AkamaiへのDDosアタックでGoogleなどのDNSに障害

AkamaiへのDDosアタックでGoogleなどのDNSに障害 34

ストーリー by Oliver 2004年06月16日 16時35分
Point-of-Failure 部門より

johntheripper 曰く、 "SANS Internet Storm Center によると昨日の8:30 am EDTから10:30 EDTくらいまでAkamaiのDNSにDDosアタックがあってYahoo, Google, Microsoft, FedEx, Xerox, Appleなどにつながらなかったそうです。そういうわたくしもgoogleで調べ物してタイムアウトになったのでうちのDNSおかしくなったのかなとかgoogleのドメイン切れちゃったのかなとか心配していた口でした。"

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索34コメント Log In/Create an Account

TTLが5分や10分だから影響を受けやすい気もする (スコア:3, 参考になる)

by chanbaba (13080) on 2004年06月16日 20時43分 (#570961) ホームページ

nslookupで調べたらTTLが短いよね。
動的IPですか？と思えるほど短い。
だから影響出易いんじゃ？
TTLが長ければ、ISPの複数のNSに問い合わせすれば大抵どれかにはキャッシュが残っていると思う。
- Re:TTLが5分や10分だから影響を受けやすい気もする (スコア:3, 興味深い)
  
  by ariche (3426) on 2004年06月17日 0時04分 (#571123)
  
  TTLが短いのはAkamaiの仕組み上，仕方の無い事と思われます．
  
  TTLを短くしておかないとCDN中のどれか一つサーバがダウンした場合でも，
  そのサーバのアドレスがDNSキャッシュに長時間残り続けることになり，
  悪影響を及ぼす可能性があるので．
  
  というわけで今回のが攻撃だったとしたら，なかなか巧いところ
  を突いてきたな，という感じです．
  
  シェア
  
  親コメント
  - Re:TTLが5分や10分だから影響を受けやすい気もする (スコア:2)
    
    by chanbaba (13080) on 2004年06月17日 12時05分 (#571377) ホームページ
    
    >TTLを短くしておかないとCDN中のどれか一つサーバがダウンした場合でも，
    >そのサーバのアドレスがDNSキャッシュに長時間残り続けることになり，
    >悪影響を及ぼす可能性があるので．
    
    この辺が今一よく分からん。
    この枝の他の所に書いたが、IPアドレスを3つ答えて冗長化しているのでしょ。
    家のIEの動作は、20秒待って取得出来なければ次のIPアドレスのサーバーに拾いに行くよ。
    hostsで偽のプライベートIPアドレスを複数記載してテストした時も20秒経てば次のサーバーに探しに行っていた（次からは拾えたサーバーに行く）。
    環境によって20秒と言う時間は違うのかもしれないが、探しに行かないブラウザってあるの？
    無いとは言い切れないと言う意味での「可能性」？
    
    ISPは複数のNSを設置して冗長化し、ユーザーはその複数のNSを冗長化して使うことによって各NSのキャッシュのTTLは違う値になる（問い合わせ時期が違うから）。
    TTLを一週間くらいに設定することによって、1日くらいNSが落ちていてもISPのキャッシュが利用されるので困らない。
    俺はこんな感じに設定すべきと思っていた。
    
    悪影響は滅多に無いはずだし、あるのならば違うブラウザを使うべきと思えるようなことへの対策としてTTLを5分と短くし、その結果ちょっとした攻撃を受けるだけで影響を受ける。
    これってTTL時間の設定ミスの気がしてならない。
    
