見抜く力を!データを見て対策を考える(権威サーバ)

Similar documents
目次 1 本マニュアルについて 設定手順 (BIND 9 利用 ) 設定例の環境 設定例のファイル構成 named.conf の設定例 逆引きゾーンの設定例 動作確認 ( ゾーン転送 )

学生実験 3 日目 DNS IP ネットワークアーキテクチャ 江崎研究室

DNSの負荷分散とキャッシュの有効性に関する予備的検討

キャッシュポイズニング攻撃対策

−uDNSƒzƒXƒeƒB?ƒOƒT?ƒrƒX−v??ƒU?ƒ}ƒj?ƒA?_

PowerPoint プレゼンテーション

2014 年電子情報通信学会総合大会ネットワークシステム B DNS ラウンドロビンと OpenFlow スイッチを用いた省電力法 Electric Power Reduc8on by DNS round- robin with OpenFlow switches 池田賢斗, 後藤滋樹

権威DNSサーバ 脱自前運用のススメ

BIND9.9から9.11へ移行のポイント(権威DNSサーバー編)

DNSSEC性能確認手順書v1.2

rndc BIND DNS 設定 仕組み

rndc BIND

UNIVERGE SG3000 から SG3600 Ver.6.2(2012 年モデル ) への 移行手順 All Rights Reserved, Copyright(C) NEC Corporation 2017 年 11 月 4 版

提案書タイトルサブタイトルなし(32ポイント)

Microsoft PowerPoint Windows-DNS.pptx

DNS(BIND9) BIND9.x のエラーをまとめたものです エラーと原因 ジオシティーズ容量大幅アップ セキュリティならお任せ! マイクロソフト 少ない初期導入コストで クラウド環境を構築! Ads by Yahoo!JAPAN 主にゾーン転送に関するエラー

2 注意事項 教材として会場を提供していただいている ConoHa さんのドメイン名とその権威ネームサーバを使 用しています conoha.jp ns1.gmointernet.jp

PowerPoint プレゼンテーション

DNSサーバー設定について

ISP技術者SWG報告書 およびその後の検討状況

untitled

9 WEB監視

2017/8/2 HP SiteScope software 監視機能対応表 この監視機能対応表は HP SiteScope software v11.33) に対応しています モニタ モニタ説明 モニタ説明 SiteScope for Windows SiteScope for Linux ネット

VPS マニュアル p. 1

DNS浸透の都市伝説を斬る~ランチのおともにDNS~

WebOTXプロファイラを使用したメモリリーク調査方法

6-2- 応ネットワークセキュリティに関する知識 1 独立行政法人情報処理推進機構

McAfee Application Control ご紹介

HDE Controller X 1-5. DNS サーバー

商用監視ソフトウェアユーザの Zabbix 移行へ朗報 Zabbix Event Viewer のご紹介 【本邦初公開】

ダンプ取得機能強化サポートオプション Enterprise Edition

Microsoft PowerPoint - BIND9新機能.ppt

Microsoft PowerPoint - private-dnssec

DNSSEC の仕組みと現状 平成 22 年 11 月 DNSSEC ジャパン

058 LGWAN-No155.indd

目次 1. サービス概要 提供機能... 2 DNS ゾーン... 2 正引き 逆引き... 2 レコードタイプ... 2 初期ゾーン... 3 コントロールパネル操作メニュー一覧 コントロールパネル ユーザ認証 ドメイン所有者確認

アプリケーション インスペクションの特別なアクション(インスペクション ポリシー マップ)

日本語ドメイン名運用ガイド

KiwiSyslogServer/KiwiLogViewer製品ガイド

1 TCP/IPがインストールされていて正常に動作している場合は ループバックアドレィング5.3 ネットワークのトラブルシューティング スでリプライが返ってきます リプライが返ってこない場合 なんらかの原因でサービスが無効になっていたり TCP/IPプロトコルが壊れていたりする可能性があります 2

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

e164.arpa DNSSEC Version JPRS JPRS e164.arpa DNSSEC DNSSEC DNS DNSSEC (DNSSEC ) DNSSEC DNSSEC DNS ( ) % # (root)

