権威 DNS サーバへの再帰問い合わせ - どさにっき
2013年7月1日(月) ■ 権威 DNS サーバへの再帰問い合わせ _ 権威サーバに再帰フラグつき(RD=1)で問い合わせてくるようなものを ごにょごにょするようにしてから1ヶ月ちょい。前にも書いたように、もともとの動機は名前解決をわざと失敗させることでメールでの spam を減らすことだったんだけど、spambot 以外にも RD=1 で問い合わせてくるものは案外多いことがわかった。だいたい傾向がわかってきたのでとりあえずのまとめ。いくつかの分類に集約することができる。 _ まず、オープンレゾルバかどうかを調査する問い合わせ。非常に多い。ripe.net/ANY とか directedat.asia/ANY とか 1rip.com/ANY とか聞きにくる。つーか、 ここに名前が出てくるドメイン全部観測してる。たぶん port 53 が開いているかどうかにかかわらず、手当たりしだいにパケ
どさにっき
2012年11月18日(日) ■ 無題 _ 土曜日は雨降りだったので出かけるつもりはなかったんだけど、やっぱりじっとしていられなくて夜のうちに飛び出す。ちうことで茨城方面へ。花貫渓谷→竜神大吊橋→袋田の滝(ここまで茨城)→竜門の滝(これは栃木)。 _ 花貫渓谷はこの構図の写真をよく見るが、よほど想像力を働かせないとこの構図以外は無理だとわかった。 袋田の滝にはもう何度も来てるが紅葉時期は初めて。そしてこんなに人がたくさんいるのを見たのも初めて。 烏山の竜門の滝。駅から歩いてすぐの人里近い場所にあって水量も多くて豪快な滝なんだけど、なぜか観光地としては無名。夏に来ると近所の子供が滝壷で水遊びしてたりする。 2012年11月19日(月) ■ DNSSEC ロールオーバー不要論 _ 水曜日、また どこぞで DNS について喋ります。まだ空きはあるようなので、平日なのにヒマを持て余してるような人は
localhost の特別扱い - どさにっき
2012年10月2日(火) ■ localhost の特別扱い _ localhost というのはローカルなホストであって外部のホストではない。はず。なので、デフォルトで特別扱いしているアプリというのがたまにある、というのがちらっと近所で話題になって思い出したことを。 _ MySQL。サーバではなくクライアント側のライブラリ。この手の特別扱いでとびぬけておかしな挙動をしやがる。接続先ホストとして localhost を指定すると、127.0.0.1 でも ::1 でもなく、接続先を勝手に UNIX ドメインソケットに変更してつなぎにいきやがる。 詳細。ライブラリが勝手にやってるので、それを利用するアプリはすべてこのような挙動になる。localhost で待ち受けているのが自ホストの mysql サーバではなく、他ホストで動いている mysql に接続するために掘ったトンネルだったりするとこ
ルートサーバをでっちあげよう - どさにっき
2012年2月22日(水) ■ Apache 2.4 正式リリース _ 2.4.1 出た。…2.4.0 は? _ しばらく前からリリースされそうな気配が見えてたので、うちのサーバも 2.3 の最終版で設定のテストをしておこうかと思ったんだけど、間に合わずリリースが先になってしまった。ずいぶん前から評価目的ではいろいろいじってたので、とくにとまどうことなく移行できる目算はついてはいるんだが。このところなんか時間が取れないな。仕事は(いつもどおり)あまりしてないのになんでだろ。まあ、本気でやろうと思えばこの程度の作業に使う時間ぐらいは確保できるので、その程度のやる気しかないってことだが。 ■ ルートサーバをでっちあげよう _ global blackout の件、なんか Anonymous は おれ知らねーとか言ってるし、落とすの無理っしょ、とかいう 記事に対して いい指摘だとか言ってる。わし
DNSCrypt - どさにっき
2011年12月7日(水) ■ DNSCrypt _ OpenDNS によるエンドユーザとキャッシュサーバの間を暗号化する試みだそうな。キャッシュサーバとコンテンツサーバの間を暗号化する DNSCurveをクライアント側でも利用できるように、という発想らしい。DNSSEC に対応したスタブレゾルバも現状では存在しないし、ここでの毒入れを防ぐというのはたしかに重要なことだろう。 _ DNSCurve って、どうやら ISP や企業内の共用キャッシュ DNS を使う従来のモデルと異なり、個別のクライアント PC ごとにインストールしてそれぞれが full recursive なサーバとして動作させることを意図してるようで (*1)、そうであればスタブレゾルバとキャッシュサーバの間の毒入れは気にしなくていいんだけど、しかしその一方でキャッシュ効率が極めて低くなる。そんなのが世界中に普及されてしま
