DNSSEC性能確認手順書v1.2

Similar documents
Microsoft PowerPoint - private-dnssec

スライド 1

DNSSEC技術実験報告書

DNSSEC機能確認手順書v1.2

スマート署名(Smart signing) BIND 9.7での新機能

DNSのセキュリティとDNSに関する技術

DNSSECの基礎概要

Microsoft PowerPoint - BIND9新機能.ppt

DNSSEC運用技術SWG活動報告

ご挨拶

e164.arpa DNSSEC Version JPRS JPRS e164.arpa DNSSEC DNSSEC DNS DNSSEC (DNSSEC ) DNSSEC DNSSEC DNS ( ) % # (root)

BIND9.9から9.11へ移行のポイント(権威DNSサーバー編)

あなたのDNS運用は 来るべきDNSSEC時代に耐えられますか

(1) 鍵の更改 に追従するために 1 のソフトウェア ( 一般に BIND 又は Windows Server を利用 ) を最新版に更新する ( 今回の対策だけでなく 脆弱性への対応のためにも 最新版への更新は必須 ) 2 において DNSSEC のトラストアンカーの自動更新 の設定を行う 3

DNSとメール

Root KSK更新に対応する方法

Copyright

学生実験

第 5 部 特集 5 YETI - A Live Root-DNSTestbed 第 5 部 特集 5 YETI - A Live Root-DNSTestbed One World, One Internet, One Namespace - Paul Vixie(2014) 加藤朗 第 1 章は

Microsoft PowerPoint - DNSSEC技術と運用.ppt [互換モード]

学生実験 3 日目 DNS IP ネットワークアーキテクチャ 江崎研究室

目次 1 本マニュアルについて 設定手順 (BIND 9 利用 ) 設定例の環境 設定例のファイル構成 named.conf の設定例 逆引きゾーンの設定例 動作確認 ( ゾーン転送 )

DNSの負荷分散とキャッシュの有効性に関する予備的検討

opetechwg-tools

DNSハンズオンDNS運用のいろは

「DNSSECの現状と普及に向けた課題」

Microsoft PowerPoint - DNSSECとは.ppt

Microsoft PowerPoint 版_Root_JPの状況.ppt

UNIVERGE SG3000 から SG3600 Ver.6.2(2012 年モデル ) への 移行手順 All Rights Reserved, Copyright(C) NEC Corporation 2017 年 11 月 4 版

DNSでのBGP Anycast運用による 影響の計測 a.dns.jpのクエリログから

DNSの評価と計測の話

DNSサーバー設定について

提案書タイトルサブタイトルなし(32ポイント)

2

Microsoft PowerPoint - bind ppt

DNS浸透の都市伝説を斬る~ランチのおともにDNS~

untitled

2 フルサービスリゾルバ スタブリゾルバ からリクエストを 受け取る フルサービスリゾルバは権威ネームサーバに 対して反復復的に 問い合わせを 行行う ルートゾーンの権威サーバ スタブリゾルバ の IP アドレスを教えて? の IP アドレ

DNSSEC の仕組みと現状 平成 22 年 11 月 DNSSEC ジャパン

CSR生成手順-OpenSSL

−uDNSƒzƒXƒeƒB?ƒOƒT?ƒrƒX−v??ƒU?ƒ}ƒj?ƒA?_

PowerPoint プレゼンテーション

DNSOPS.JP BoF nginxを利 した DNS over TLS 対応フルリゾルバの作り ( 株 ) ハートビーツ滝澤隆史

2 注意事項 教材として会場を提供していただいている ConoHa さんのドメイン名とその権威ネームサーバを使 用しています conoha.jp ns1.gmointernet.jp

Microsoft PowerPoint - d1-大本 貴-DNSSECstatus_DNS-DAY [互換モード]

30分で学ぶDNSの基礎の基礎~DNSをこれから勉強する人のために~

スライド 1

Knot DNS

DNS誕生日攻撃再び

rndc BIND DNS 設定 仕組み

Microsoft PowerPoint - DNS_BoF_SCS_ pptx

needlework_update_manual_rev1.4

平成22年度「技報」原稿の執筆について

初心者のためのDNSの設定とよくあるトラブル事例

DNS (BIND, djbdns) JPNIC・JPCERT/CC Security Seminar 2005

2

音声認識サーバのインストールと設定

Microsoft PowerPoint attacktool.pptx

改版履歴 本書の改版履歴は以下のとおりです 日付 改版理由 変更箇所 版数 2014/09/04 初版発行 版 2015/03/30 第 1.1 版に改訂 対象 OS 追加 1.1 版 2015/07/10 第 1.2 版に改訂 対象 OS 追加 1.2 版 2015/09/04 第 1

