DNSの話題と言えば、最近では「浸透言うな」問題について話題になったりもしました*1が、DNSの問題点は「浸透言うな」だけではありません。 Kaminsky Attackの時にも少し話題に上がりましたが、『オープンリゾルバ』と呼ばれるDNSサーバが存在していることも問題になっています。 そこで、このオープンリゾルバについて少しまとめてみたいと思います。 私自身の理解がまだ足りていないところもあるかもしれないので、ツッコミ歓迎です。 DNSの動き DNSは、すごくざっくり端的に言えばドメイン名(google.comとか)からIPアドレスに変換してくれるシステムのこと。 コンピュータはこのIPアドレスを使わないと通信することができないため、このようなシステムが使われています。 DNSで利用されるサーバは2種類あり、ドメイン名に対するIPアドレスなどの情報を持ち、それを提供するDNSサーバを「コ
比較的アクセスのあるウェブサーバがあって、そのウェブサーバから結構な回数で Web API をたたいています。ご存じのとおり、Linux では DNS をキャッシュしてくれないので、Web API をたたくために毎回 DNS へのアクセスが発生して、DNS の負荷がすこし上がってきたので、ウェブサーバに DNS キャッシュを入れてみることにしました。 今回の用件は、次のとおりです。 Web API でたたくときにドメインを、それぞれのウェブサーバでキャッシュしたい おもに外部ドメインをキャッシュするので、DNS ラウンドロビンにはできれば対応したい ということで、いろいろと調査したり、友人からアドバイスをもらったところ、Unbound、Dnsmasq、caching-server、の三つの選択肢があることが分かりました。それぞれ、CentOS 5.7 x86_64 の環境で、試していました
cles::blog 平常心是道 blogs: cles::blog NP_cles() « Android版ノートンが正式版に :: 家賃の更新料の是非が決着するらしい » 2011/03/04 qmail に DNS 用のパッチあたってますか? qmail jprs 299 2へぇ JPRS から qmail が DNS の応答サイズが大きい場合にうまく取り扱えない問題についてのお知らせが出ていたのでメモ。 qmail/netqmailにおける512バイトを超えるDNS応答の不適切な取り扱いについて*1 近年、DNSSECの本格運用開始やIPv6、SPFなどの技術の普及により、DNS応答のサイズが増大する傾向にあります。これにより、これまで潜在していた512バイトを超えるDNS応答の不適切な取り扱いが顕在化し、予期しない障害が発生する場合があります。 現時点において、メール配送ソフ
Applies To: Windows Server 2003 with SP1 What does DCDiag.exe do? This command-line tool analyzes the state of one or all domain controllers in a forest and reports any problems to assist in troubleshooting. DCDiag.exe consists of a variety of tests that can be run individually or as part of a suite to verify domain controller health. Tool location The DCDiag command-line tool is included when you
DNS の設定のお話。 どんなサブドメインでも、同じサーバーに繋がるように DNS を設定したい時があります。 たとえば、je-pu-pu.jp っていうドメインを持ってるとして、 www.je-pu-pu.jp でも、 blog.je-pu-pu.jp でも、 abc.je-pu-pu.jp でも、 zyz.je-pu-pu.jp でも、 サブドメイン ( www とか blog とか ) の部分がどんな文字でも、同じサーバーに繋がるようにしたい。という場合です。 そんな時の、BIND のゾーンファイルの設定です。 @ IN SOA ns.je-pu-pu.jp. root.je-pu-pu.jp. ( 2008082901 28800 14400 3600000 86400 ) IN NS ns.je-pu-pu.jp. IN A 192.168.1.4 * IN A 192.168.
