今回のDNSキャッシュポイズニングの脆弱性対策について
2008/08/04 00:31 posted by kunkichi

騒ぎもちょっと落ち着いたようなので（というかある程度詳細がわかって、世の中の対応もそれなりに進んだみたいなので、という意味）、もし対応を迷っている管理者の方（今でもいるんだろうか、、、）向けに、既に対応した管理者としての感想。

• キャッシュサーバ使ってなければ全く気にする必要なし。
• 今回の場合「バージョンアップしない」っていう選択肢はないと思っていいと思う。例えば大手ISPの○○は対応してないからうちもやらない、っていうのはちょっと無理があるかと。大手は金も物も持ってるからね、実は見えない部分で台数かけて分散してたりして、台数ある分だけやられる確率低くなるていう意味ですぐに対応してない場合もありえる。
• bindの場合、対策版（P1）にバージョンアップするとLoad Average上がります。とある環境ではざっくり1.5倍程度。なんとなくレスポンスもちょっと遅くなった気が。
• 上記P1のパフォーマンス改善版（P2）が出たみたいなので、今からだったらこっちにすべし。まだ試せてないけどP1に比べてどの程度負荷が下がるんだろう？
• ってことで、もし日頃の負荷がある程度高い状態だったら、バージョンアップすると限界迎えるケースもありえる。その場合、スケールアウトはすぐにはできないだろうから、せめてスケールアップできるように準備しておいた方がいいと思う。

今回思ったんだけど、DNS のキャッシュサーバの性能測定って難しい。queryperf 使うにしても、再起問い合わせの部分をどうシミュレートすればよいのか。インターネットに実際に流す訳にはいかないし、やっぱり自前ネットワークでrootサーバから構築するとかしないといけないのだろうか。

Category: UNIX, Server |