差分

迂闊だったのはこのトップルータの性能でした。DNSのクエリはご承知の通り、UDPのショートパケットです。このため、一度に大量のクエリが投げつけられるとDNSampによる被害そのものは出ないものの、リクエストが大量すぎてルータのCPUが一杯一杯になってしまい、他のトラフィックが通れないという状況になってしまいました。<br>

さらに悪いことに、特定のサーバ宛てのクエリを遮断しようとフィルタをかけたり、またそのログを取得しようとするとフィルタの「弾き返し性能」によりルータの負荷は上がり、ログのためのUDPでトラフィックはますます上がるという悪循環に陥ります。<br>

=実はそれだけではすまない=

みなさんご承知の通り、UDPのショートパケットのスイッチング性能は高いルータでもそれほど高くなかったりというやっかいなものです。VoIPでも頭を悩ませるところのひとつですからね。<br>