AkamaiへのDDosアタックでGoogleなどのDNSに障害 34
ストーリー by Oliver
Point-of-Failure 部門より
Point-of-Failure 部門より
johntheripper 曰く、 "SANS Internet Storm Center によると昨日の8:30 am EDTから10:30 EDTくらいまでAkamaiのDNSにDDosアタックがあってYahoo, Google, Microsoft, FedEx, Xerox, Appleなどにつながらなかったそうです。そういうわたくしもgoogleで調べ物してタイムアウトになったのでうちのDNSおかしくなったのかなとかgoogleのドメイン切れちゃったのかなとか心配していた口でした。"
TTLが5分や10分だから影響を受けやすい気もする (スコア:3, 参考になる)
動的IPですか?と思えるほど短い。
だから影響出易いんじゃ?
TTLが長ければ、ISPの複数のNSに問い合わせすれば大抵どれかにはキャッシュが残っていると思う。
Re:TTLが5分や10分だから影響を受けやすい気もする (スコア:3, 興味深い)
TTLを短くしておかないとCDN中のどれか一つサーバがダウンした場合でも,
そのサーバのアドレスがDNSキャッシュに長時間残り続けることになり,
悪影響を及ぼす可能性があるので.
というわけで今回のが攻撃だったとしたら,なかなか巧いところ
を突いてきたな,という感じです.
Re:TTLが5分や10分だから影響を受けやすい気もする (スコア:2)
>そのサーバのアドレスがDNSキャッシュに長時間残り続けることになり,
>悪影響を及ぼす可能性があるので.
この辺が今一よく分からん。
この枝の他の所に書いたが、IPアドレスを3つ答えて冗長化しているのでしょ。
家のIEの動作は、20秒待って取得出来なければ次のIPアドレスのサーバーに拾いに行くよ。
hostsで偽のプライベートIPアドレスを複数記載してテストした時も20秒経てば次のサーバーに探しに行っていた(次からは拾えたサーバーに行く)。
環境によって20秒と言う時間は違うのかもしれないが、探しに行かないブラウザってあるの?
無いとは言い切れないと言う意味での「可能性」?
ISPは複数のNSを設置して冗長化し、ユーザーはその複数のNSを冗長化して使うことによって各NSのキャッシュのTTLは違う値になる(問い合わせ時期が違うから)。
TTLを一週間くらいに設定することによって、1日くらいNSが落ちていてもISPのキャッシュが利用されるので困らない。
俺はこんな感じに設定すべきと思っていた。
悪影響は滅多に無いはずだし、あるのならば違うブラウザを使うべきと思えるようなことへの対策としてTTLを5分と短くし、その結果ちょっとした攻撃を受けるだけで影響を受ける。
これってTTL時間の設定ミスの気がしてならない。
Re:TTLが5分や10分だから影響を受けやすい気もする (スコア:2)
>
> 攻撃の影響でAkamaiのDNSに遅延が生じ、一部サイトでAkamaiのDNSサーバからの反応が低下してタイムアウトが発生。ただ、この攻撃でAkamaiのサービスに障害が起きたわけではなく、攻撃を受けている間も顧客向けのDNSリクエストとWebコンテンツのサービスは継続していたと強調している。
http://www.itmedia.co.jp/news/articles/0406/17/news021.html
何故一部のサイトだけ影響を受けたのかは書いていなかったが、やはり一部だけ影響を受けたと考えるとTTLが短いところだけ影響を受けた気がするな。
殆どのサイトは影響を受けなかったと言うことは、アカマイのシステムの特長とはいえない気がする。
Re:TTLが5分や10分だから影響を受けやすい気もする (スコア:1)
akamaiがどれだけDNSサーバを顧客ごとに分けているかは知らないですが.
Re:TTLが5分や10分だから影響を受けやすい気もする (スコア:1)
connectに失敗して次のAレコードを試す,というのはよくある話ですが,中途半端にconnectだけは成功したけど,(DoSられていて)GETで何も降ってこない場合に,また次のAレコードを試すような実装 がどれだけあるのか.
またakamaiのDNSを引きに行くのがブラウザだけなのか,という点も疑問です.
およそレアなケースかもしれませんが,登録していたNSサーバが全て使えなくなった場合,とかもひょっとするとあるかもしれませんし.
というように悪影響はないとは言い切れないと思いますよ.
しかしこんなakamaiDNSの運用ポリシーはPaul Vixieにも批判されているようですね.結局はDNSサーバをDoSるか,WEBサーバをDoSるかの違いだけのように思います.
