権威DNSサービスへのDDoSと ハイパフォーマンスなベンチマーカ YAPC::Kyoto 2023 at Kyoto Research Park 2023/03/19
JANOG51発表資料 https://www.janog.gr.jp/meeting/janog51/dns/ 2017年のJANOG39にて弊社から「DNS権威サーバ向けのDDoS攻撃対策をした話~さくらインターネット編~」というプログラムを行い、実際に発生した障害やその後の取り組みを共有し、DNS権威サーバ向けのDDoS対策について議論いたしました。 それから5年経ちクラウドファースト、クラウドバイデフォルトなどと言われるようにクラウドサービス前提にシステムの構築運用がなされるようになり、DNSにおいても例外なくクラウドサービスが使われ、その重要度がますます高まっております。 その中で2022年にさくらのクラウドのDNS権威サーバサービスにDNS水責め攻撃が発生し、L7ファイアウォールの導入、dnsdistなどサーバ上のミドルウェアで攻撃を緩和する対策、またメトリクス取得の強化を行い
こんにちは。X(クロス)イノベーション本部 ソフトウェアデザインセンター セキュリティグループの耿です。 Route 53 Resolver DNS Firewall を使ってみた話です。VPCのセキュリティグループや AWS WAF と比較すると話題になることが少ないサービスですが、簡単に導入でき、多層防御の手段の一つとして有効であると感じたため、使ってみた際に考えた現実的な設定方法を書き残したいと思います。 Route 53 Resolver とは Route 53 Resolver DNS Firewall とは フェールクローズとフェールオープン Route 53 Resolver DNS Firewall で防げるもの、防げないもの 準備:Resolver Query Log の出力 準備:サブスクリプションフィルターで Alert / Block ログを通知する 基本編:拒否リ
こんにちは、技術開発室の滝澤です。 先月(2022年7月)、『Software Design 2022年8月号』の特集記事『WebエンジニアのためのDNS速習講座』に『第2章:DNSの構成要素と名前解決のしくみ』という記事を寄稿しました。第1章でも滝澤が趣味で作成した資料『ドメイン名の歴史』が参考文献として掲載されていました。よい機会なので、ドメイン名ができるまでの歴史について文章としてまとめようと思い、この本ブログ記事を書きました。 なお、筆者自身はインターネットの原型であるARPANETや80年代のインターネットをリアルタイムには体験してはいないため、RFC(Request for Comments)やインターネット上にある当時のホストのアーカイブを元に調査した内容をまとめたものになります。 ARPANETの時代 1969年から1980年代初期にかけてのインターネットの原型となったAR
待つ必要のない客を待たせる (客を騙す行為) 騙されていることに気づかない サービスの問題点に気づかない (キャッシュ・コンテンツ兼用など) ... 実例 適切な設定確認を怠る (まず委任元と権威サーバを非再帰問い合わせで確認) 不適切な確認でネガティブキャッシュを入れて自爆する (いきなりキャッシュサーバに再帰検索要求) 待った上でしか設定ミスや障害を疑わない そもそもいつまで待てばいいのかわからない (自分から見えたら浸透完了? 例えば30日待ちますか?) 浸透待ちで睡眠不足になる (人的コストの無駄遣い) DNS の仕組みの理解が進まない 間違った理解の浸透と定着に手を貸す 「浸透いうな」と言われて悲しい目にあう (あるいは逆切れしてさらに無知を晒す) 確実に同じ失敗を繰り返す etc. (募集中) 浸透いうな!
What is it? CoreDNS is a DNS server. It is written in Go. It can be used in a multitude of environments because of its flexibility. CoreDNS is licensed under the Apache License Version 2, and completely open source. Development takes place on Github. Some devs hang out on Slack on the #coredns channel. Plugins CoreDNS chains plugins. Each plugin performs a DNS function, such as Kubernetes service
I was reading an article from Brian Krebs about the Real Jokers Stash and the crazy stuff that goes into the darkweb / cybercrime forums that sell and buy credit cards and personal information online. Reading through his site, I also found an interesting article about typo domains redirecting visitors to a "crap load of bad content" (if I have to say it nicely). A group of criminals registered dom
A couple of months ago I did a performance comparison between some of the top free DNS Resolvers available. It was just after Quad9 had launched and I was trying to decide which one to use and recommend to families and friends. Google, OpenDNS, Quad9, .. some many options… I love options … And things just got better. CloudFlare, one of the companies that know the most about Internet performance re
だいぶ昔に同僚にBINDドキュメントを読むのがよいと言われたときに調べたことを社内wikiで発掘した。この手順では、NSレコードセットに新旧の権威サーバが含まれた中間状態を作ることになっていて、丁寧。実際は、JPRSのガイド に沿っていればだいたいうまくイメージ。 Q: How to change the nameservers for a zone? A: Step 1: Ensure all nameservers, new and old, are serving the same zone content. Step 2: Work out the maximum TTL of the NS RRset in the parent and child zones. This is the time it will take caches to be clear of a parti
You have been redirected here because the page you are trying to access has been archived. AWS re:Post is a cloud knowledge service launched at re:Invent 2021. We've migrated selected questions and answers from Forums to AWS re:Post. The thread you are trying to access has outdated guidance, hence we have archived it. If you would like up-to-date guidance, then share your question via AWS re:Post.
HAProxy 1.8 and newer allows you to use DNS service discovery to detect server changes and automatically apply them to your configuration. HAProxy is a mature, high-performance software component that’s been reliably serving the load balancing and ADC markets for over 15 years now. Over time, the role and functionality required from HAProxy have evolved significantly. When HAProxy was first releas
DNSViz is a tool for visualizing the status of a DNS zone. It was designed as a resource for understanding and troubleshooting deployment of the DNS Security Extensions (DNSSEC). It provides a visual analysis of the DNSSEC authentication chain for a domain name and its resolution path in the DNS namespace, and it lists configuration errors detected by the tool. Your feedback is appreciated.
EngineeringDNS Infrastructure at GitHubAt GitHub we recently revamped how we do DNS from the ground up. This included both how we interact with external DNS providers and how we serve records internally to… At GitHub we recently revamped how we do DNS from the ground up. This included both how we interact with external DNS providers and how we serve records internally to our hosts. To do this, we
A protocol to improve DNS security DNSCrypt clients for Windows DNSCrypt clients for macOS DNSCrypt clients for Unix DNSCrypt for Android DNSCrypt for iOS DNSCrypt for routers DNSCrypt server source code Support Current stable DNSCrypt client version: 1.9.5 Current stable DNSCrypt server version: 0.3 [Nov 1, 2017] Simple DNSCrypt 0.4.3 released! DNSCrypt is a protocol that authenticates communicat
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く