<4D F736F F D208BB388E78CA48B B838B F ED2837D836A B E64726F E34816A5F E646F6378>

目次 1. サービス概要 提供機能... 2 DNS ゾーン... 2 正引き 逆引き... 2 権威ネームサーバへの反映... 2 レコードタイプ... 2 初期ゾーン... 3 GUI 操作メニュー一覧 エンドユーザ GUI ユーザ認証... 4

PowerPoint Presentation

ServerView Resource Orchestrator V3.0 ネットワーク構成情報ファイルツール(Excel形式)の利用方法

キャッシュサーバの設定

Root KSK更新に対応する方法

PowerPoint プレゼンテーション

RS_Base のインストールをおこなう前に パソコンの設定とネットワークの設定 RS_Base は 1 台の PC だけでももちろん使用できますが ネットワーク上の複数の PC でクライアント / サーバ方式の運用も可能です ここでサーバとは RS_Base のデータを保存する PC という意味で

目次 はじめに Page. 3 1 ログイン方法 4 2 監視設定 5 3 監視設定の変更 削除 18 4 性能情報確認 24 5 問い合わせ先 27 ご参考 動作環境について 28 改版履歴 29 Page 2 NEC Corporation 2014

データベース暗号化ツール「D’Amo」性能検証

CommCheckerManual_Ver.1.0_.doc

サービス内容 サービス内容 ドメインサービス Web サービスのサービス内容についてご案内します このたびは ドメイン /Web サービスをお申し込みいただきまして 誠にありがとうございます 本冊子は ドメイン /Web サービスの運用を管理される方向けの内容で構成されております お客様のご利用環境

Microsoft Word - ssVPN MacOS クライアントマニュアル_120版.doc

ライフサイクル管理 Systemwalker Centric Manager カタログ

DNSとメール

データセンターの効率的な資源活用のためのデータ収集・照会システムの設計

1 本ドキュメントが想定するネットワーク環境 本ドキュメントが想定するネットワーク環境を図に示す 各種モダリティで撮像した DICOM データは DICOM サーバに送信され データベースに登録される クライアントパソコンには InVesalius がインストールされている これらの機器はすべてネッ

2010年4月~6月 協業実績報告

スライド 1

Microsoft PowerPoint - kiwi_productguide v9_rev2.7.ppt

2015年10月24日 OSC 2015 Tokyo/Fall Linuxシステムをもっと安全で便利に 冗長化システムのご紹介 PowerDNSも冗長化しました 株式会社デージーネット OSS研究室 大野 公善

R80.10_FireWall_Config_Guide_Rev1

登録フォーム/IIJ DNSサービス編

目次 はじめに サービス内容 管理者機能 利用者機能

クラウドDNS へのネームサーバー切替手順

アジェンダ はクラウド上でも十分使えます 1. の概要 とは の導入事例 で利用される構成 2. をクラウドで使う クラウドサービスの分類 Amazon Web Services による構成例 2

BIND 9 BIND 9 IPv6 BIND 9 view lwres

Windows10の標準機能だけでデータを完全バックアップする方法 | 【ぱそちき】パソコン初心者に教えたい仕事に役立つPC知識

ブロードバンドルータにおける問題(オープンリゾルバ)の解説、対策の説明

上位 DNS の設定 YaST > Network Device > Network Card > HostName and DNS Server を開き DNS サーバとなる自分自身と上位となる ( プロバイダの指定 あるいは社内のマスター )DNS サーバを確認します この結果は /etc/re

スライド 1

Arcserve Replication/High Availability 製品の仕組み

Real4Dumps Real4dumps - Real Exam Dumps for IT Certification Exams

PowerPoint プレゼンテーション

Transcription:

見抜く力を! データを見て対策を考える ( 権威サーバ ) Internet Week 2016 2016/12/01 GMOインターネット株式会社永井祐弥

本日のアジェンダ 自己紹介 データとは? データの取り方 データを見てますか? データを見て対策を考える まとめ おまけ 1

自己紹介 名前 永井祐弥 ( ながいゆうや ) 所属 GMO インターネット株式会社 システム本部インフラサービス開発部 担当 2012 年に GMO インターネットへ入社 お名前.com ConoHa Z.com の DNS や GMO インターネットグループ会社でレジストリシステムの DNS など DNS 関連サービスの開発 運用を担当 2