SMTP 受信の TLS 対応 - どさにっき
2011年11月11日(金) ■ RRSIG の有効期間 _ fbi.gov が DNSSEC fail してるよー、という話が聞こえてきたんだけど、うちの環境では ad フラグが立ったまま。dig の出力をよく見ると、うん、たしかに RRSIG の有効期間が切れてるな。なんで検証できちゃってるの? _ …unbound の小さな親切だったみたい。時刻のズレをある程度許容してるので、一定の範囲内であれば検証失敗にならないよ、と。へー。でもこういうのって署名する側であらかじめ余裕を持った範囲で期間を設定しておくものなんで、それを検証側でさらに緩めてしまうのもどうかと思うなぁ。 _ unbound.conf(5) を見ると、このへんのことは以下の値をいじることで制御できるみたい。夏時間の時差を許容するために1時間はおっけー、って、UTC なのになんで夏時間が? val-sig-skew-min
どさにっき
2011年10月29日(土) ■ ドメイン更新 _ maya.st がもうすぐ失効するから金払え、というメールが。もうそんな時期か…。円高なので、選択できる最長期間の5年で125ユーロ支払い。今は1ユーロ107円なので、1年あたり2700円ぐらい。取得したころは1ユーロ135円ぐらいだったような記憶が。 _ で、その手続きなんだが、こちらが maya.st の正当な持ち主であるという認証を一切せずに決済が完了しやがった。いいのか? 個人情報その他見られて困る情報は一切表示されないので、赤の他人にヤバい情報が漏れるということはないんだが、しかし認証なしということは金を払ってくれるなら誰でもいいってことなのか…? ■ DNS 浸透問題 _ なぜ「DNSの浸透」は問題視されるのか。たいへん詳しく説明されてるんだけど、あんまり長くて核心にたどりつく前に挫折した。たぶん間違ったことは書いてないだろう
W6D で問題は起きるか? - どさにっき
2011年6月3日(金) ■ W6D で問題は起きるか? _ フレッツ光ユーザーは6月8日の「IPv6 Day」に注意、Webが見られぬ恐れとかいう記事が出てますが。 _ いま現在 デイリーポータルZが問題なく見られれば、W6D 当日も大丈夫でしょう、たぶん。dpz って実は先月のうちにデュアルスタック化が完了していて、ひと足はやく World IPv6 Day な状態になってるので、問題が起きるような環境ならすでに dpz で起きてる可能性が高い。その他、 こののリストにあるサイトも同様。dpz では問題ないけどほかで問題がある、という可能性も十分あるけどね(dpz は AAAA が1個だけで、1回のフォールバックで A にいくのでわりと単純)。ちゃんとテストするなら こういうところで。なんかおかしい場合は、 このへんの対策を取ればいいんじゃないかな。 _ いま問題が起きていてうまくつな
ぷららオーバーブロック - どさにっき
2011年5月12日(木) ■ ぷららオーバーブロック _ 大手のニュースサイトではほとんど記事になってないなぁ。「 ネット接続を遮断する「ブロッキング」、対象外のサイトまで閲覧不能に、ぷらら」というこれだけ? ニュースサイト以外では ここの 2ch まとめぐらいか。 _ 大手 ISP では 4/21から児童ポルノのブロックがはじまっているんだけど、ぷららだけはそれ以前からユーザの同意を得てエロコンテンツとかをブロックする 独自サービスをやってたわけね。で、何をやらかしたのか、ぷららの内部でこの両者がごっちゃになってしまったらしく、ぷらら独自サービスを申し込んでいない人が独自サービスの規制にひっかかった挙句、そのときに表示されるのは独自サービスの規制画面ではなく、各 ISP でやってる児童ポルノブロックにひっかかったときの規制画面というカオスなことになってしまった、ということらしい(現場に
Postfix Postscreen Howto - どさにっき
2011年4月1日(金) ■ 電力不足解消のために _ 独身男性が日頃から励んでいる自家発電の成果を東京電力が買い取ることになったらしい。単体試験の成績が良好ならば結合試験未経験でも認める方向とのこと。もてあまし気味だった燃料棒を有効活用するいい機会だね。 _ 当初は少女の希望と絶望の相転移から得られるエネルギーを活用する案が有力視されてたようだけど、営業マンが顧客に十分な説明をせず契約を取っていた問題が発覚してうやむやになったみたい。 2011年4月8日(金) ■ Postfix Postscreen Howto _ POSTSCREEN_README の翻訳を最新版の 2.8.2 のものに更新。 snapshot のころとほとんど変わってなければ無視するつもりだったんだけど、けっこう変更点が多いし、正式版でないものを元にした翻訳を放置しておくのはさすがにアレかな、と。どんなにクソ古くて
どさにっき