■ DNS の再帰的な問合せを使った DDoS 攻撃の対策について 日本レジストリサービス(JPRS)からDNS関連技術情報としてDNSの再帰的な問い合わせに関する注意喚起がなされた。これは非常に困った問題だ。私は仕事でセキュリティ検査サービスを行っており、これまで多数の企業の検査に携わってきた。検査対象にはもちろんDNSサーバも含まれることが多いのだが、検査をした「ほとんど全て」のDNSサーバで外部からの再帰的な問い合わせを有効にしている。 Luis Grangeia氏によって2004年2月に行われたDNS Cache Snoopingの問題についての調査報告書では、世界中の約20万台のDNSサーバのうち約半分が RecursiveとNon-Recursiveどちらの問い合わせにも応答する"Open DNS Cache"サーバだったらしい。多分今でも状況はあまり変わってないのだろう。なぜ
--------------------------------------------------------------------- ■ DNS の再帰的な問合せを使った DDoS 攻撃の対策について 2006/03/29 (Wed) --------------------------------------------------------------------- ▼概要 DNS の再帰的な問合せ (recursive queries) を使った DDoS 攻撃が数多く発 生しています。適切なアクセス制限を行っていない DNS サーバは、DDoS 攻撃 の踏み台として使用される可能性があります。 DNS サーバはその機能から、キャッシュサーバ (Recursive Server) とコンテ ンツサーバ (Authoritative Server) の 2 つに分類することがで
フレッツ 光ネクストの一部ユーザーに、8時間にわたってWebページにアクセスできなくなるなどの障害が起こった。原因はNGN内部のDNS(Domain Name System)サーバーに発生した障害。本来、NGN内部に閉じたサービスだけに必要で、インターネット接続には使わないはずの仕組みがネックとなった。 インターネット接続などに障害が起こった原因は、NGN内部のDNSサーバーの一部が、ユーザーからの接続先ホストのアドレス解決問い合わせに応答できなくなったためである。ユーザーからインターネットへのIPレベルの接続性は確保できていても、Webアクセスなど、ホスト名を指定するアプリケーションが利用できない状態になった。 作業ミスでセカンダリDNSに障害 障害は、メンテナンス作業のミスによって生じた(図1)。一般にDNSサーバーは、ホスト名とIPアドレスをひも付けた情報「ゾーンファイル」のオリジナ
Bind9.4.1-P1から再帰問い合わせの回りの基本設定が変わっていて、昔の設定ファイルを使って立てようとしたらはまりました。どうやら、allow-query系に追加があったのが原因のようです。 問題になったのは allow-query-cache:「キャシュした情報をどのアドレス範囲に提供するか」です。ディフォルトだと「localnets localhost」です。他のDNSへ問い合わせた結果は普通キャシュされているので、それが使えず返答できなくなります。 しかもこのallow-query-cacheの値がallow-recursion:「再帰問い合わせをどのアドレス範囲に提供するか」のディフォルト値になっているので、localnets以外からの再帰問い合わせ(特にデバッグ時に)も失敗することになって、混乱に拍車が掛かってしまいました。以前は、ディフォルト値がallow-queryの値
前回は、BIND9をソースtarボールからビルドしてみました。今回からはBIND9のnamed.confの設定方法です。 name.confの基礎と作成 - ACL定義/options部BINDの既定の設定ファイルはnamed.confです。歴史的に、named.confはデフォルトで/etcディレクトリに配置されます(ソースからビルドした場合、デフォルトでは/usr/local/etc/以下)。ゾーンファイルの場所は、named.confで指定することができますが、これも歴史的には/var/namedディレクトリの下におかれるのが通例ですが、namedからアクセス可能であれば他のディレクトリでもまったくかまいません。ISCのBIND9のドキュメントの例では、/etc/namedbを設定している例もあります。ACLでIPアドレスやネットワークに名前をつける以下の書式で、ネットワーク、ネット
DNS WIDE Project DNS DAY - Internet Week 2002 DNS DAY - IW2002 DNS 2 � � � BIND � DNS DAY - IW2002 DNS 4 DNS � DNS(Domain Name System) � � � named(BIND), tinydns(djbdns), MicrosoftDNS(Windows), etc… � � � DNS DAY - IW2002 DNS 5 2 (1) � � www.example.jp IP 10.100.200.1 � 10.20.30.40 ftp.example.jp � % dig example.jp ns ;; ANSWER SECTION: example.jp. 1D IN NS ns0.example.jp. example.jp. 1D IN NS ns1
