Connect :
Uptime :
Secondary
50 Days
17 Hour
54 Min.
筆者が古くから運用している自鯖システムの中でも歴史の長い物がDNSとメールとなる。
サーバを作り直すタイミングでシステム全体をリビルドする事はあったものの、
ゲートウェイは2台以上でフルアクティブ化して、MDAはアクティブ・スタンバイを基本としている。
また、ns-lab BBのメールはこれらのメールゲートウェイを経由して送受信する様に構成しており、
基本的に限られたIPアドレスからのみ他ドメインへ送付する様に構成している。
筆者の様な極小自鯖でもメールアドレス詐称をする輩はいるもので、
ちょくちょくとDMARCレポートに引っ掛かっているが、
連日となると相手にするのも大変なのでSPFをsoftfailからhardfailに変更してみた。
お出掛け用ノートPCでレッツノートRZ5を愛用しておりメールチェックや軽量作業に日頃から利用している。
可搬性が高くスペックも十分なのでこのままでも良いのだが、Windows11に対応していない問題があった。
OSのEOL直前にはPC価格が高騰しがちなので安く機種変更すべく動いていて丁度良いノートPCを見つけた。
という事で、中古ではあるがレッツノートQV1を購入してみた。
珍しいカラーバリエーションの筐体が在庫にあり購入。
普段ならシルバーかブラックを買う事が多いが、ブラック・ネイビーの組み合わせは初と思う。
先日、自宅鯖のDNSクエリログを眺めていたところ、
Zabbix 7.0から発せられるDNSクエリが大量に出ていたり、大小英数字でランダム化されている事に気づいた。
DNSキャッシュサーバの負荷高騰までは行っていないが結構な量だったので原因調査をしてみた。
………
改めてログ解析すると元はZabbix Proxy 7.0だった。
以前のバージョンでは秒間50~100クエリ程度と控え目なのだが、
Zabbix 7.0にアップグレードした直後から秒間200~300クエリに増加しており、
さらに今までは無かったAAAAレコードのDNS名前解決も増加している事が分かった。
そんなでログ解析しながらコミュニティを漁っていたら、時期もバージョンもズバリ合致する記事が見つかった。
| This looks like being a feature of libevent that Zabbix 7.0 uses for async DNS resolution. |
どうやら、Zabbix 7.0の非同期DNS名前解決で利用しているlibeventライブラリの機能らしく、
プログラムの組み方次第ではAAAAレコードも無作為に名前解決してNXDOMAINになり、
NXDOMAINをキャッシュせずに改めて名前解決を行う無限ループになる様だった。
………
さらに、DNSクエリがDNS-0x20で大小英数字にランダマイズされる事により、
より一層キャッシュに乗りにくくなっていた。
DNS-0x20の仕組みはカミンスキー攻撃などDNSキャッシュポイズニングを防止する目的で有用だが、
環境によっては凶悪なDDoS状態になり得ると実感した。
筆者の環境ではDNSキャッシュサーバのクエリログ解析をしているので、
DNS-0x20を施されると困る場合もあるのだが、仕様らしく解除するにはプログラムを書き換えるしか無さそう。
コミュニティにみお解決困難と書かれてあり、ワークアラウンドもDNSキャッシュを使う方法のみだった。
自宅のDNSキャッシュサーバは元からスペックを積んでいるので余裕で耐えられるクエリ数ではあるが、
エンタープライズなど大規模環境でコレが発生すると、凄い負荷がかかる筈なのでぞっとする。
特にISPやサーバ事業者とかは死活問題な気がする (´・ω・`)
以前に仕様と分かっているならサーバ増強で対処も出来るが、バグの分類にも感じるので解決は難しそう。
メジャーバージョンアップなので何かあると思っていたが、予期しない所から刺客が来た形となった。
| 日 | 月 | 火 | 水 | 木 | 金 | 土 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 | |||||
