンアップして再帰的問い合わせを実施しないか、クエリを受け付けるNWを制限するというのが一般的です。
あとはCentOS6系であればiptablesで特定ドメインのクエリを止める事が出来ます。
（出来るのはCentOS6以上）

NSサーバへのANY? . な連続リクエスト対応
DNSアタックとiptablesフィルタ

実際のANYリクエストで多いのは「isc.org」だと思います。どちらかと言うと長期間にわたってじんわりと来る感じ。
その他では「uspsoig.gov」や「defcon.org」「doleta.gov」が最近良く目にします。

先程のiptablesでブロックする方法は、
DNS Amplification Attacks Observer
など情報は出回っていますのでサービスに影響が出ない範囲で実施してみてください。

注意しなければいけない点としては、qmailがメール送受信時の名前解決にANYレコードを引いてくるので何でもかんでもANYははじいてしまうとメール障害となってしまいます。
qmailとDNSSEC
<a http://mediakisslab.net/doku.php?id=linux:qmail:memo” target=”_blank”>DNSSEC対応

さいごに

昔は自前でDNSサーバをたてて、そのまま放置して今も稼働しているなんて言うケースはどこでもあると思います。
（むしろ外部サービスとかで使われているDNSはきちんと担当の方がいて健全に運用している気がします）
グレイな環境で手が出ないオープンリゾルバなDNSは怖いですな。
（昔はメールの不正中継の方が花形だったのに…）