権威DNSサーバーはどのように監視すればよいですか?
権威DNSサーバーに対する監視は、一般的なWebサーバーなどと同様「死活監視」「リソース監視」「ログ監視」を行うとよい。 権威DNSサーバーは、一般的なWebサーバーなどと同様「死活監視」「リソース監視」「ログ監視」を行うとよい。例えば、死活監視では、監視用ホストなどから定期的にPing応答確認やDNSの応答確認を行い、リソース監視では、CPU使用率、メモリ使用率、ディスク使用率、送受信トラフィック量、送受信パケット量の短期的、長期的な取得を行うといった具合である。一方、ログ監視では、一般的なOSが出力するログに加えて、DNSサーバーソフトウェアが出力するログを取得するとよい。 DNSサーバーソフトウェアによっては、DNSの問い合わせ(クエリ)内容を全てログ出力する機能があり、そのような機能を使って出力したログを定期的に分析することができる。しかしながら、大規模なサーバー構成や大量の問い合
【AWS】とっても便利な’Amazon Route53’のエイリアス機能を利用してロードバランサ(ELB)を設置してみました!
【AWS】とっても便利な’Amazon Route53’のエイリアス機能を利用してロードバランサ(ELB)を設置してみました! 前回、【AWS】AMIMOTOで構築したwordpressに独自ドメイン割当手順【Route53】では直接AMIMOTOのIPアドレスを固定してDNSに設定しました。 今回は、EC2インスタンスのスケーラビリティを考慮して、EC2の前にロードバランサ(ELB)を設置したいと思います。 やりたいこと ・EC2の前にロードバランサ(ELB)を設置したい ・ネイキッドドメイン(サブドメイン(www)なしのURL)が使いたい ここで一つ問題があります! ELBはIPアドレスが固定されていない上に、名前解決(URLをIPアドレスに変換)したときに複数のIPアドレスが返ってくることがあります。 つまり、DNSのAレコードに特定のIPアドレスを指定できない。 【通常のDNSの動
DNSキャッシュポイズニングの基本と重要な対策:Geekなぺーじ
2014年4月15日に公開されたJPRSの緊急注意喚起に続き、中京大学の鈴木常彦教授によるDNSキャッシュポイズニングに関する技術情報が公開されました。 今回公開された技術情報に書かれている内容には、DNSの本質につながるさまざまな要素が関係しており一回で書ききれるものではなく、また、書いている側(私)も、それぞれの要素技術について勉強しながら理解しつつ進めていかないと混乱してしまうということが良くわかったため、これから数回に分けて徐々に書いて行くことにしました。 ということで、今回はまず、そもそもDNSキャッシュポイズニングとは何かということと、JPRSの注意喚起に書かれているUDPソースポート番号のランダム化(ソースポートランダマイゼーション)の概要、そしてなぜそれが重要なのかという点について解説します。 DNSキャッシュポイズニングとは インターネットで通信を行うとき、各機器同士は通
強烈なDNSキャッシュポイズニング手法が公開される:Geekなぺーじ
本日、JPRSが緊急の注意喚起を公表しました。 緊急)キャッシュポイズニング攻撃の危険性増加に伴うDNSサーバーの設定再確認について(2014年4月15日公開)- 問い合わせUDPポートのランダム化の速やかな確認・対応を強く推奨 それに対して、2月中旬に脆弱性を発見してJPRSへと報告していた鈴木氏(脆弱性は前野氏との共同発見)が、JPRSの注意喚起では「危険性をよく理解して対策をとるにあたって十分な情報が含まれているとはいえません」として、以下の情報を公開しています。 開いたパンドラの箱 - 長年放置されてきたDNSの恐るべき欠陥が明らかに キャッシュポイズニングの開いたパンドラの箱 キャッシュポイズニングの開いたパンドラの箱 - 2 - 本来であれば、より上位からの正規の回答が優先されなければならないはずなのに、下位側が優先される仕様になっているので、偽装されたデータが優先されてしまう
DNSサーバの役割と構築
< Top / Next > 3章 セカンダリDNSの構築 2011年11月27日 更新 1.DNSの障害対策の必要性 現在、多くの企業や大学、官庁など多くの組織でインターネットを使い、メールやWebサーバの公開をしています。 各組織に置かれたこれらのサーバとの通信では、サーバ名としてFQDN名(ex. "www.example.co.jp")を使っていることでしょう。 このとき、自分のサイトのDNSに障害が発生したらどうでしょう。 相手のサーバやクライアントでは、こちらのサーバ名に対応するIPアドレスが取得できなくなり、メールやWebアクセスが失敗し、業務に支障がでるかも知れません。 また、自分の組織からも相手のサーバが探せなくなり、同じくアクセスに失敗することとなります。 このような障害は、DNSを冗長化させておくことで避けることが可能です。 DNSでは最初に構築した自サイトのDNSを
なぜ「DNSの浸透」は問題視されるのか:Geekなぺーじ
「DNSの浸透」という表現が結構よく使われています。 DNSに設定された情報を更新したけれど、その結果がなかなか反映されずに誰かに相談すると「DNSの浸透には時間がかかります」と説明されて納得してしまうという事例が多いようです。 しかし、うまく準備を行えば、実際の切り替え処理は、いつ完了するのかが不明な「DNSの浸透」を待つのではなく、事前に計画した時間通りに完了させることが可能です。 さらに、本来であればDNS情報の設定者(ゾーン情報の設定者)は、いつまでに世界中のキャッシュが更新されるかを知ることができる環境にあり、それ以降も更新がされていなければ「何かがおかしい」とわかるはずです。 DNSにおける設定内容(DNSのリソースレコード)には、その情報をキャッシュとして保持し続けても良い期間であるTTL(Time To Live)という要素がありますが、TTLはDNS情報設定者が自分で設定
キャッシュDNSサーバのDNSSEC対応
今回は、DNSSECの検証機能を有効にしたキャッシュDNSサーバを構築・運用する方法について解説する。 DNSSECにおけるキャッシュDNSサーバの役割 キャッシュDNSサーバは、名前解決を依頼するクライアントと権威DNSサーバの間に立ち、反復検索を行うサーバである。DNSSECにおいて検証を担当するものを「バリデータ(Validator)」と呼び、多くの場合キャッシュDNSサーバがバリデータを担当する。 第2回でも簡単に説明したが、DNSSECの検証を行うためには信頼の連鎖の起点となる情報が必要となる。これを「トラストアンカー(Trust Anchor)」と呼ぶ。バリデータとなるキャッシュDNSサーバは、トラストアンカーを起点に、DNSSECの信頼の連鎖を検証していくことになる。 DNSの階層構造における委任の起点がルートゾーンであることから、一般的にはルートゾーンの公開鍵情報をトラスト
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
