[PowerDNS][自分用メモ][要検証] PowerDNS Recursor で1分ほど接続できなくなる現象への対応。

     
    • 最終更新日時:2014/12/22 10:40:04


    先日、自宅のキャッシュサーバの1台を試験的にUnboundからPowerDNS Recursorへ変更したのですが、ブラウザ閲覧中になぜか1分ほど応答がなくなる現象に遭遇しました。

    いつか、そのとき、あの場所で。 | [DNS][PowerDNS] PowerDNS recursor 3.6.2 を導入してみた。 /
    http://kometchtech.blog.fc2.com/blog-entry-1720.html

    何か設定が間違っているのか色々と探し回ったのですが、どうやらこれが原因のよう。

    Further DoS guidance, packages and patches available | PowerDNS Blog /
    http://blog.powerdns.com/2014/04/03/further-dos-guidance-packages-and-patches-available/

    Security of the Recursor - PowerDNS /
    https://doc.powerdns.com/md/recursor/security/

    DoSおよびDNS Amp向け対策が施されていることから、Throttlingと呼ばれる実装がなされているとのこと。

    引用元:Security of the Recursor - PowerDNS
    - If a remote server indicates that it is lame for a zone, the exact question won't be repeated in the next 60 seconds.
    - After 4 ServFail responses in 60 seconds, the query gets throttled too.
    - 5 timeouts in 20 seconds also lead to query suppression.

    query logを見ながら確認したところ、所々にSERVFAILになっているところがありました。
    60秒で4つのSERVFAILが発生した段階で絞られる、という動作に繋がるのかPowerDNSは応答を1分ほど返さなくなります。またrecursor.conf内にも該当する設定値がありました。
    # recursor.conf
    server-down-max-fails=64
    server-down-throttle-time=60

    また全体で64個のSERVFAILが発生した場合にもThrottlingの対象になるみたいです。

    とりあえず今回は宅内でのネットワーク接続環境ではしか接続されるものはないので、server-down-max-fails=0(つまるところdisable)にて様子を見ることにしました。
    今のところはThrottlingは発生していないようです。

    ただし、参照先にもあるようにこの設定値はセキュリティのことを念頭において設定されているものなので、多くのアクセスがあるようなところは設定値を勘案しながらの設定にするようにしてください。

    # 今回そもそもSERVFAILが発生している原因については掴めていません。ただ、ISPのDNSにForwardしてるだけなんですけどねぇ・・・

    間違い等あればご指摘ください。

    Diverting recursor-to-auth attacks | PowerDNS Blog /
    http://blog.powerdns.com/2014/12/12/diverting-recursor-to-auth-attacks/


    関連記事


    Pagination

    Trackback

    Trackback URL

    https://kometchtech.blog.fc2.com/tb.php/1727-f608bfa8

    Comment

    Post Your Comment

    コメント登録フォーム
    公開設定

    Utility

    Profile

    kometch

    Author:kometch
    なんちゃってエンジニアです。
    2009年10月から業務都合により大阪勤務になりました。
    2010年1月、HYBRID W-ZERO3を購入しました。
    2010年11月、HTC Desire HDを購入しました。
    2012年2月、都内の会社に転職しました。
    2012年5月、HTC One Xを購入しました。
    2012年8月、事情により休職しました。
    2012年8月、SONY Xperia SXを購入しました。
    2013年1月、一身上の都合により退職しました。
    2014年3月、都内の会社に就職しました。
    2016年8月、HPC系の会社に転職しました。

    Amazonほしい物リスト
    何か問題などありましたら、こちらまで。 Twitter:@kometchtech follow us in feedly

    カレンダー

    09 | 2017/10 | 11
    1 2 3 4 5 6 7
    8 9 10 11 12 13 14
    15 16 17 18 19 20 21
    22 23 24 25 26 27 28
    29 30 31 - - - -

    全記事(数)表示

    全タイトルを表示

    バロメーター

    カテゴリー

    カテゴリークラウド

    アーカイブ

    検索フォーム

    FC2カウンター

    現在の閲覧者数

    現在の閲覧者数:

    Amazonアソシエイト

    スポンサードリンク

    月間ページランキング

    ブログパーツ

    サイトランキング

    スポンサードリンク

    スポンサードリンク