[メモ]DNS Response Rate Limiting(RRL)パラメータ説明

こんにちは!くまかけです。

今度、RRLを導入する事が有ったんですが、そのパラメータを説明しているところがなかなか見つかりませんでした。

例としては、下記の感じばかり。。

limit-rate {
  responses-per-second 5;
  log-only true;
};

ウロウロしてて、ようやく見つけました。⇒ここです

原文は、リンク先を見ていただくとして、Google翻訳で。。
※見るに見かねて・・・どなたかヘルプです(^^;
・・カッコ内はデフォルトです。
1. RESPONSES-PER-SECOND (5)
 リクエスタが1秒以内に同じ答えを言われることをこれが最大回数である間隔。
 多くの可能な質問が同じ答えを得ることができることに注意してください-
たとえば、既存のゾーンの多くは、存在しないサブドメインは、すべてされ
、そのゾーンのスタート·オブ·からなる負の証明をNXDOMAINに語った
権限(SOA)レコード。そこで、回答にレート制限を適用する
のではなく、質問には
2. ERRORS-PER-SECOND (5)
 これはRESPONSES毎秒に似ています
が、唯一のREFUSED、FORMERRやSERVFAIL応答コードに適用されます
(「エラー」である)。
3. LOG-ONLY (False)
 これは応答がされている試験モードである
 、実際には廃棄されませんが、通常の操作ログ活動はまだ
 行われます。これは、オペレータが応答がされることになるかを調べることができ
 、実際には何も削除せずに落とした。
4. WINDOW (5)
 これはレートがされ、その上(秒単位)の期間で
 測定し、平均し、その間のレート限度超過のメモリがされて保持。指定された要求者があまりにも頻繁に
 同じ答えを募集した場合、同じようなクエリは、として以外の、ウィンドウ秒間ドロップされる漏れレートと
 TC-RATEで説明。
5. IPV4-PREFIX-LENGTH (24)
 リクエスタIP(バージョン4)アドレスがされているサイズのバケットにグループ化
 された(32 – IPV4-prefix-lengthは)^ 2。デフォルト(24)が256のホストアドレスの
 「クラスCネットワーク」に等しい。以来レート制限の目的はforged-に対して遠いネットワークを
 保護することで 、ソースのDNS要求の洪水は、これはの細かさに近似する
被害者のネットワークトポロジを。
6. IPV6-PREFIX-LENGTH (56)
 リクエスタIPは(バージョン6)のアドレスがされているために説明したように、
 IP(バージョン4)アドレスと同様にグループ化されたIPV4-prefix-lengthは、
 しかしIPバージョン以来6アドレスは128ビット長で、それが異なる中で、被害者の
 ネットワークの規模を概算することが必要です
IPバージョン6デフォルト(56)に割り当てられた通常の大きさである家庭や小規模な
 企業ネットワーク。
7. LEAK-RATE (3)
 クエリが原因で速度に低下したことになる場合には制限は、ランダムにリークレートの
 クエリごとに一度、とにかく反応する。これは、IPアドレスの取得の万一偽造されてい
 る犠牲者与えても、偽造の洪水時の答えを。リークレートが2〜でなければならない
10と合法的に本当の被害者の再試行回数を近似する必要があり
、クエリ。リークレートがゼロに設定されている場合、この動作が無効になっています。

8. TC-RATE (2)
 クエリによるレート制限に低下したことになる場合には、私たちは無作為に、TCレート
 ごとに一度ではなく切り捨てられたレスポンスを返送クエリ。
 これは、アドレスの再試行を偽造されている被害者に伝えTCPを使用する。
 これは、TC-RATEリークレートよりも低く設定することをお勧めします。場合は
、TC-RATEがゼロに設定され、この動作が無効になっています。

9. MAX-TABLE-SIZE (10000)
 これは数の上限である
このサーバー内で維持された状態塊。製品に設定する必要
が可能になり、ウィンドウのサイズと毎秒最大のクエリの、
すべてのクエリが一意であり、各応答はした最悪のシナリオ
自身の状態ブロブを必要とします。周りの64あたりの記憶域のバイト推定
ブロブ、5秒のウィンドウ、およびあたり2000のクエリのクエリ速度
秒、10000状態ブロブは、サーバの約1メガバイト取るべきメモリが。

10. MIN-TABLE-SIZE (1000)
 これが割り当てられる初期サイズで
起動時に空の状態ブロブテーブル用。この表を成長させることなので、オペレータは、
 デフォルトよりも大きいで始めることにしたかもしれないコスト、持っサイズ表。

ちなみに今回RRLを導入した環境です。
・OS:CentOS5
・BIND:9.9.5(CentALTからyumで導入)
CentALTレポジトリと出会うのに、時間かかりました。。
ちなみに元サイトにアクセスできなかったので、BaseURLを下記にしています。

#baseurl=http://centos.alt.ru/repository/centos/5/$basearch/
baseurl=http://mirror.sysadminguide.net/centalt/repository/centos/5/$basearch/

 

The following two tabs change content below.
くまかけ
齢50を過ぎたオッチャンプログラマーです。 元々は、COBOLerでしたが、いつからかCをやるようになり、いまはiPhoneアプリの開発を中心として、活動をしています。 ワードプレスとの関わりはFacebookと連携しての情報ストック源として考え始めてから。 一緒に活動するメンバーから、ワードプレスの使い方等を訪ねられるようになり、支援をしていく中で、月額500円(ワンコイン)で利用できるレンタルサーバーの提供およびワードプレスの設定代行を行っています。 レンタルサーバーの初期費用には、既存テーマを利用した、ワードプレスの基本設定も含まれています。 「顔の見えるサポート」が必要なレンタルサーバーや、ワードプレスの設定代行が必要な時は、ぜひお声がけ下さい。 主な情報提供はFacebookですが、@kumakake でもたま〜に、つぶやいています(^^)
くまかけ

最新記事 by くまかけ (全て見る)

Loading Facebook Comments ...

この投稿へのコメント

コメントはありません。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

この投稿へのトラックバック

トラックバックはありません。

トラックバック URL