rndc BIND

DNSSEC最新動向

BIND 9 BIND 9 IPv6 BIND 9 view lwres

スライド 1

Microsoft PowerPoint Windows-DNS.pptx

~IPv6 と DNS の正しい付き合い方~ IPv6時代のDNS設定を考える

多言語ドメイン名の実装 mdnkit 石曽根信 ( 株 ) SRA 2001/12/04 日本語ドメイン名解説 / mdnkit 1 mdnkit 多言語ドメイン名を扱うためのツールキット 正規化 エンコード変換等を提供するライブラリとコマンド 既存アプリケーシ

Microsoft PowerPoint JPRS-DNSSEC-Act-03.pptx

Windows Server 2003 Service Pack 適用手順書

資料 3 DNS の世界的な運用変更に伴い必要となる対策について 資料 3-1 DNS の世界的な運用変更に伴うキャッシュ DNS サーバーの 設定更新の必要性について ( 総務省資料 ) 資料 3-2 同 (IT 総合戦略室 NISC 資料 )

Microsoft PowerPoint - IW2011-D1_simamura [互換モード]

DNSSECトラブルシューティング

memcached 方式 (No Replication) 認証情報は ログインした tomcat と設定された各 memcached サーバーに認証情報を分割し振り分けて保管する memcached の方系がダウンした場合は ログインしたことのあるサーバーへのアクセスでは tomcat に認証情報

Vista IE7 ブラウザの設定手順

DNSSECチュートリアル [ ]

リバースプロキシー (シングル構成) 構築手順

ブラウザ Internet Explorer 7 の設定について 第3版

<4D F736F F F696E74202D E656D6F73837D836C815B C B CC90DA91B182CC8E DD82F0979D89F082B582E682A F38DFC E >

conf_example_260V2_inet_snat.pdf

のコピー

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

058 LGWAN-No155.indd

見抜く力を!データを見て対策を考える(権威サーバ)

いきなりすいません 本日は DNSSEC 2013 スプリングフォーラムですが DNSSEC の話はしません

Microsoft PowerPoint - 動き出したDNSSEC.ppt

1 権威 DNS の DNSSEC 対応 2012/11/21 株式会社インターネットイニシアティブ山口崇徳

PowerPoint プレゼンテーション

目次 1 BIND 9 (UNIX) を利用する 設定例の環境 インストール 設定例のファイル構成 named.conf の設定例 ルート DNS サーバの設定 ループバックアドレス用ゾーンの

R80.10_FireWall_Config_Guide_Rev1

Unboundの紹介

HDE Controller X 1-5. DNS サーバー

JAIPA-DNSSEC

キャッシュサーバの設定

PowerPoint プレゼンテーション

はじめに このマニュアルは BACREX-R を実際に使用する前に知っておいて頂きたい内容として 使用する前の設定や 動作に関する注意事項を記述したものです 最初に必ずお読み頂き 各設定を行ってください 実際に表示される画面と マニュアルの画面とが異なる場合があります BACREX-R は お客様の

OpenAM 9.5 インストールガイド オープンソース ソリューション テクノロジ ( 株 ) 更新日 : 2013 年 7 月 19 日 リビジョン : 1.8

CSR生成手順-Microsoft IIS 7.x

D-STAR Xchange (dxchange) インストール方法 JARL D-STAR 委員会平成 28 年 5 月 19 日 V00.19 本システム ( 以下 dxchange と呼ぶ ) は D-PRS 信号を受信する局 (I-GATE 局 ) をレピータのサービスエリア内に設置すること

インターネット EDI システムを使用する前の準備 目次 動作環境について... 2 Internet Explorer7.0 / 8.0 をご利用の場合の設定方法... 3 [1] インターネット EDI システムを利用するための標準的な設定... 3 [2] ブラウザ型で帳票を利用する場合に必要

PowerPoint Presentation

untitled

Transcription:

