DNS 応答レート制限の構成 - BlueCat Integrity - 9.5.0

管理ガイド
Locale
日本語
Product name
BlueCat Integrity
Version
9.5.0

Address Manager には、DDoS 攻撃への防御を強化するため、DNS 構成に対する DNS 応答制限が含まれています。応答レート制限は、DNS リフレクション攻撃と DNS アンプ攻撃の影響を低減するために、DNS サーバによる応答のレートを制限する方法です。

権威のあるサーバで使用するためのものです。これらの種類の攻撃では、離れた場所では検出できない虚偽のソース IP アドレスが使用されます。これらの IP アドレスからのクエリにレート制限なしで応答する DNS サーバには、応答を請求しなかった IP アドレスに非常に大量の応答ストリームを送信するリスクがあります。応答レート制限は、DNS サーバから送信される応答数の上限を設定して、攻撃を効果的に抑制します。

DNS 応答レート制限は、Address Manager ユーザ インターフェイスから DNS Raw オプションを追加することによって構成できます。BlueCat では、この DNS Raw オプションをサーバ レベルで構成することを推奨します。

DNS 応答レート制限を構成するには:

  1. Address Manager ユーザ インターフェイスに admin としてログインします。
  2. [サーバ] タブを選択します。タブは最後に作業したページを記憶するので、もう一度タブを選択して、[構成情報] ページにいることを確認します。
  3. [サーバ] で、DNS サーバをクリックします。サーバの [詳細] タブが開きます。
  4. [デプロイメント オプション] タブを選択します。
  5. [デプロイメント オプション] で、[新規] をクリックして [DNS Raw オプション] を選択します。
  6. [] で、[Raw データ] フィールドに以下を入力します。 
    rate-limit {
    responses-per-second <value>;
    window <value>;
};
    最初は、以下のパラメータを使用して DNS 応答レート制限を構成することを推奨します (値は環境によって異なります)。
    • responses-per-second: 要求元が 1 秒間隔内に同じ応答を受け取る最大回数です。
    • errors-per-second: responses-per-second と類似していますが、REFUSED、FORMERR、および SERVFAIL の応答コードのみに適用されます。
    • log-only: 応答は実際には破棄されませんが、標準のログ出力はそのまま実行されるテスト モードです (true または false のいずれか)。
    • window: レートが測定され、平均化される期間 (秒) です。
    注: 他にも構成可能な DNS RRL パラメータがあります。詳しくは BlueCat カスタマー ケアに問い合わせて、環境に適用可能であるか確認してください。https://care.bluecatnetworks.com
  7. 必要に応じて [変更管理] で、コメントを追加します。
  8. [追加] をクリックします。
  9. DNS をデプロイします。