2011年3月3日(木) ■ 無題 _ qmail 512バイト問題の件、JPRS からも アナウンスが出ましたな。 _ この問題は DNSSEC によって発現しやすくなったけれど、DNSSEC が原因ではないので念のため。あくまで qmail の側のバグで、DNSSEC をやってないサイトにメールを送るときでも条件さえ揃えば起きる。たとえば、microsoft.com や apple.com は DNSSEC 未対応だけど、どちらも ANY で512バイト以上返すので未パッチの qmail ではメールを送れないはず。とっととパッチを当てるか qmail 以外に乗り換えてくださいまし。 ■ 続・v6 逆引き _ IPv6の逆引き設定は必要か? したがって、全部とはいいませんが、必要なホスト(/128)を個別に設定し、割り当てられたブロック/64とか/48全体に対しては同じ応答を返すように*
st とか ly とか
2011年2月21日(月) ■ st とか ly とか _ うちで使っている .st という TLD って DNSSEC 対応するつもりあるんだろうか、と調べてみたんだけど、どうなんだかわからんかった。それはともかく、調べてるうちにサントメ・プリンシペという国についてまったく何も知らないことに今さらながら気がついた。 _ 島国だというのは知ってたのでカリブ海あたりの中米の小国かなと思ってたんだけど、ぜんぜんそうではなく、西アフリカらしい。で、 ここを見てみると、サントメ・プリンシペに割り当てられた IPv4 アドレスの数は、ゼロ…。なんつーか、いろいろ申し訳ない気持ちになった。.st ドメインって実はけっこう高いんだけど(取得したときは酔ってたのでそんなことはぜんぜん考えてなかった)、このうちどのくらいの額がスウェーデンのレジストリ運営会社にピンハネされることなくサントメ・プリンシペ本国に
どさにっき
2011年1月14日(金) ■ うんこ _ 特定サイトから直リンクされた画像を一発でウンコの画像にする方法。301 でリダイレクトすんのはマズいんじゃね? 302 じゃないと。 _ あと、この方法だと、ブラウザやプロクシにキャッシュされそうな。いったんキャッシュされると、それが消えるまでの間はもともとの想定どおりでのアクセスでも正しい画像ではなくうんこ画像が見えてしまう。 _ うんこ画像がキャッシュされないように Cache-Control: をてきとーにいじるか、あるいは referer によって応答がかわることを明示するために Vary: Referer を返すかしないといけない。HTTP の仕様としては Vary を使うのが正しいんだろうけど、これだと異なる referer でアクセスされるたびに異なるキャッシュが生成されて無駄が大きいし、そもそも Vary に対応してないクライアン
qmail はオワコン - どさにっき
2011年2月1日(火) ■ ちょっとトイレットペーパー買い占めてくる _ 一般向けの記事も出てるぐらいなんで別にいまさら書く必要もない気がせんでもないが、自分が後で思い出したくなったときのためにメモ。 _ ipv4 がめでたく売り切れました。厳密にはまだ /8 が5個残ってるけど、これは RIR に自動的に分配される分なので、おばちゃんおかわり、と言ってもごめんねーごはんもうないんだわ、となる。 _ 最後のおかわりは、大方の予想どおり APNIC に2ブロック。この APNIC の在庫も年内には枯渇するはず。ほとんど中国が使っちゃうのかなー。 _ 2003年8月の記事。 RIR exhaustion of the unallocated address pool would occur in 2022. 2003年の時点で、RIR の枯渇が2022年の予想。文中では言及されてないけど、
どさにっき
2011年1月1日(土) 元日 ■ 謹賀新年 _ 正月なので餅を焼いてみた。車内で。 _ いやはや元旦からまたすごい雪だこと。早朝はそれほど降ってなかったんだけど9時過ぎぐらいから激しく降りだした。一年の計は元旦にあり、という言葉を思い出してしまって、ああ、今年のわしはこんな見通しが暗いのか、などとよけいなことを考えてしまった。昼前にはすっかりやんで、それからしばらくするうちにあっとゆーまに解けてしまったんだけどね(解けたのではなく、わしの移動先がもともと降ってなかっただけなのかもしれんが)。 _ 正月なので、初詣。高千穂神社と天岩戸神社。ここに辿りついたころにちょうど雪がやんだのだが、そうでなければ「無事帰れますように」などというどうしようもないお願いをするところだった。 _ 九州を無事横断して太平洋まで出てくると、さっきまで雪が降ってたのがウソみたいに晴れて暖かい。うん、こういうのを求
Norton DNS Public Beta - どさにっき