DNSSEC 性能確認手順書 ver. 1.2 1. 目的 DNSSEC 検証によるフルリゾルバへの負荷 および権威 DNS サーバへのトラフィックの変化を把握する フルリゾルバと権威 DNS サーバ間の通信路にある機器の影響を把握する 現在想定できる一般的な構成のハードウェア上での権威サーバの基本性能を計測する 2. 検証環境 2.1. サーバ構成 Validatorの検証および計測を行うためのネームサーバおよび負荷の構成は次のとおりである Trust Anchor クエリー発生 Validator ( フルリゾルバ ) 仮想 root 仮想 JP 図中の四角はサーバを表す ネットワーク環境を変化させる 仮想組織 上図の構成において 通信路の影響をみるため Validator と権威サーバ群の間でネットワーク環境を変化させる (3.1. 検証パターンを参照 ) 今回の計測では権威サーバとの通信路の影響を見ることを目的としているため クライアント ( クエリー発生 ) と Validator の間のネットワーク環境は変化させない 仮想 root 仮想 JP 仮想組織 検証で使用する仮想的な root ゾーンを DNSSEC 署名つきで保持する 仮想 JP への委任 (NS, グルー ) と DS を保持する JP 以外のクエリのためのワイルドカードを持つ 実 JP のドメイン数に基づいた仮想 JP ゾーンを DNSSEC 署名つきで保持する 各組織 (~~.jp) への委任 (NS, グルー ) と署名つき組織に対する DS を保持する 各組織のゾーンを保持する 計測で用意するドメインのうち 15 万の組織に対して署名をつける Validator 検証対象の Validator( フルリゾルバ ) 実装として BIND 9 および Unbound を使用する クエリー発生 Validator に対して dig や queryperf で DNS クエリ負荷を発生させる 2.2. 使用ソフトウェア OS 環境として CentOS 5.4 を用いる 本計測ではネームサーバの実装として以下のソフトウェアを使用する 実装 BIND Unbound NSD Ver 9.7.1 1.4.5 3.2.5 説明 権威サーバおよび Validator 用 Validator 用 RSASHA256 および edns-buffer-size 設定を使用するため最新安定版を使用署名なし組織用権威サーバ用 BIND では 100 万以上のゾーンを保持するのが困難なので NSD 最新安定版を使用 また 計測のためのツールとして以下のソフトウェアを使用する Copyright 2010 Japan Registry Services Co., Ltd - 1 - JPRS-S-540-201007-0002

実装 queryperf DSC Ver 改造版 200911111630 説明 BIND 付属のqueryperfに対して JPRSにて改造を行ったバージョンを使用 一定 qps での負荷を与えるため Nominumのdnsperfで代用可 クエリ内訳観測用権威サーバおよびValidatorに設置 3. 検証条件 データ 3.1. 検証 計測パターン A) Validator 検証 計測パターン 通信路の条件およびネームサーバの設定パターンの組み合わせを以下に示した 正しく動く Validator( フルリゾルバ ) と権威サーバでのオペレーションミスによって発生しうるものを選択した TCP 通す 遮断 フラグメント 通す 遮断 通す 遮断 MTU 1500 1280 576 1500 1280 576 1500 1280 576 1500 1280 576 bufsize ZSK 1024 DO=1 4096 ZSK 2048 bufsize ZSK 1024 512 ZSK 2048 bufsize ZSK 1024 DO=1 4096 ZSK 2048 TA 無し bufsize ZSK 1024 512 ZSK 2048 DO=0 ZSK 1024 TA 無し ZSK 2048 署名無し, DO=0 パターン数 58 =BIND 9/Unboundで計測 42 =BIND 9でのみ計測 上記パターンに対し 以下の Validator および負荷のパターンで計測する 項目 Validator クエリ負荷 バリエーション BIND 9 / Unbound 1000qps / 10000qps 検証パターンにおける条件についての説明は以下の通り 署名無し TA(Trust Anchor) 無し DO=0 bufsize MTU フラグメント TCP ZSK 署名無しゾーンを権威サーバに設定し 署名がない場合の負荷の差を計測する 権威サーバに署名つきゾーンが設定されているが フルリゾルバに rootのtrust Anchor 設定がない ( 検証できない ) パターン サーバ側は署名や検証を提供するが フルリゾルバがDO=0のリクエストが出す場合 BIND 9ではEDNS0を無効にするしかないので bufsizeのバリエーション無し Validator から権威サーバへのリクエストのEDNS0 UDPバッファサイズが小さい場合を検証 Validator から権威サーバへの通信経路において MTU 値が小さくフラグメントが起こりうるパターンを確認 Validator から権威サーバへの通信経路において フラグメントが起こる条件だが フラグメント化できずドロップする場合を検証 Validator から権威サーバへの通信経路において TCP 53 番ポートが開いていない場合を検証 JPゾーン署名に使用するZSKの長さを1024bitか2048bitにして署名する ゾーンデータを切り替える B) 権威サーバ計測パターン 権威サーバについては基本性能計測であるので 以下のパターンを計測する ネームサーバおよび通信路について 通信路は正常とする (MTU1500, フラグメントの遮断はなし ) 署名つきゾーン (JP ゾーンは ZSK1024bit) クエリ負荷条件 DO=1, bufsize=4096 Copyright 2010 Japan Registry Services Co., Ltd - 2 - JPRS-S-540-201007-0002

