ネットエージェント株式会社、代表取締役社長の杉浦です。今回は、「Anonymousがインターネットのルートサーバをダウンさせると予告してきた」ことに関連する内容といたしました。
-----
Anonymousがインターネットのルートサーバをダウンさせると予告してきた。
ルートサーバは、インターネットの名前解決における一番の元となるサーバである。一般の人が直接利用する事はほとんどないが、もし仮にここが長時間使えなくなった場合、インターネットもメールも使えなくなると思って良い。
<参考URL>
http://www.itmedia.co.jp/news/articles/1202/21/news033.html
■本当にルートサーバはダウンするのか?
DoSアタックは基本的に数対数の戦いになるので、圧倒的に物量で優位に立てれば勝つという単純な図式が成り立つ。
攻撃側が大量のクエリー(要求)を送信しても、相手側が捌ける量を超えなければ、そもそも攻撃は成功しない。また、もし特定の相手側サーバ1台に攻撃が成功するだけの送信量だったとしても、ルートサーバによっては複数のホストのクラスタとして実装されており、攻撃対象となる到達先の機器が分散される仕組み(Anycastによる負荷分散)等もあるので、サーバクラスタそのものに対する目的(=ダウン)は達成されない。
最近の一般的なサーバ1台の応答性能は50,000~100,000クエリー/秒程度である。では、果たして攻撃側のDoSアタックではどの程度まで送出可能なのであろうか?かつて社内の製品試験で過去に数多くのDNSクエリーを発行する実験を行ったところ、社内のテスト環境でも1,000,000クエリー/秒ぐらいのリクエストが送信可能だった。
実験と違い、DDoS用途として扱う場合はリアルなDNSクエリーにする必要があるので、若干手を加えることになる。しかし、ほぼ同等の速度でクエリーを送出することはそう難しくないだろう。攻撃側は想像より少ないDoSアタック用端末数でも攻撃を成功させることが可能なのかもしれない。
■実際の影響は?
仮にルートサーバが全部ダウンしたとしても、直後であれば大半のページは閲覧可能だろう。ルートサーバがダウンした場合に生じる現象としては、Webサイト閲覧やメールの送受信が出来なったりするわけだが、ルートサーバが攻撃されている間、クライアントとの中間に存在するDNSキャッシュサーバがキャッシュを保持し続けている間は、こうした名前解決のトラブルは発生しにくい。従って、もし本当に3月31日に攻撃が始まったなら、DNSのキャッシュ内容をフラッシュするのは止めておいたほうが良い。ルートサーバのレコードのTTL(Time To Live=寿命)は比較的長いので、うまく行けば攻撃が終わるまで、ルートサーバのキャッシュ寿命が切れる前に攻撃が終わる。
ちなみにrootサーバによってレコードの寿命は異なる。中には800秒や3600秒といった短い寿命のTLDもあり、攻撃による影響が出やすいため見られないサイトが出てくる可能性がある。ちなみに日本にあるm.root-servers.netは3600000秒、およそ41日程度だ。恐らくはその辺の事情もあって、Anonymous側は攻撃が数日続く可能性も示唆しているのだろう。
■誰が守ればいいのか?
まずルートサーバを管理運営している組織、関係者がこれを守るのは当然だが、時間的余裕があればそれだけ対策は立てやすくなる。Anonymousの攻撃予告は3月31日で、それまでまだ40日近くある。当日までに世界中の多くの関係者が知恵を絞ってきちんと対策するはずで、恐らく大きな問題は生じないと思われる。
だがもし仮に万が一攻撃が成功してルートサーバがダウンしてしまった場合に備えて事前に何が出来るか。名前解決ができなくなるであろうと予測される期間に備え、レコードを事前にキャッシュしておくことで一定の効果は見込まれる。要は予めルートサーバのコピーを作っておいて、いざというときには使えるような備えをしておくような運用が出来ればよい。
トップレベルドメイン一覧にあるデータを前もって全部引いておき、キャッシュ。
以下のコマンドを叩くと全TLD(Top Level Domain)を引いてくれる。
perl -e '$a="arpa,aero,asia,biz,cat,com,coop,info,int,jobs,mobi,museum,name,net,org,pro,tel,travel,xxx,edu,gov,mil,ac,ad,ae,af,ag,ai,al,am,an,ao,aq,ar,as,at,au,aw,ax,az,ba,bb,bd,be,bf,bg,bh,bi,bj,bm,bn,bo,br,bs,bt,bv,bw,by,bz,ca,cc,cd,cf,cg,ch,ci,ck,cl,cm,cn,co,cr,cs,cu,cv,cx,cy,cz,dd,de,dj,dk,dm,do,dz,ec,ee,eg,eh,er,es,et,eu,fi,fj,fk,fm,fo,fr,ga,gb,gd,ge,gf,gg,gh,gi,gl,gm,gn,gp,gq,gr,gs,gt,gu,gw,gy,hk,hm,hn,hr,ht,hu,id,ie,il,im,in,io,iq,ir,is,it,je,jm,jo,jp,ke,kg,kh,ki,km,kn,kp,kr,kw,ky,kz,la,lb,lc,li,lk,lr,ls,lt,lu,lv,ly,ma,mc,md,me,mg,mh,mk,ml,mm,mn,mo,mp,mq,mr,ms,mt,mu,mv,mw,mx,my,mz,na,nc,ne,nf,ng,ni,nl,no,np,nr,nu,nz,om,pa,pe,pf,pg,ph,pk,pl,pm,pn,pr,ps,pt,pw,py,qa,re,ro,rs,ru,rw,sa,sb,sc,sd,se,sg,sh,si,sj,sk,sl,sm,sn,so,sr,ss,st,su,sv,sy,sz,tc,td,tf,tg,th,tj,tk,tl,tm,tn,to,tp,tr,tt,tv,tw,tz,ua,ug,uk,us,uy,uz,va,vc,ve,vg,vi,vn,vu,wf,ws,ye,yt,yu,za,zm,zw,xn--lgbbat1ad8j,xn--54b7fta0cc,xn--fiqs8s,xn--fiqz9s,xn--wgbh1c,xn--node,xn--j6w193g,xn--h2brj9c,xn--mgbbh1a71e,xn--fpcrj9c3d,xn--gecrj9c,xn--s9brj9c,xn--xkc2dl3a5ee0h,xn--45brj9c,xn--mgba3a4f16a,xn--mgbayh7gpa,xn--80ao21a,xn--mgbx4cd0ab,xn--mgbc0a9azcg,xn--mgb9awbf,xn--mgbai9azgqp6j,xn--ygbi2ammx,xn--wgbl6a,xn--p1ai,xn--mgberp4a5d4ar,xn--90a3ac,xn--yfro4i67o,xn--clchc0ea0b2g2a9gcd,xn--3e0b707e,xn--fzc2c9e2c,xn--xkc2al3hye2a,xn--mgbtf8fl,xn--kprw13d,xn--kpry57d,xn--o3cw4h,xn--pgbs0dh,xn--j1amh,xn--mgbaam7a8h,xn--mgb2ddes";@b=split(",",$a);for(@b){system("dig $_ ns");}'