GMO インターネットって? このようなサービスを提供しています ドメイン名事業 お名前.com Z.com Domain サーバ事業 ConoHa Z.com Cloud など DNS サービスの種類も多数 権威 DNS サーバ レンタルDNS(85 万ゾーン 760 万レコード ) セカンダリDNS(7 千ゾーン ) ドメインパーキング キャッシュ DNS サーバ VPS 向け (6 万サーバ ) 3

データとは? データの主な意味 ( 辞書から引用 ) データ 資料 ( 観察や実験による ) 事実 知識 情報 データに含まれるもの データログ 統計情報 分析レポート データから得られるもの 稼働状況 需要予測 攻撃兆候 4

データを取得するその 1 ネームサーバのロギング機能 BIND 9.x 系 クエリログあり (File Syslog) PowerDNS 3.x 系 クエリログあり (Syslog のみ ) NSD クエリログなし KnotDNS クエリログなし 監視においても重要な役割 但しクエリログはパフォーマンスに影響する 5

データを取得するその 2 ネットワークパケットキャプチャ DNS statistics collector (DSC) Men & Mice DNS Traffic Monitor momentum DNS viewer アプリケーションの種類に依存しない クエリログが取れない NSD や KnotDNS でも動作 パフォーマンスに影響しない データ取得環境をネームサーバと分けて用意出来る フラグメントパケットや キャプチャを設置する箇所によっては拾いきれない場合あり 6

データを取得するその 3 dnstap high speed DNS logging without packet capture 対応済みアプリケーション BIND 9.11 Unbound 1.5 KnotDNS 2.x 対応計画中 NSD PowerDNS 7

データを取得するその 4 Nagios Munin Cacti などリソース監視を目的としたツール類 ネットワークの帯域 サーバの CPU メモリ ディスク I/O が不足していると 期待しているパフォーマンスが十分に発揮しない場合がある 外部モニタリングサービス 外部ネットワークから到達性や遅延などを監視 SLA を保証する DNS サービスでは必須 8

データを見てますか? そもそもログを取っていない ログの存在を知らなかった ログの取り方がわからない ログを取りたいけど取れない ログなんて必要ない!( キリッ ログは取ってるけど 見方がわからない 見る頻度が少ない 見たいけど見れない 見る必要なんてない!( キリッ 9

データを見てますか? 続き 余程の事がない限り DNS サーバは動き続ける 異常が発生しないと気がつかない 異常のしきい値は一定ではない 監視ツールで全てをカバーするのは難しい 日頃からクエリの傾向を掴んでおくことが大切 いつもと違う を感じられるようになること 10

データを見てますか? 続き 見るべきポイント ピーク時のデータ クエリ数がキャパシティを超えそうになっていませんか? リソース (CPU/ メモリ / 帯域 / ) は足りていますか? 応答ステータス (RCODE) SERVFAIL/REFUSEDなど増えていませんか? NOERRORでもANYレコードばかり来ていませんか? ログ エラーメッセージが記録されていませんか? 11

データを見て対策を考える 事象発生 データを見て事象を認識する 原因調査 事象が発生した理由や原因を調査する 対策実施 異常がある場合は対策を行う 監視 ( 検知 ) 事象が発生した事を検知する 12

データを見る前の注意事項! これから紹介する内容は架空のネームサーバの出来事です 実在する DNS サービスやネームサーバとは一切関係ありません グラフは DSC のデータを元に話を進めます 13

データを見る ( ケース 1) 権威 DNS サーバが RCODE を SERVFAIL/REFUSED で返すケース 14

データを見る ( ケース 1) 原因 Lame Delegation 理由は様々だがこの権威 DNS サーバからゾーンが削除された 消えたレコードを求めてクエリが増加 傾向 メールサービス関係は特に注意が必要 退蔵されるドメイン名に多い傾向がある 15

データを見る ( ケース 1) 対策 ネームサーバ情報を変更 あるいは削除 ゾーンを設定する ( ネガティブキャッシュさせる ) 検知 SOA レコード NS レコードがあればよい プライベートネットワークで使われていることもあるので注意 統計情報を出して REFUSED/SERVFAIL のカウント値を計測する DSC なら Rcodes のグラフを参照する 16

