3月 06 2008
DNS amp 対策
snowland.net に先にネタにされてしまったけど、DNS amp 対策、端的に言うと DNS サーバへの DDos 対策をようやく行ったよ。
要するに信頼できない相手には自分の管理しているゾーン以外の問い合わせに答えないように変更する。
うちではBind9なので、optionsに
allow-query { localnet; };
を追加 (localnet は別途 acl localnet で指定)し、また各 zone の設定すべてに
allow-query { any; };
を追加した。
allow-transfer については基本的に(スレーブサーバ以外へは)転送しないようにもともとしてる。