    シェア
    
    親コメント
    - Re:TTLが5分や10分だから影響を受けやすい気もする (スコア:2)
      
      by chanbaba (13080) on 2004年06月17日 12時45分 (#571401) ホームページ
      
      >Akamaiは当初、同社だけでなくインターネットインフラに対する広範な攻撃があったと説明していたが、この説を翻した形。16日の発表によると、問題は米東部時間の15日午前8時半ごろから10時45分ごろにかけて発生した。ただ、DNSシステムが影響を受けたのは同社顧客の約4％のみで、2％で目に見える支障が出たが、ユーザーの20％以上に影響する大きな支障が出たのは同社顧客の1％に満たなかったとしている。
      >
      >　攻撃の影響でAkamaiのDNSに遅延が生じ、一部サイトでAkamaiのDNSサーバからの反応が低下してタイムアウトが発生。ただ、この攻撃でAkamaiのサービスに障害が起きたわけではなく、攻撃を受けている間も顧客向けのDNSリクエストとWebコンテンツのサービスは継続していたと強調している。
      http://www.itmedia.co.jp/news/articles/0406/17/news021.html
      
      何故一部のサイトだけ影響を受けたのかは書いていなかったが、やはり一部だけ影響を受けたと考えるとTTLが短いところだけ影響を受けた気がするな。
      殆どのサイトは影響を受けなかったと言うことは、アカマイのシステムの特長とはいえない気がする。
      
      シェア
      
      親コメント
      - Re:TTLが5分や10分だから影響を受けやすい気もする (スコア:1)
        
        by ariche (3426) on 2004年06月17日 20時06分 (#571669)
        
        1100社ある顧客のうちの2%の顧客のDNSサーバを狙った，というだけの話では？
        akamaiがどれだけDNSサーバを顧客ごとに分けているかは知らないですが．
        
        シェア
        
        親コメント
    - Re:TTLが5分や10分だから影響を受けやすい気もする (スコア:1)
      
      by ariche (3426) on 2004年06月17日 20時30分 (#571683)
      
      確かに仰る通り複数Aレコードが返ってきたら，それを全部試しながらconnectしにいくのが期待される動作でしょうね．でも本当に全てのアプリケーションがそういう動作になっているかというと，それは怪しいのではないかと思います．
      connectに失敗して次のAレコードを試す，というのはよくある話ですが，中途半端にconnectだけは成功したけど，(DoSられていて)GETで何も降ってこない場合に，また次のAレコードを試すような実装がどれだけあるのか．
      またakamaiのDNSを引きに行くのがブラウザだけなのか，という点も疑問です．
      およそレアなケースかもしれませんが，登録していたNSサーバが全て使えなくなった場合，とかもひょっとするとあるかもしれませんし．
      というように悪影響はないとは言い切れないと思いますよ．
      
      しかしこんなakamaiDNSの運用ポリシーはPaul Vixieにも批判されているようですね．結局はDNSサーバをDoSるか，WEBサーバをDoSるかの違いだけのように思います．
      
      シェア
      
      親コメント
      - Re:TTLが5分や10分だから影響を受けやすい気もする (スコア:2)
        
        by chanbaba (13080) on 2004年06月18日 2時13分 (#571853) ホームページ
        
        >connectに失敗して次のAレコードを試す，というのはよくある話ですが，中途半端にconnectだけは成功したけど，(DoSられていて)GETで何も降ってこない場合に，また次のAレコードを試すような実装がどれだけあるのか．
        
        と言うのはよく分かるが、
        
        >またakamaiのDNSを引きに行くのがブラウザだけなのか，という点も疑問です．
        >およそレアなケースかもしれませんが，登録していたNSサーバが全て使えなくなった場合，とかもひょっとするとあるかもしれませんし．
        >というように悪影響はないとは言い切れないと思いますよ．
        
        って、IPアドレス引けなければTTLの長短に関わらずアクセス出来ないよ。
        
        >しかしこんなakamaiDNSの運用ポリシーはPaul Vixieにも批判されているようですね．結局はDNSサーバをDoSるか，WEBサーバをDoSるかの違いだけのように思います．
        
