昨今、世界的にDNSサーバ宛のDDoS攻撃が頻発しています。
つい先日(10/21米国時間)にも、Dyn社のDNSサービスが攻撃を受け、多数の著名サイトに影響したことも記憶に新しいところです。
弊社(さくらインターネット)でも、去る2016/8/29~9/2にかけて、お客様のゾーンを保持しているDNS権威サーバに対して断続的なDDoS攻撃を受け、ホスティングサービスを中心に大きな障害が発生しました。
残念ながら弊社DNS権威サーバは攻撃に強い構成ではありませんでした。
これを受け弊社では、半年程のスパンで「強いDNS」を作るべく、新クラスタの構築、IPアドレスのリナンバ、既存DDoSミティゲーションシステムの100Gアップグレード、L7ファイアウォールの導入、Anycastノード設置などの対策を順次実施しています。
本セッションでは、それらの取り組みを共有させていただき、参加者さんとの議論の中で、DNS権威サーバ向けの有効なDDoS対策についてアイディアをいただければと思っております。
本セッションに関係するDNSサービス向けのDDoS攻撃の参考情報として下記サイトをご紹介します。
当社では2008年より自社開発のDDoS対策システムを導入しております。また、DDoS対策のさらなる強化を目指して、BGP Flowspecの活用を検討しております。詳細につきましては、当社技術ブログに解説がございます。
本プログラムをより深くご理解いただき、議論を深めてもらうためにも、事前にお読み頂くことをお勧めいたします。当日のセッション中では時間の関係上、詳しい説明は割愛させて頂く可能性があります。
大久保 修一(さくらインターネット株式会社)山口 勝司(さくらインターネット株式会社)
