DNS amp
いま、F1を見ながらこのブログを書いているのですが、久しぶりに見応えがあるレース展開です。やはり、トップを争うドッグファイトがないとレースはつまらないですね。
さて、前回、「DNSの再帰的な問合せを使ったDDoS攻撃」についての話を振りましたが、これはsmurf amp(攻撃)のひとつで、そのDNS版というところです。 今回はキャッシュサーバが問題として取り上げられていますが、実はコンテンツサーバのほうが怖いかもしれません。この件についてどこかにいい資料は落ちていないかを調べてみたのですが、INTERNET WEEK 2005の「セキュリティホール memo BoF」でIIJの松崎さんが話題にしていました。「DNS を利用した amp には数 Gbps~ 20Gbps の送出能力がある」ということですから、ばかにできません。あとは、「Report on DNS Amplification Attacks」にあるPDFがまとまりという点ではいい資料のようです。
で、この件に関して簡単に説明しようとするというのは思ったよりも難しいです。/(^^; ごめんなさい。
問題点を羅列するだけならいくつかできるのですが、きちんとした対策を示さないと不安を与えてしまうだけですよね……。ちょっとどこかで時間を作ってまとめてみますが、このへん、どなたか対策情報をいただけると嬉しいです(特に、コンテンツサーバのケースで)。
あと、別件。スパムの発信国で中国が2位にあがってきました(“スパム産出国”ランキング、中国が韓国を抜く)。このペースだと、アメリカを抜いて1位になるのも時間の問題な気がします。それと、4/21にJPCERT/CCが「JPCERT/CC 活動概要 [ 2006年1月1日 ~ 2006年3月31日 ] 」を発表しました。インシデント報告などがまとめられていますので、一度目を通してみるといいと思います。