Re:TTLが5分や10分だから影響を受けやすい気もする (スコア:2)
と言うのはよく分かるが、
>またakamaiのDNSを引きに行くのがブラウザだけなのか,という点も疑問です.
>およそレアなケースかもしれませんが,登録していたNSサーバが全て使えなくなった場合,とかもひょっとするとあるかもしれませんし.
>というように悪影響はないとは言い切れないと思いますよ.
って、IPアドレス引けなければTTLの長短に関わらずアクセス出来ないよ。
>しかしこんなakamaiDNSの運用ポリシーはPaul Vixieにも批判されているようですね.結局はDNSサーバをDoSるか,WEBサーバをDoSるかの違いだけのように思います.
そうなんだけど、webサーバーの場合はTCPを使っているから3ウェイハンドシェイクが終わった奴だけまともに相手をすれば良いけど、DNSサーバーはUDPで答えるのが主流。この為ソースIPアドレスを偽った場合であってもまともに答える必要があるので、DNSサーバーはwebサーバーより攻撃耐性は無いと思う。
「次のAレコードを試すような実装がどれだけあるのか」で、これを考慮するためにTTLを5分(等)にして、サーバーが落ちたら、落ちたサーバーのIPアドレスを通知しないんだろうけど、レイヤ3SWとかロードバランサーで違うサーバーに回した方がすっきりする様な気がする。
それ以前に、折角3つのIPアドレスを通知してマルチホーミングにしているのに、次のAレコードを試さない実装だけしか考慮していないのはよく分からん。
世界中の端末からサーバーまでの回線が確実に確保されているとはアカマイは知らないはず。
と言うか、確保されていないことを想定してのマルチホーミングなのでは?
サーバーが生きてても回線(ISP含む)が死んでいたらアクセス出来ないよね。単なるラウンドロビンだけの為に3つのIPアドレスを提示しているのだろうか?
まぁ、アカマイは「DNSサーバーは耐え切れる」と思っての設計だろけど....
思ったより各ISPのNSは根性が無くあきらめてしまうって感じなんだろう。
ついでに、アカマイとグーグルの構造はよく分からんしあまり興味ないんで調べていないが、グーグルの管理下のドメインからアカマイの管理下のドメインに渡して、その後グーグルのIPアドレスを返しているよね。
グーグルはアカマイで問題が発生しても、グーグル管理下のドメインから直接IPアドレスを返さないのね。折角TTLを15分にしているのに。
監視し被害が沢山出る前に即効で切り替えないのならば、15分と言った短いTTLって意味無いな。
Re:TTLが5分や10分だから影響を受けやすい気もする (スコア:0)
Re:TTLが5分や10分だから影響を受けやすい気もする (スコア:2)
minimum ttlはどうでも良い気がする。
ns1.google.comにgoogle.comを問い合わせると
>ANSWERS:
>-> google.com
> type = A, class = IN, dlen = 4
> internet address = 216.239.39.99
> ttl = 300 (5 mins)
>-> google.com
> type = A, class = IN, dlen = 4
> internet address = 216.239.37.99
> ttl = 300 (5 mins)
>-> google.com
> type = A, class = IN, dlen = 4
> internet address = 216.239.57.99
> ttl = 300 (5 mins)
と、表示される。と言うことで5分。IPアドレスは3つと冗長化されている。
Re:TTLが5分や10分だから影響を受けやすい気もする (スコア:1)
で、そいつのAレコードがgoogle保有IPアドレスを返すって感じ。
DNS不調説も (スコア:2, 興味深い)
>Webのパフォーマンスを測定している少なくとも1社は、大規模な攻撃が
>起きている兆候は見られないと指摘する。
と言うことで、akamai側のDNSが不調を起したという話も出てきてます。
akamai側からはDoS攻撃だと言ってますが、真相はどうなんでしょうね。
それいいな (スコア:4, おもしろおかしい)
Re:それいいな (スコア:2, おもしろおかしい)
それって常套手段じゃなかったんですか?:P
-- Tig3r on the hedge
Re:DNS不調説も (スコア:1, 参考になる)
昨夜何度か「名前解決ができない」と、監視対象サーバからメールが飛んできたので、向こうのDNSサーバに問題があるという指摘は間違いではないと思います。
ただし、全ての監視対象サーバからメールが送られてきたわけではないので、障害があったとしても一部だけのようです。
自サイトでも (スコア:2, 興味深い)
DOWN警告が出て焦ったクチです。自宅からsshで入って調べた
限りでは、なんの障害もありませんでしたが、nagiosは
DOWNを表示したまま。
実害はなかったのでそのまま寝ましたが、朝には解消してました。
関係あるんでしょうかねぇ。
GUST NOTCH な気分でいこう!