        そうなんだけど、webサーバーの場合はTCPを使っているから3ウェイハンドシェイクが終わった奴だけまともに相手をすれば良いけど、DNSサーバーはUDPで答えるのが主流。この為ソースIPアドレスを偽った場合であってもまともに答える必要があるので、DNSサーバーはwebサーバーより攻撃耐性は無いと思う。
        
        「次のAレコードを試すような実装がどれだけあるのか」で、これを考慮するためにTTLを5分（等）にして、サーバーが落ちたら、落ちたサーバーのIPアドレスを通知しないんだろうけど、レイヤ3SWとかロードバランサーで違うサーバーに回した方がすっきりする様な気がする。
        それ以前に、折角3つのIPアドレスを通知してマルチホーミングにしているのに、次のAレコードを試さない実装だけしか考慮していないのはよく分からん。
        世界中の端末からサーバーまでの回線が確実に確保されているとはアカマイは知らないはず。
        と言うか、確保されていないことを想定してのマルチホーミングなのでは？
        サーバーが生きてても回線（ISP含む）が死んでいたらアクセス出来ないよね。単なるラウンドロビンだけの為に3つのIPアドレスを提示しているのだろうか？
        
        まぁ、アカマイは「DNSサーバーは耐え切れる」と思っての設計だろけど....
        思ったより各ISPのNSは根性が無くあきらめてしまうって感じなんだろう。
        
        ついでに、アカマイとグーグルの構造はよく分からんしあまり興味ないんで調べていないが、グーグルの管理下のドメインからアカマイの管理下のドメインに渡して、その後グーグルのIPアドレスを返しているよね。
        グーグルはアカマイで問題が発生しても、グーグル管理下のドメインから直接IPアドレスを返さないのね。折角TTLを15分にしているのに。
        監視し被害が沢山出る前に即効で切り替えないのならば、15分と言った短いTTLって意味無いな。
        
        シェア
        
        親コメント
- Re:TTLが5分や10分だから影響を受けやすい気もする (スコア:0)
  
  by Anonymous Coward
  
  今調べたらgoogle.comは　minimum ttl = 60 (1M) となっています。 spam拒絶のORDB.orgでさえ minimum ttl = 900 (15M) なもんで確かに異常に短いですね。一分ですよ。こういうことがないと気がつかないもんですな。
  - Re:TTLが5分や10分だから影響を受けやすい気もする (スコア:2)
    
    by chanbaba (13080) on 2004年06月17日 11時20分 (#571350) ホームページ
    
    >今調べたらgoogle.comは　minimum ttl = 60 (1M) となっています。
    
    minimum ttlはどうでも良い気がする。
    ns1.google.comにgoogle.comを問い合わせると
    
    >ANSWERS:
    >-> google.com
    > type = A, class = IN, dlen = 4
    > internet address = 216.239.39.99
    > ttl = 300 (5 mins)
    >-> google.com
    > type = A, class = IN, dlen = 4
    > internet address = 216.239.37.99
    > ttl = 300 (5 mins)
    >-> google.com
    > type = A, class = IN, dlen = 4
    > internet address = 216.239.57.99
    > ttl = 300 (5 mins)
    
    と、表示される。と言うことで5分。IPアドレスは3つと冗長化されている。
    
    シェア
    
    親コメント
    - Re:TTLが5分や10分だから影響を受けやすい気もする (スコア:1)
      
      by chanbaba (13080) on 2004年06月18日 2時28分 (#571855) ホームページ
      
      ついでに、google.comはそのままAレコードを返すが、www.google.comはアカマイのFQDNにcname。
      で、そいつのAレコードがgoogle保有IPアドレスを返すって感じ。
      
      シェア
      
      親コメント
DNS不調説も (スコア:2, 興味深い)

by RX-178 (2626) on 2004年06月16日 17時06分 (#570814)

