アカウント名:
パスワード:
新情報が無さ過ぎて、誰もコメントを付けないまま4時間。
せっかくなので。
そろそろISPは動的にIPアドレスを割り当てている配下のネットワークから、自社DNS以外に飛んでいく53番ポートのパケットを落とすか、横取りして代理応答するような仕組みを導入する時期に来ていないだろうか。
Public DNSが使えなくなることなんか、こんなDDoS攻撃を防ぐためなら全く構わない。
DNSサーバ側に入ってくるほうで53番をふさぐことは難しいんだから、出ていくほうで止めてくれないと。SMTPの25番を塞いだやり方と考え方は似てるけど。
某プロバイダで数年前に通信障害が発生したが、これは単に彼らの管理下にあったDNSサーバが応答しなくなっただけで、LAN内でDNSサーバ立てると、とりあえずは解決した。そういう経験をしてるので、あまり気の乗らない提案。
ちなみにそのプロバイダは、DDoSに辟易したか、こないだ外部からUDP53に飛んでくるパケットを遮断する挙にでた。(外部向けのコンテンツサーバには通したと思われるが)しかしながら、これにより中で自前のDNSサーバ立ててた客が泣く羽目になった(その後、申し出た者には解除)。
名前解決のために、違うフレームワークが求められているのだろうか。
顧客用のDNSサーバは複数立てるのが普通なので、それでもトラブルが頻発するなら接続業者を変えたほうがいいでしょう。あるいは何年かに一度あるかないか、ほぼないかもしれない障害のために自前DNSを立てたいがために深刻なDDoS攻撃の温床となってしまうことを良しとするか考えましょう。ほんとに必要ならDNSサーバの設置をISPに申請してポートを開けてもらえばいいだけです。
「某」とか言っているからいつまでも改善されないんだよ実名を出せよ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ研究家
ISPによるPort53のフィルタ (スコア:1)
新情報が無さ過ぎて、誰もコメントを付けないまま4時間。
せっかくなので。
そろそろISPは動的にIPアドレスを割り当てている配下のネットワークから、自社DNS以外に飛んでいく53番ポートのパケットを落とすか、横取りして代理応答するような仕組みを導入する時期に来ていないだろうか。
Public DNSが使えなくなることなんか、こんなDDoS攻撃を防ぐためなら全く構わない。
DNSサーバ側に入ってくるほうで53番をふさぐことは難しいんだから、出ていくほうで止めてくれないと。
SMTPの25番を塞いだやり方と考え方は似てるけど。
Re:ISPによるPort53のフィルタ (スコア:0)
某プロバイダで数年前に通信障害が発生したが、これは単に彼らの管理下にあったDNSサーバが応答しなくなっただけで、LAN内でDNSサーバ立てると、とりあえずは解決した。
そういう経験をしてるので、あまり気の乗らない提案。
ちなみにそのプロバイダは、DDoSに辟易したか、こないだ外部からUDP53に飛んでくるパケットを遮断する挙にでた。
(外部向けのコンテンツサーバには通したと思われるが)
しかしながら、これにより中で自前のDNSサーバ立ててた客が泣く羽目になった(その後、申し出た者には解除)。
名前解決のために、違うフレームワークが求められているのだろうか。
Re: (スコア:0)
顧客用のDNSサーバは複数立てるのが普通なので、それでもトラブルが頻発するなら接続業者を変えたほうがいいでしょう。
あるいは何年かに一度あるかないか、ほぼないかもしれない障害のために自前DNSを立てたいがために深刻なDDoS攻撃の温床となってしまうことを良しとするか考えましょう。
ほんとに必要ならDNSサーバの設置をISPに申請してポートを開けてもらえばいいだけです。
Re: (スコア:0)
「某」とか言っているからいつまでも改善されないんだよ
実名を出せよ