インターネットのようなTCP/IPがベースのネットワークでは、通信相手の特定(識別)にIPアドレスを用いる。しかし、普段ユーザーがWebサイトにアクセスする際に指定するのは、たとえば「www.ascii.jp」といった英文字の組み合わせである。当然この両者は、我々が意識しないところで変換されている。それを支えているのがDNSだ。 2009年09月29日 06時00分 データセンター ドメイン名の問い合わせ動作とは? 第4回 DNSによる名前解決の仕組みを理解しよう ドメイン名からIPアドレスを得るにはネームサーバに対応を問い合わせる。この問い合わせは、ドメイン名空間からドメイン名を知るネームサーバを探し出すことから始まる。このパートでは、DNSのキモである「名前解決」の仕組みについて見ていこう。 2009年09月15日 09時00分 データセンター DNSのドメインデータベースを知ろう 第
はじめに 以前はDNSサーバと言えば、BINDとdjbdnsくらいしかありませんでしたが、現在ではさまざまなDNSサーバが利用できるようになりました。 MaraDNS NSD PowerDNS DNSはサイト固有の要件が増えることが多く、またテキストファイルによる管理では不都合もなにかとでてきます。このため、RDBMSでレコードを管理できると便利です。BINDをRDBMSに対応させるパッチも存在します。 PowerDNSとは ここでは、RDBMSを利用でき、容易な管理をサポートする機能が豊富なPowerDNSを紹介します。 PowerDNSは豊富なバックエンドをサポートするDNSサーバです。コンテンツDNSサーバとキャッシュDNSサーバの両方をサポートしており、それぞれは別のプロセスとして実行されます。すでに大規模なサービスプロバイダでも採用されており、実績も十分あるとされています。バック
This webpage was generated by the domain owner using Sedo Domain Parking. Disclaimer: Sedo maintains no relationship with third party advertisers. Reference to any specific service or trade mark is not controlled by Sedo nor does it constitute or imply its association, endorsement or recommendation.
zone2sqlを実行すると、こんなSQLを吐いてくれますので MySQLに突っ込んでおきます。 $ zone2sql --named-conf=/home/quanchan/named/named.conf \ --gmysql --start-id=1 > quanchan.sql $ cat quanchan.sql insert into domains (name,type) values ('quanchan.org','NATIVE'); insert into records (domain_id, name,type,content,ttl,prio) select id ,'quanchan.org', 'SOA', 'ns.quanchan.org postmaster.quanchan.org 2004091501 10800 3600 604800 38400',
nslookup(dig)テスト【DNSサーバ接続確認】は、サーバー監視者向けにご提供しています。 ご指定のホストまたはIPアドレスに、当社サーバーでコマンドを発行しDNS情報の取得を行います。 問い合わせるDNSを指定することで、外部(インターネット)からDNS応答が正常出来るか確認することができます。 nslookup slookupコマンドを利用しDNS問い合わせを確認することができます。 dig digコマンドを利用しDNS問い合わせを確認することができます。 「dig」で「PTR(逆引き)」を指定した場合、入力されたIPアドレスをin-addr.arpaに自動変換しコマンド実行します。 ご指定のホスト名(FQDN)にDNS問い合わせを行い結果を表示します。 該当ホストのDNSに実際にアクセスされますのでログが残る可能性があります。 DNS問い合わせ結果取得までに30秒程度かかる場
このWHOISサービスはJPRSが 提供するドメイン名登録情報検索サービスです。 ご利用にあたっては、以下の文書をご覧ください。 → JPドメイン名登録情報等の公開・開示に関する規則 → gTLD等ドメイン名登録情報等の公開・開示に関する規則 → JPRS WHOIS ご利用ガイド WHOISについての一般的な説明は「 Whoisとは?」をご覧ください。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く