データを見る ( ケース 2) 権威 DNS サーバが RCODE を NXDOMAIN で返すケース ランダムサブドメイン名で大量のクエリ 17

データを見る ( ケース 2) 原因 水責め攻撃 キャッシュ DNS サーバも辛いけど 権威 DNS サーバも辛い 権威 DNS サーバは異常なクエリを IP アドレスでフィルタしてはいけない 傾向 キャッシュ DNS サーバからの正常なクエリも落としてしまう 不定 ( ある日 突然 ) SNS に犯行声明が投稿される場合もある 18

データを見る ( ケース 2) 対策 退避用の権威 DNS サーバを用意して 水責め攻撃を受けているドメイン名をそちらに誘導する DNS サーバ引っ越しの原理を応用 ネームサーバの変更 / 削除を行う 検知 権威 DNS サーバがどう頑張っても耐えられない場合の緊急手段 元に戻すことを考えると合理的ではない qps(query per second) の増加を検知する DSC なら以下のグラフを参照する By nodes 2nd Level Domains / 3rd Level Domains 19

データを見る ( ケース 3) 事象 Slave のネームサーバ (BIND 9) が起動するまでに時間がかかる あるいはゾーン転送を始めるまでに時間がかかる rndc コマンドで状態を見てみると root@server:~# rndc status version: 9.9.x number of zones: 12345 debug level: 0 xfers running: 100 xfers deferred: 0 soa queries in progress: 4321 recursive clients: 0/0/1000 20

データを見る ( ケース 3) 原因 ゾーン転送処理中のキューが Master のネームサーバが応答しない等の理由でタイムアウトを待っている タイムアウトが解消されないと次のゾーン転送処理が開始されない 傾向 多数の Master や ゾーンが登録されるような環境で 発生しやすい 21

データを見る ( ケース 3) 対策 不要なゾーンを設定ファイルから定期的に削除する チューニングを行う 検知 タイムアウトを短くする max-transfer-time-in max-transfer-idle-in 同時ゾーン転送数を大きくする transfers-in transfers-per-ns tcp-clients ゾーンの更新頻度を下げる min-refresh-time, min-retry-time rndc status soa queries in progress が増えすぎていないか 22

データを見る ( ケース 4) 事象 毎日決まった時間に大量のクエリが届く クエリログを見るとリスト検索しているような形跡 23

データを見る ( ケース 4) 原因 クローラからの名前解決 傾向 ドメイン名の不正利用の監視 リソースレコードの監視 WEB サービス ( 検索エンジン / アフェリエイト / ) 大量のドメイン名を保有するネームサーバで 発生しやすい ドメイン名のネームサーバを大量に設定した直後は特に発生しやすい ( 新 gtld 系 ) 24

データを見る ( ケース 4) 対策 パフォーマンスに影響するようなら権威 DNS サーバを増強 DNS 的には正規のクエリ 相手がクローラとはいえ攻撃ではないのでフィルタは厳しい 接続元管理者に問い合わせ 検知 クローリングをやめてもらう 頻度を減らしてもらう qps の増加を検知する DSC なら By Nodes のグラフを参照する 25

まとめ データを取ろう! 日々のデータの積み重ねが大事 データの管理も忘れずに データを見よう! 異常はデータに現れる いつもと違う を感じられるようになろう 対策を考えよう! データから異常を検知しよう 検知した後の手順や対応方法を決めておこう 取得するデータや 監視のしきい値を定期的に見直そう 26

おまけ DSC のススメ お手軽 簡単 見たいものが最初から揃っている 説明資料にグラフの画像が使える 収集したデータは XML ファイルや JSON ファイルに保存されるので 自作ツールでアレコレやり放題 1 分毎にファイルが作成される 記録されるのは 1 分間の累計値 (count) 秒間の値は累計値から 60 で割る <ClientAddr val="x.x.x.x" count="123456"/> <SecondLD val="example.test" count="1234"/> <ThirdLD val="sub.example.test" count="1234"/> 27

2026 © docsplayer.net プライバシー | 利用規約 | フィードバック