ただ、ITmedia [itmedia.co.jp]の記事ですと
＞Webのパフォーマンスを測定している少なくとも1社は、大規模な攻撃が
＞起きている兆候は見られないと指摘する。
と言うことで、akamai側のDNSが不調を起したという話も出てきてます。
akamai側からはDoS攻撃だと言ってますが、真相はどうなんでしょうね。
- それいいな (スコア:4, おもしろおかしい)
  
  by u1p (2709) on 2004年06月16日 17時17分 (#570828) 日記
  
  今度設定ファイル書き間違えたとき、DoS攻撃受けましたって使ってみよう。φ(..)メモメモ
  
  シェア
  
  親コメント
  - Re:それいいな (スコア:2, おもしろおかしい)
    
    by Tig3r (17335) on 2004年06月16日 18時24分 (#570884) 日記
    
    > 今度設定ファイル書き間違えたとき、DoS攻撃受けましたって使ってみよう。
    
    それって常套手段じゃなかったんですか？:P
    
    --
    -- Tig3r on the hedge
    
    シェア
    
    親コメント
- Re:DNS不調説も (スコア:1, 参考になる)
  
  by Anonymous Coward on 2004年06月16日 17時30分 (#570841)
  
  複数ホスト上のDNSサービス監視のために、5分に1度、それぞれでwww.google.comの名前解決を行うようにしています。
  昨夜何度か「名前解決ができない」と、監視対象サーバからメールが飛んできたので、向こうのDNSサーバに問題があるという指摘は間違いではないと思います。
  ただし、全ての監視対象サーバからメールが送られてきたわけではないので、障害があったとしても一部だけのようです。
  
  シェア
  
  親コメント
自サイトでも (スコア:2, 興味深い)

by marusa (2274) <reversethis-{moc.liamg} {ta} {amayurash}> on 2004年06月16日 18時18分 (#570883) 日記

昨夜、nagiosで監視している自サイトのすべてのDNSサーバに
DOWN警告が出て焦ったクチです。自宅からsshで入って調べた
限りでは、なんの障害もありませんでしたが、nagiosは
DOWNを表示したまま。

実害はなかったのでそのまま寝ましたが、朝には解消してました。

関係あるんでしょうかねぇ。

--
GUST NOTCH な気分でいこう!
- Re:自サイトでも (スコア:2, 興味深い)
  
  by 9DO (15174) on 2004年06月16日 18時56分 (#570904) 日記
  
  自サイトと言うか、端末に使っているマシンでdnscacheを動かしているので、
  おかしくなった辺りでlogを見ていました。
  
  @4000000040cefb4e19ade7ec servfail www.google.akadns.net. input/output error
  
  つながらないときはこういうエラーでしたので、サーバ側でなんかあったのね、と思っていました。
  
  シェア
  
  親コメント
- Re:自サイトでも (スコア:1)
  
  by kazeburo (7938) on 2004年06月16日 18時48分 (#570898) ホームページ
  
  同じく昨晩、管理しているサーバでnagiosの警告がでました。
  nagiosのcheck_dnsのデフォルトでは、DNSのチェックをwww.yahoo.comの名前解決で行います。
  
  メールがいっぱい飛んでくるので、他のホスト名に変えておきました。
  
  シェア
  
  親コメント
  - Re:自サイトでも (スコア:0)
    
    by Anonymous Coward
    
    けっこう google で DNS の監視してるひと多いですね。
    こういう監視用途のトラフィックも、大勢でやると馬鹿にならないだろうな…
    
    電気製品の待機消費電力みたいだ
「ゾンビPCにやられた」そうです (スコア:2, 参考になる)

by one-one (17888) on 2004年06月17日 13時44分 (#571427) 日記

CNETより「ゾンビPCにやられた」--アカマイ、DNSサーバへのDDoS攻撃を認める [cnet.com]だそうです.