Re:自サイトでも (スコア:2, 興味深い)
おかしくなった辺りでlogを見ていました。
@4000000040cefb4e19ade7ec servfail www.google.akadns.net. input/output error
つながらないときはこういうエラーでしたので、サーバ側でなんかあったのね、と思っていました。
Re:自サイトでも (スコア:1)
nagiosのcheck_dnsのデフォルトでは、DNSのチェックをwww.yahoo.comの名前解決で行います。
メールがいっぱい飛んでくるので、他のホスト名に変えておきました。
Re:自サイトでも (スコア:0)
こういう監視用途のトラフィックも、大勢でやると馬鹿にならないだろうな…
電気製品の待機消費電力みたいだ
「ゾンビPCにやられた」そうです (スコア:2, 参考になる)
CNETより 「ゾンビPCにやられた」--アカマイ、DNSサーバへのDDoS攻撃を認める [cnet.com]だそうです.
ゾンビPCなんて言い方初めて聞きました:-p
Re:「ゾンビPCにやられた」そうです (スコア:1)
昨夜調べ物をしていたら (スコア:0)
ルータの不調かADSL回線なので不安定なのかと思っていました。
今朝になってAkamaiの不調と聞いて驚きました。
Re:昨夜調べ物をしていたら (スコア:1)
Re:昨夜調べ物をしていたら (スコア:1)
プロバイダの障害かと思ったけど転送速度は普通。
切り分けのためにあちこちのサイトをアクセス。
名前解決がおかしくなったんだと思ったけど、
こんなに多数のサイトで同時に同じような障害?
プロバイダのDNSがおかしくなったんだと思ってました。
みんなAkamaiだったんだ……。
#確認で知人にIM投げてもみんな留守だし……
#あちこち掘りまくった(dig)
やなぎ
字面じゃなく論旨を読もう。モデレートはそれからだ
DDosって何? (スコア:0)
Re:DDosって何? (スコア:1, おもしろおかしい)
Re:DDosって何? (スコア:0)
Re:DDosって何? (スコア:1)
…最後が小文字なのはなんか意味アリ?
-+- 想像力を超え「創造力」をも凌駕する、それが『妄想力』!! -+-
Akamaiって何? (スコア:0)
# ネタにマジレス
みんなでジャンプ。 (スコア:0)
ありますが、DDoSって、いわゆるそれどすやんね?
だれも答えないのはなんでだ? (スコア:1)
ググればラッキーで答え [google.com]が出るから?
ちなみにうちの周辺じゃ ディードスって読んでます。
ディディオーエスなんて言ったことも言われたこともありません。
#ニュースになってないけど結構頻繁にあるらしい
やなぎ
字面じゃなく論旨を読もう。モデレートはそれからだ
発生時刻 (スコア:0)
え~と、米国タイムゾーン [kyoto-u.ac.jp]によれば、EDTはUTCより四時間前、JSTは九時間
後、(合計13時間の時差)なので、
2004年 6月15日 (火) 21:30 JST - 23:30 JST
ですか。よく覚えてないけど、確かに昨晩のある時刻、googleに継らなかったなぁ
(2chとか/.JとかはOKだったけど)
遂にあっこもコケたかと...
まさかDDoSでしたか (スコア:0)
イラだったACです。
自宅のDSL回線から見ると、akadns.netに接続できませんでした。
www.google.com / www.microsoft.comをルートサーバから順番に
たどっていくと、最終的にはCNAME *.akadns.netに飛ばされたのですが
(microsoft.com NSに聞くとCNAMEで返される)、このakadns.netから
DNSに対するレスポンスがなかったので、AkamaiのDNSの調子が悪いのかなあと
推測していました。まさか DDoSでしたか。
ただ、DSL回線ではなくて、同じプロバイダ経由のAirH"だと何の問題もありません
でした。これまでのレスを見るだに DNSへの経路が複数あるとか
なんらかの分散されている要素のうち、一部がコケたんでしょうかねえ...。
2chのnameも引けなくなってますね。 (スコア:0)
Re:2chのnameも引けなくなってますね。 (スコア:0)