UDP によるクエリで計測 負荷パターン : 1000qps, 10000qps, 限界負荷 3.2. 署名パラメータ 2009/12/1 現在の RFC から選定し 以下の条件を用いることとした ゾーン root jp 組織 署名アルゴリズム RSASHA256 鍵の数鍵の数と長さ KSK KSK 2 本 (*1) 2048bit ZSK ZSK 2 本 (*1) 1024bit 1024または2048bit 1024bit 鍵データ ゾーンごとに別の鍵を用意 入れ替えはしない NSEC3 使用しない SHA1/Iter 10/salt 固定 /opt-out 使用 使用しない DSダイジェストアルゴリズム SHA256 *1 署名鍵のロールオーバーを考慮して 2 本用意し そのうち 1 本で署名する 1 本は事前公開用と仮定 3.3. ゾーンデータ ゾーンデータは 各ゾーンに対して 署名なし 署名ありの両方を用意する さらに JP ゾーンの署名ありの場合は ZSK が 1024bit と 2048bit があり計 3 パターンとなる 仮想 root 仮想 JP 仮想組織 ( 上位 15 万 ) 仮想組織 ( 上位 15 万以外 ) 署名なし A A A,B,C A 署名つき (ZSK1024bit) B,C B B,C 署名つき (ZSK2048bit) C A: 検証パターン 署名なし で使用 B: 検証パターン ZSK1024 で使用 C: 検証パターン ZSK2048 で使用 ドメイン数 ( 組織数 ) は 実 JP ゾーンの実ドメイン数 +100 万とする 本計測の性格上 権威サーバの保持するゾーンのデータサイズはあまり影響を与えないと思われるため ドメイン数のバリエーションは持たせない ゾーン仮想 root 仮想 JP 各組織 ( ドメイン数分 ) 基本ゾーンデータ JPへの委任 (NS,A,AAAA) それ以外のドメインに対するwildcard ns.example.com. A 各組織への委任 (NS,A,AAAA) ドメイン数 @ IN SOA @ IN DNSKEY ( 署名つき組織のみ ) @ IN NS ns @ IN NS ns.example.com. @ IN A @ IN MX ns IN A www IN A www IN AAAA www IN MX 署名つきの場合 RRSIG/NSEC JPのDS ドメインのうち 15 万の組織に対する DS RRSIG/NSEC3 RRSIG/NSEC ( 署名つき組織のみ ) 署名対象とする ( 組織 ) ドメインは 実 JP ドメインのうち a.dns.jp で問い合わせの多い 上位 15 万組織とする実 JP 以外の追加するダミードメインには署名つきゾーンは作らない 3.4. クエリパターン 負荷計測時には下記のクエリデータを使用する 各自で取得したクエリログを queryperf の入力形式に変換したものを用いる jp 以外のクエリは除外する (arpa も除外 ) クエリのドメイン名については変換などは行わない - www やゾーン頂点以外への A クエリは各組織レベルで NXDOMAIN エラーとなる - JP レジストリに登録されていないドメインは JP レベルで NXDOMAIN エラーとなる 5 分間 限界負荷を掛けられるだけのデータを用意する 3.5. 計測項目 Copyright 2010 Japan Registry Services Co., Ltd - 3 - JPRS-S-540-201007-0002