ゾンビPCなんて言い方初めて聞きました:-p
- Re:「ゾンビPCにやられた」そうです (スコア:1)
  
  by chanbaba (13080) on 2004年06月17日 20時22分 (#571678) ホームページ
  
  俺は何度か眼にしたことはあるが、いつも「ゾンビプロセス」をまずイメージしてしまう（直ぐに気付くけど）。
  
  シェア
  
  親コメント
昨夜調べ物をしていたら (スコア:0)

by Anonymous Coward on 2004年06月16日 16時50分 (#570803)

丁度この問題に遭遇しました。まずwww.google.comがDNS的に「見えなく」なり、その後microsoft.com下にも。
ルータの不調かADSL回線なので不安定なのかと思っていました。
今朝になってAkamaiの不調と聞いて驚きました。
- Re:昨夜調べ物をしていたら (スコア:1)
  
  by chiba-f (6867) on 2004年06月16日 17時09分 (#570817)
  
  同じく，そうなったのです．しかし，slashdot.jpはアクセスできたんで，変に思っていますた．
  
  シェア
  
  親コメント
- Re:昨夜調べ物をしていたら (スコア:1)
  
  by yanagi (6075) on 2004年06月17日 1時41分 (#571188) ホームページ日記
  
  自分も遭遇しました。
  プロバイダの障害かと思ったけど転送速度は普通。
  切り分けのためにあちこちのサイトをアクセス。
  名前解決がおかしくなったんだと思ったけど、
  こんなに多数のサイトで同時に同じような障害？
  プロバイダのDNSがおかしくなったんだと思ってました。
  みんなAkamaiだったんだ……。
  #確認で知人にIM投げてもみんな留守だし……
  #あちこち掘りまくった(dig)
  
  --
  やなぎ
  字面じゃなく論旨を読もう。モデレートはそれからだ
  
  シェア
  
  親コメント
DDosって何? (スコア:0)

by Anonymous Coward on 2004年06月16日 17時23分 (#570833)

DDosって何どす?
- Re:DDosって何? (スコア:1, おもしろおかしい)
  
  by Anonymous Coward on 2004年06月16日 17時30分 (#570842)
  
  分散どす。
  
  シェア
  
  親コメント
- Re:DDosって何? (スコア:0)
  
  by Anonymous Coward
  
  どうしてDDoSあるいはDDOSではないの?
  - Re:DDosって何? (スコア:1)
    
    by kamuy (1690) on 2004年06月16日 22時18分 (#571031) ホームページ日記
    
    そういえば、確かにほとんどの場合は「DDoS」ですね。
    …最後が小文字なのはなんか意味アリ?
    
    --
    -+- 想像力を超え｢創造力｣をも凌駕する、それが『妄想力』!! -+-
    
    シェア
    
    親コメント
- Akamaiって何? (スコア:0)
  
  by Anonymous Coward
  
  私は Akamai [e-words.jp] が初耳でした。
  # ネタにマジレス
- みんなでジャンプ。 (スコア:0)
  
  by Anonymous Coward
  
  中国人がいっせいにジャンプしたら・・・・っていうのが
  ありますが、DDoSって、いわゆるそれどすやんね？
  - だれも答えないのはなんでだ？ (スコア:1)
    
    by yanagi (6075) on 2004年06月17日 2時00分 (#571193) ホームページ日記
    
    Distributed Denial of Service攻撃
    ググればラッキーで答え [google.com]が出るから？
    
    ちなみにうちの周辺じゃディードスって読んでます。
    ディディオーエスなんて言ったことも言われたこともありません。
    #ニュースになってないけど結構頻繁にあるらしい
    
    --
    やなぎ
    字面じゃなく論旨を読もう。モデレートはそれからだ
    
    シェア
    
    親コメント
発生時刻 (スコア:0)

by Anonymous Coward on 2004年06月16日 22時13分 (#571022)

