DNS観察

[tatsuru]

No description provided.

[tatsuru]

起動設定

isucon@ip-192-168-0-11:~$ cat /etc/systemd/system/pdns.service.d/isudns.conf 
[Unit]
After=network-online.target mysql.service mysqld.service postgresql.service slapd.service mariadb.service time-sync.target

[Service]
ProtectHome=read-only
ExecStartPost=/opt/init_zone_once.sh
isucon@ip-192-168-0-11:~$ cat /opt/init_zone_once.sh
#!/usr/bin/env bash
set -eux
cd $(dirname $0)
# PowerDNS の起動後に呼ばれ、ゾーンがない場合に初期化を行います

if test -f /home/isucon/env.sh; then
  source /home/isucon/env.sh
fi

ISUCON_SUBDOMAIN_ADDRESS=${ISUCON13_POWERDNS_SUBDOMAIN_ADDRESS:-127.0.0.1}

if !(pdnsutil list-all-zones | grep  u.isucon.dev); then
    pdnsutil create-zone u.isucon.dev
    pdnsutil add-record u.isucon.dev "." A 30 $ISUCON_SUBDOMAIN_ADDRESS
    pdnsutil add-record u.isucon.dev "pipe" A 30 $ISUCON_SUBDOMAIN_ADDRESS
    pdnsutil add-record u.isucon.dev "test001" A 30 $ISUCON_SUBDOMAIN_ADDRESS
fi

exit

[tatsuru]

pdnsのログを見てみると、ランダムっぽい攻撃が見える

Nov 25 04:35:17 ip-192-168-0-11 pdns_server[849]: Remote 35.77.6.88 wants '39ympu1atw6es4cevnn7wtc0.u.isucon.dev|A', do = 0, bufsize = 512
Nov 25 04:35:17 ip-192-168-0-11 pdns_server[849]: Remote 35.77.6.88 wants 'pipe.u.isucon.dev|A', do = 0, bufsize = 512
Nov 25 04:35:17 ip-192-168-0-11 pdns_server[849]: Remote 35.77.6.88 wants 'vut6rgz4o8sxz0.u.isucon.dev|A', do = 0, bufsize = 512
Nov 25 04:35:17 ip-192-168-0-11 pdns_server[849]: Remote 35.77.6.88 wants 'pipe.u.isucon.dev|A', do = 0, bufsize = 512
Nov 25 04:35:17 ip-192-168-0-11 pdns_server[849]: Remote 35.77.6.88 wants 'bvsmvsnficrhcgoa8fx0.u.isucon.dev|A', do = 0, bufsize = 512
Nov 25 04:35:17 ip-192-168-0-11 pdns_server[849]: Remote 35.77.6.88 wants '1nbxxk4wthrlv7788gi00.u.isucon.dev|A', do = 0, bufsize = 512
Nov 25 04:35:17 ip-192-168-0-11 pdns_server[849]: Remote 35.77.6.88 wants 'ryohei000.u.isucon.dev|A', do = 0, bufsize = 512
Nov 25 04:35:17 ip-192-168-0-11 pdns_server[849]: Remote 35.77.6.88 wants 'pipe.u.isucon.dev|A', do = 0, bufsize = 512
Nov 25 04:35:20 ip-192-168-0-11 pdns_server[849]: Remote 35.77.6.88 wants 'pipe.u.isucon.dev|A', do = 0, bufsize = 512
Nov 25 04:35:43 ip-192-168-0-11 pdns_server[849]: gmysql Connection successful. Connected to database 'isudns' on '127.0.0.1'.

[tatsuru]

kazeburo さんの対策スライド https://speakerdeck.com/kazeburo/dns-pseudo-random-subdomain-attack-and-mitigations

[tatsuru]

• ユーザー作成時にレコードを登録している https://github.com/tatsuru/isucon13/blob/main/webapp/go/user_handler.go#L278
• 同じサブドメインにアタックされてるのでサブドメイン単位でのクエリ制限は使えない
• ベンチマーカーからアタックされるので問い合わせ元の制限は使えない

[tatsuru]

とりあえずDBサーバーを分けるところからかなー

[tatsuru]

zone ファイルを生成して load する方が良さそうな気がした。次にやる

[tatsuru]

• ユーザー追加時に zone ファイルを作る
• 読み直す https://support.cpanel.net/hc/en-us/articles/360057601693-How-to-force-PowerDNS-to-reload-a-zone

[tatsuru]

launch=bind にするとファイルから読んでくれそうhttps://doc.powerdns.com/authoritative/backends/bind.html

isucon@ip-192-168-0-11:~$ cat /etc/powerdns/pdns.conf 
api=yes
api-key=isudns
webserver=yes
include-dir=/etc/powerdns/pdns.d
launch=gmysql
gmysql-port=3306
gmysql-user=isudns
gmysql-dbname=isudns
gmysql-password=isudns
local-port=53
security-poll-suffix=
setgid=pdns
setuid=pdns
cache-ttl=0
negquery-cache-ttl=0
query-cache-ttl=0
zone-cache-refresh-interval=0
zone-metadata-cache-ttl=0

log-dns-queries=yes
loglevel=7
log-dns-details=yes

[tatsuru]

cache-ttl=0 ちょっとくらいキャッシュしていい気がする