本計測では以下の項目を計測する A) Validator 検証および計測 A-1) dig による検証 名前解決の成否 DNSSEC 検証の成否 名前解決時に観測される挙動 ( タイムアウト 時間がかかる etc) A-2) 性能計測 Validator の CPU 負荷 メモリ使用量 ps による %CPU,VSZ,RSS uptime による load average Validator- 権威サーバ間のクエリ量 内訳 DSC による権威サーバ毎のクエリ数 各権威サーバ Validator のクエリ統計量 BIND 9 の rndc stats による出力結果 ( NSD, Unbound では取得できない ) B) 権威サーバ計測 権威サーバの CPU 負荷 メモリ使用量 限界負荷計測時の qps 4. 準備 OS および検証に使用するソフトウェア (BIND, Unbound, OpenSSL 等 ) のインストールについてはここでは記載しない 以下の処理において 組織ドメインの数に関する部分はスクリプトなどにより自動化 並列化を行う 4.1. ゾーンデータの準備 1) 未署名ゾーンの作成 2) 署名鍵の準備 3) ゾーンの署名 3.3. ゾーンデータ に示した内容から基本ゾーンデータに示したゾーンファイルを作成する 各グルーの IP アドレスはそれぞれ下位のネームサーバを指すように指定する root ゾーン JP ゾーン ( 実ドメイン + ダミードメイン 100 万を保持 ) 各組織ゾーン群 ( 実ドメイン数 + ダミードメイン 100 万個のゾーン ) root, JP, および署名対象の組織に対する署名鍵を 3.2. 署名パラメータ の通りに生成する KSK の生成 (example.jp. は実際のゾーン名に置き換える ) dnssec-keygen -a RSASHA256 -b 2048 -f KSK -r /dev/urandom example.jp. ZSK の生成 (example.jp. は実際のゾーン名に置き換える 鍵長 2048bit の場合は -b 2048 とする ) dnssec-keygen -a RSASHA256 -b 1024 -r /dev/urandom example.jp. デフォルトの /dev/random を使用すると大量の鍵生成が困難であるので /dev/urandom を使用する 各ゾーンに対し 署名つきゾーンを生成する なお 署名の有効期間は dnssec-signzone コマンドのデフォルト (1 ヵ月後 ) では試験期間中に有効期限切れを起こす可能性があるため 一年 (31536000 秒 ) 後とする DS レコードを上位のゾーンに追加するときは SHA256( アルゴリズム番号 =2) のものを採用する 各組織の署名 ( 署名つき組織 ) 作成した DNSKEY データ (Kexample.jp.+008+01234.key) をゾーンファイルに追加する example.jp は実際のゾーン名 example.jp.zone は作成したゾーンファイルを指定する dnssec-signzone -g -e now+31536000 -o example.jp example.jp.zone JP の署名 Copyright 2010 Japan Registry Services Co., Ltd - 4 - JPRS-S-540-201007-0002

4.2. ネームサーバの準備 1024bit, 2048bit の両方の ZSK に対して以下の署名処理を行う 作成した DNSKEY データ (Kjp.+008+01234.key) ゾーンファイルに追加する 各組織への dnssec-signzone で生成された DS レコードをゾーンに追加する 以下のコマンドで署名する cafe の部分は使用するソルトを指定する dnssec-signzone -g -e now+31536000 -o jp. -3 cafe -H 10 -A jp.zone root の署名作成した DNSKEY データをゾーンファイルに追加する JP への dnssec-signzone で生成された DS レコードをゾーンに追加する 以下のコマンドで署名する dnssec-signzone -e now+31536000 -o. root.zone 1) 権威サーバについては各ゾーンを提供するように設定する 仮想 root root の署名なし 署名つきゾーンを提供する named.conf 2 パターンを作成する 仮想 JP jp の署名なし 署名つき (ZSK1024bit) 署名つき (ZSK2048bit) の 3 パターンのゾーンを提供する named.conf を作成する 仮想組織署名対象組織 ( 上位 15 万 ) については 署名つき 署名無しの 2 パターンのゾーンを提供する named.conf を作成する 署名なし組織については NSD で提供する (*2) ため nsd.conf を作成し zonec でゾーン DB を作成する *2 BIND 9 で 100 万単位のゾーンをホストするのが難しいため 2) Validator については以下のように設定する BIND 9/Unbound の 2 種類を設定する root ヒントは構築した仮想 root サーバの IP アドレスを記述する Trust Anchor として root の署名にしようした KSK を trusted-keys に記述する Unbound の場合 trust-anchor/trust-anchor-file/trusted-keys-file を使用する 4.3. クエリデータの準備 3.4. に示した queryperf 用のクエリデータを作成する 5. 計測手順 5.1.Validator の各パターンによる挙動変化の計測 Validator に対する計測は 名前解決と検証の確認 および 性能計測 からなる 以下の手順は Validator が保持するキャッシュの影響を排除するため 1 つのパターンをテストするたびに Validator を起動しなおす a) dig による DNS 名前解決と DNSSEC 検証の確認 3.1. 検証 計測パターン について 考えられる組み合わせに対して 以下の確認を行う 1. パターンによって 以下の設定を変更する Validator サーバのネットワーク設定を変更する (MTU, TCP, フラグメント ) Validator サーバの設定ファイルを変更する (DO=0/1, TA の設定 ) 権威サーバに設定するゾーンデータを変更する (ZSK=1024/2048, 署名なし ) 2. 上記の設定後 Validator および権威サーバが起動している状態で Validator サーバ上で dig により下記の例にあるコマンドにて確認を行う dig の出力結果をみて 名前解決の成否 検証の成否を確かめる 署名無しの場合 dig @localhost example.jp. A 署名ありの場合 dig @localhost +dnssec example.jp. A Copyright 2010 Japan Registry Services Co., Ltd - 5 - JPRS-S-540-201007-0002