> 昨日の8:30 am EDTから10:30 EDT

え～と、米国タイムゾーン [kyoto-u.ac.jp]によれば、EDTはUTCより四時間前、JSTは九時間
後、(合計１３時間の時差)なので、

2004年 6月15日 (火) 21:30 JST - 23:30 JST

ですか。よく覚えてないけど、確かに昨晩のある時刻、googleに継らなかったなぁ
(2chとか/.JとかはOKだったけど)

遂にあっこもコケたかと...
まさかDDoSでしたか (スコア:0)

by Anonymous Coward on 2004年06月16日 22時51分 (#571058)

2004/06/15の夜にGoogleやMicrosoftに接続できなくて
イラだったACです。

自宅のDSL回線から見ると、akadns.netに接続できませんでした。
www.google.com / www.microsoft.comをルートサーバから順番に
たどっていくと、最終的にはCNAME *.akadns.netに飛ばされたのですが
(microsoft.com NSに聞くとCNAMEで返される)、このakadns.netから
DNSに対するレスポンスがなかったので、AkamaiのDNSの調子が悪いのかなあと
推測していました。まさか DDoSでしたか。

ただ、DSL回線ではなくて、同じプロバイダ経由のAirH"だと何の問題もありません
でした。これまでのレスを見るだに DNSへの経路が複数あるとか
なんらかの分散されている要素のうち、一部がコケたんでしょうかねえ...。
2chのnameも引けなくなってますね。 (スコア:0)

by Anonymous Coward on 2004年06月17日 1時34分 (#571181)

これもDDosの影響？
- Re:2chのnameも引けなくなってますね。 (スコア:0)
  
  by Anonymous Coward
  
  ﾌｶｰﾂした模様。

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

AkamaiへのDDosアタックでGoogleなどのDNSに障害 34

AkamaiへのDDosアタックでGoogleなどのDNSに障害 More ログイン

TTLが5分や10分だから影響を受けやすい気もする (スコア:3, 参考になる)

Re:TTLが5分や10分だから影響を受けやすい気もする (スコア:3, 興味深い)

Re:TTLが5分や10分だから影響を受けやすい気もする (スコア:2)

Re:TTLが5分や10分だから影響を受けやすい気もする (スコア:2)

Re:TTLが5分や10分だから影響を受けやすい気もする (スコア:1)

Re:TTLが5分や10分だから影響を受けやすい気もする (スコア:1)

Re:TTLが5分や10分だから影響を受けやすい気もする (スコア:2)

Re:TTLが5分や10分だから影響を受けやすい気もする (スコア:0)

Re:TTLが5分や10分だから影響を受けやすい気もする (スコア:2)

Re:TTLが5分や10分だから影響を受けやすい気もする (スコア:1)

DNS不調説も (スコア:2, 興味深い)

それいいな (スコア:4, おもしろおかしい)

Re:それいいな (スコア:2, おもしろおかしい)

Re:DNS不調説も (スコア:1, 参考になる)

自サイトでも (スコア:2, 興味深い)

Re:自サイトでも (スコア:2, 興味深い)

Re:自サイトでも (スコア:1)

Re:自サイトでも (スコア:0)

「ゾンビPCにやられた」そうです (スコア:2, 参考になる)

Re:「ゾンビPCにやられた」そうです (スコア:1)

昨夜調べ物をしていたら (スコア:0)

Re:昨夜調べ物をしていたら (スコア:1)

Re:昨夜調べ物をしていたら (スコア:1)

DDosって何? (スコア:0)

Re:DDosって何? (スコア:1, おもしろおかしい)

Re:DDosって何? (スコア:0)

Re:DDosって何? (スコア:1)

Akamaiって何? (スコア:0)

みんなでジャンプ。 (スコア:0)

だれも答えないのはなんでだ？ (スコア:1)

発生時刻 (スコア:0)

まさかDDoSでしたか (スコア:0)

2chのnameも引けなくなってますね。 (スコア:0)

Re:2chのnameも引けなくなってますね。 (スコア:0)

スラド