2010年6月7日(月) ■ 通信の秘密の破りかた。 _ 日本では通信の秘密が保証されているけど、通信当事者の同意があれば、その通信内容を覗き見してもいいと解釈されてるよ。 _ たとえば、ISP による電子メールのウィルスチェック/スパムフィルタ。あれは、ユーザがそれを望んでいることが明白だから(だって自分でオプション契約を申し込んだよね)、通信の秘密が侵害されたわけじゃない、という扱いだよ。正当業務行為とか、緊急避難とかじゃなくて、当事者による同意が違法性の阻却理由。同意を得る手続きなしで勝手にウィルスチェックしてたら(感染しなくてありがたいかもしれないけど)違法だよ。ところで、gmail のウィルスチェックとかスパムフィルタって同意した記憶ないんだけどあれどうなってんのかね。日本向けに日本語でサービスしてて日本法人もあるけど海外企業だから日本の法律は適用外なんかね。 _ でも、メールっ
ISP のサーバ経由で送られるスパムを流量制限で対抗できるか - どさにっき
2010年3月13日(土) ■ 無題 _ ISPのメールサーバを経由するスパム。別に今にはじまったことじゃないよね。ってゆーか、むしろ先祖返り。業者による大量送信もそうだし、ワームに感染した PC からの意図せぬ送信も昔っから。 _ 感染先をメールで広めるウィルスが出始めたころは、今と違って自力で MX 検索なんてしてなかった。MSOE のレジストリを調べて ISP 経由で送信してた。Nimda とか。Klez とか。当時は SMTP AUTH なんてまったく普及してなかったし、POP before SMTP ですら他社 ISP からローミング接続するとき以外は必要なし、なんてのがほとんどだったから、ウィルスも認証まわりの難しいことは実装しなくてもよかったんだよね。 _ 最近は海外でも OP25B が普及しつつあるようなので、spammer が手段をメールにこだわり続けるのであれば、MX
どさにっき
2010年1月12日(火) ■ あたらしいプログラム言語を作った _ これにいたく感銘を受けたので、モールス淫語ではなく、プログラムを書けるようにしてみた。 % cat hello.an あああんああんあああっんっあああああんんああんあんっんっあああああんん あんんああっんっあああああんんあんんああっんっあああああんんあんんんんっんっ あああああんあんんああっんっあああああんあああああっんっあああああんんん あんんんっんっあああああんんあんんんんっんっあああああんんんああんあっんっ あああああんんあんんああっんっあああああんんああんああっんっあああああん ああああんっんっあああああんあんあっんっああっっっ % ./aegi hello.an Hello, world! ……すまん。 _ 中身は、 whitespaceのトークンを変更しただけ。whitespace における空白、タブ、改行が
ラウンドロビンの並び換え - どさにっき
2009年7月12日(日) ■ 免許更新 _ 去年事故ったとき(わしゃ悪くないやい、ぶつけられただけだい)、現場検証したおまわりさんにはあとで出頭してもらうからそのつもりでとか言われたけど、何の音沙汰もなくけっきょく青切符なしだったので、違反点数ゼロで無事ゴールド免許。 _ 役所だから平日だけかと思ったらゴールド免許のみ日曜日も更新受付をやってるらしい。どこもそうなのか、千葉だけなのかは知らんが。前回更新は青免許だったので平日だったけど、そんなわけで、今日運転免許の更新にいってきた。 _ が、日曜は混むわ。前回の青免許のときは講習1時間込みで1時間半もかからずに新しい免許証をもらえたけど、今回は優良ドライバーで講習時間が短くなったにもかかわらず2時間。次は平日に来よう。5年後だが。 _ そんなわけで、青免許がゴールド免許に、普通免許が中型免許に、さらに IC チップ入り免許証に、といろいろ
どさにっき tail -f | grep | grep
2009年3月21日(土) ■ 無題 _ 房総半島一周500km。けっこうな距離なので車中泊の準備をしてったんだけど、日帰りで走りきってしまった:-)。思いのほか見るべきところが少なかったというのが大きいんだが。 ■ tail -f | grep | grep _ このへん。 リアルタイムでログを見る時、tailをよく使うと思います。 tail -f /var/log/httpd/access_log phpを含み、jpgとpngを含まないログを表示 tail -f /var/log/httpd/access_log | fgrep php | fgrep -v jpg | fgrep -v png 残念でした。後者は「リアルタイム」では見られません。 _ これはリアルタイムで見える。 tail -f filename これも期待どおり。 tail -f filename | grep h
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