b) 名前解決ができるパターンに対し Validator の負荷と権威サーバへのクエリ内容を計測する 3.1. 検証 計測パターン について 対象となっている組み合わせに対し以下の確認を行う 1. パターンによって a) と同様にネットワークおよびサーバの設定を変更する 2. Validator サーバ上で 負荷計測ツール ( ) を起動し CPU 使用率およびメモリ使用量の計測を開始する CPU 使用率 メモリ使用量 ロードアベレージなどを計測するスクリプトを用意する 3. Validator および権威サーバ上で DSC(DSC Collector) を稼動させる 4. クエリー発生機上で queryperf( 改造版 ) による負荷テストを行う DO ビットによってコマンドを使い分ける -i オプションに送信間隔をミリ秒単位で指定する 下記の例では 0.1ms なので 10000qps で送信する # 適時 dnsperf などをツールと読み替える DO=0 queryperf -d query.txt -s 192.0.2.1 -l 300 -i 0.1 DO=1 queryperf -d query.txt -s 192.0.2.1 -D -l 300 -i 0.1 5. 負荷を掛け終わったら Validator および権威サーバで起動した負荷計測ツール /DSC を終了させる 上記手順において 検証および計測の間でのパターンの切り替えは以下のように行う 権威サーバのゾーン設定の切り替え 今回のパターンでは使用するゾーンについて 署名なし / 1024bit ZSK による署名つき / 2048bit ZSK による署名つきの 3 パターンがある 3.3. ゾーンデータ に示したパターン毎にゾーン設定を変更後 ネームサーバを再起動させる Validator の Trust Anchor 設定の切り替え Trust Anchor 無しの場合は Validator の trusted-keys 設定を外してネームサーバを再起動する Validator の bufsize の切り替え Validator の設定 edns-udp-size の値を修正して ネームサーバを再起動する ネットワーク環境の切り替え 5.2. 権威サーバの性能計測 権威サーバと Validator サーバ間の通信路の状況を変化させるため Validator サーバのネットワーク設定を iptables および ifconfig によって変更する 以下の説明では 対象となるネットワーク I/F を eth0 としている試験用の環境に応じて ipfilter や外部ファイアウォールなどの機能を使う必要がある TCP (Validator から TCP 接続できないようにする ) iptables -I OUTPUT -p tcp -m tcp --dport 53 -j DROP フラグメントを落とす ( 権威サーバからの応答パケットのフラグメントを落とす ) iptables -I INPUT -p udp -m udp --sport 53 -m length --length 1480 :65535 -j DROP 1480 の部分は MTU から 20 引いた値を指定する (conntrack モジュールにより iptables -I INPUT -f -j DROP では落とせないため ) MTU の変更 ifconfig eth0 mtu 1280 権威サーバに対する負荷計測は 負荷パターンごとに以下の手順で行う 1. JP 権威サーバを稼動させる 2. Validator 計測と同様に CPU 負荷 メモリ使用量を観測するための計測ツールを起動する Copyright 2010 Japan Registry Services Co., Ltd - 6 - JPRS-S-540-201007-0002

3. queryperf で負荷をかける 負荷の掛け方について 5.1 b) の手順と同様 負荷のパターンは 1000qps / 10000qps / 限界負荷の 3 パターンを行う 限界負荷の場合は -i オプションを外す 4. 計測ツールを終了させる 6. 結果 計測によって得られた結果をグラフなどを用いてまとめる Copyright 2010 Japan Registry Services Co., Ltd - 7 - JPRS-S-540-201007-0002

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック