権威 DNS サーバへの再帰問い合わせ - どさにっき
2013年7月1日(月) ■ 権威 DNS サーバへの再帰問い合わせ _ 権威サーバに再帰フラグつき(RD=1)で問い合わせてくるようなものを ごにょごにょするようにしてから1ヶ月ちょい。前にも書いたように、もともとの動機は名前解決をわざと失敗させることでメールでの spam を減らすことだったんだけど、spambot 以外にも RD=1 で問い合わせてくるものは案外多いことがわかった。だいたい傾向がわかってきたのでとりあえずのまとめ。いくつかの分類に集約することができる。 _ まず、オープンレゾルバかどうかを調査する問い合わせ。非常に多い。ripe.net/ANY とか directedat.asia/ANY とか 1rip.com/ANY とか聞きにくる。つーか、 ここに名前が出てくるドメイン全部観測してる。たぶん port 53 が開いているかどうかにかかわらず、手当たりしだいにパケ
suz-lab.com - suz lab リソースおよび情報
This webpage was generated by the domain owner using Sedo Domain Parking. Disclaimer: Sedo maintains no relationship with third party advertisers. Reference to any specific service or trade mark is not controlled by Sedo nor does it constitute or imply its association, endorsement or recommendation.
日本DNSオペレーターズグループ | DNS Summer Days 2012 開催のお知らせ
「DNS Summer Days 2012 開催のお知らせ」 開催趣旨 インターネットの基幹技術の一つであるDNSは、IPv6の普及やセキュリティ強化 のためのDNSSECが実用段階にさしかかるに伴い、その重要性は増す一方です。ま た、DNSSECを契機として、様々な機能をDNSに載せようという動きも出てきてい ます。 それにも関わらず、DNSの運用にはこれまで十分な関心が払われてるとは言えな い状況で、xSPやサービス事業者、個々の企業や組織でも十分なリソースが割か れていません。また、プロトコルやRFC等の解説文書のわかりにくさも相まっ て、DNSをきちんと理解している技術者の数も十分とは言えません。 DNSに関してはこれまでも、各種イベントやDNSOPSのBoF等の活動はありました が、現状を鑑みるともっと基本から突っ込んだ話までカバーしたイベントの開催 が必要であると判断し、賛同し
さくらDNSにサブドメインハイジャックを許す脆弱性
さくらインターネット株式会社のDNSサービスにセキュリティ上の問題がありましたが、改修されましたので報告します。 DNSサービスへのドメイン登録時における不具合について 障害内容 : 当社の提供するネームサーバサービスにおいて、既に登録されているドメインのサブドメインが、他の会員IDの方に登録できる状態となっておりました。この障害により、悪意のある第三者がドメインの一部を乗っとれる脆弱性につながる危険性がありました。 本問題につきましては現在は解消されており、全ての登録について不正がないかの調査を行っております。 この問題の発見者は前野年紀氏で、私はさくらインターネット株式会社に問題を通告し、改修を促すための連絡などでお手伝いをしました。 (12:00追記)なお、この脆弱性が混入したのは6月8日頃で、さくらインターネットは6月11日から修正を開始し、昨日(6月13日)には改修されましたので
ルートサーバをでっちあげよう - どさにっき
2012年2月22日(水) ■ Apache 2.4 正式リリース _ 2.4.1 出た。…2.4.0 は? _ しばらく前からリリースされそうな気配が見えてたので、うちのサーバも 2.3 の最終版で設定のテストをしておこうかと思ったんだけど、間に合わずリリースが先になってしまった。ずいぶん前から評価目的ではいろいろいじってたので、とくにとまどうことなく移行できる目算はついてはいるんだが。このところなんか時間が取れないな。仕事は(いつもどおり)あまりしてないのになんでだろ。まあ、本気でやろうと思えばこの程度の作業に使う時間ぐらいは確保できるので、その程度のやる気しかないってことだが。 ■ ルートサーバをでっちあげよう _ global blackout の件、なんか Anonymous は おれ知らねーとか言ってるし、落とすの無理っしょ、とかいう 記事に対して いい指摘だとか言ってる。わし
Google Public DNS、世界最大のパブリックDNSに
米Googleは2月14日(現地時間)、同社の「Google Public DNS」の1日当たりの平均リクエスト数が700億件を超え、世界最大のパブリックDNSになったと発表した。 同社は2009年12月、Web高速化の取り組みの一環としてGoogle Public DNSを立ち上げた。 DNSはサイトのURLをIPアドレスに変換する(名前解決と呼ばれている)ことで目的のサイトに接続する仕組みで、その変換は企業やISPなどのDNSサーバが担っている。 Googleは世界中のユーザーに対し、ISPなどのDNSの代替として、このサービスを無料で利用することを勧めてきた。 現在同サービスは米国外で人気があり、約70%のトラフィックが米国外からのものだという。Googleは世界各国で同サービス向けサーバを稼働させているが、今回新たに日本、オーストラリア、インド、ナイジェリアなどに新たにDNSサーバ
DNSCrypt - どさにっき
2011年12月7日(水) ■ DNSCrypt _ OpenDNS によるエンドユーザとキャッシュサーバの間を暗号化する試みだそうな。キャッシュサーバとコンテンツサーバの間を暗号化する DNSCurveをクライアント側でも利用できるように、という発想らしい。DNSSEC に対応したスタブレゾルバも現状では存在しないし、ここでの毒入れを防ぐというのはたしかに重要なことだろう。 _ DNSCurve って、どうやら ISP や企業内の共用キャッシュ DNS を使う従来のモデルと異なり、個別のクライアント PC ごとにインストールしてそれぞれが full recursive なサーバとして動作させることを意図してるようで (*1)、そうであればスタブレゾルバとキャッシュサーバの間の毒入れは気にしなくていいんだけど、しかしその一方でキャッシュ効率が極めて低くなる。そんなのが世界中に普及されてしま
どさにっき
2011年10月29日(土) ■ ドメイン更新 _ maya.st がもうすぐ失効するから金払え、というメールが。もうそんな時期か…。円高なので、選択できる最長期間の5年で125ユーロ支払い。今は1ユーロ107円なので、1年あたり2700円ぐらい。取得したころは1ユーロ135円ぐらいだったような記憶が。 _ で、その手続きなんだが、こちらが maya.st の正当な持ち主であるという認証を一切せずに決済が完了しやがった。いいのか? 個人情報その他見られて困る情報は一切表示されないので、赤の他人にヤバい情報が漏れるということはないんだが、しかし認証なしということは金を払ってくれるなら誰でもいいってことなのか…? ■ DNS 浸透問題 _ なぜ「DNSの浸透」は問題視されるのか。たいへん詳しく説明されてるんだけど、あんまり長くて核心にたどりつく前に挫折した。たぶん間違ったことは書いてないだろう
「DNSの浸透」とアプリケーションのキャッシュ:Geekなぺーじ
さきほど「DNSの浸透」に関して書いたのですが、それに対して「でもTTLを無視するDNSキャッシュサーバがいるから仕方がない」というような反応が一定数登場しています。 「浸透」の話になると、そのような話がほぼ必ず登場するのですが、実際に「この製品がTTLを無視する」とか「このISPで運営されているDNSキャッシュサーバはDNSプロトコルに違反している」という具体例をいまのところ見た事がありません。 「そういう困ったDNSキャッシュサーバも居るんだよ」とか「でもTTLを越えたあとも旧IPアドレスにアクセスあるもん」という感じの主張が多いです。 そんなところにsumikawaさんから以下のようなTweetを頂きました。 確かに、DNSの世界におけるTTL情報はアプリケーションには届かないので、権威DNSサーバのTTLを事前に小さくしたとしても、アプリケーションが持っているキャッシュは制御ができ
なぜ「DNSの浸透」は問題視されるのか:Geekなぺーじ
「DNSの浸透」という表現が結構よく使われています。 DNSに設定された情報を更新したけれど、その結果がなかなか反映されずに誰かに相談すると「DNSの浸透には時間がかかります」と説明されて納得してしまうという事例が多いようです。 しかし、うまく準備を行えば、実際の切り替え処理は、いつ完了するのかが不明な「DNSの浸透」を待つのではなく、事前に計画した時間通りに完了させることが可能です。 さらに、本来であればDNS情報の設定者(ゾーン情報の設定者)は、いつまでに世界中のキャッシュが更新されるかを知ることができる環境にあり、それ以降も更新がされていなければ「何かがおかしい」とわかるはずです。 DNSにおける設定内容(DNSのリソースレコード)には、その情報をキャッシュとして保持し続けても良い期間であるTTL(Time To Live)という要素がありますが、TTLはDNS情報設定者が自分で設定
DNS キャッシュについての考察 | Carpe Diem
比較的アクセスのあるウェブサーバがあって、そのウェブサーバから結構な回数で Web API をたたいています。ご存じのとおり、Linux では DNS をキャッシュしてくれないので、Web API をたたくために毎回 DNS へのアクセスが発生して、DNS の負荷がすこし上がってきたので、ウェブサーバに DNS キャッシュを入れてみることにしました。 今回の用件は、次のとおりです。 Web API でたたくときにドメインを、それぞれのウェブサーバでキャッシュしたい おもに外部ドメインをキャッシュするので、DNS ラウンドロビンにはできれば対応したい ということで、いろいろと調査したり、友人からアドバイスをもらったところ、Unbound、Dnsmasq、caching-server、の三つの選択肢があることが分かりました。それぞれ、CentOS 5.7 x86_64 の環境で、試していました
クラウド時代はDNS Pinningが落とし穴になる | 水無月ばけらのえび日記
公開: 2011年9月3日19時50分頃 モバツイ (www.movatwi.jp)の作者えふしんさんと、Twitterでこんなやりとりをしました。 OperaってDNSのTTL考慮してない?!多くのブラウザは安全性のために短すぎるTTLを無視したりしますが (DNS Pinning)、それとはまた違う話でしょうか?AWSのElastic Load Balancingで、動的にロードバランサーのサーバが増えたり減ったりするようで、夜明けのOperaがよく全然違うサービスに繋がってしまうことがあるんですよね。少なくともクッキーは送っちゃってますよね...あー、なるほど。それはまずいですね。これは盲点でした……。 OperaやIEなどは、DNSのTTLが短く設定されていても無視してキャッシュし続ける事があります。これはDNSの負荷を減らすというだけはでなく、セキュリティ上の意味もあり、「DNS
DNSを理解し設定するための新たな定番本「実践DNS」
日本でもっとも真剣にドメインネームサービス(DNS)の設定と運用を考えている組織の1つが、JPドメイン名の登録管理やDNSの運用を行なっている日本レジストリサービス(JPRS)。 本書はそのJPRSが監修し、社員3人が執筆したDNSの解説本です。編集を担当された渡辺俊雄氏からご献本いただきました。 入門者向け解説から詳細な設定、運用まで DNS関連には「バッタ本」と呼ばれる定番の「DNS & BIND」(オライリー刊)を含め、すでに多くの書籍があります。その中で、本書の特徴は2つあるといえます。 1つは、インターネットでなぜドメイン名が使えるのか、これまでの成り立ちと基本的な仕組みについて入門書として読めるレベルで丁寧に解説していること。DNSの仕組み、信頼性の連鎖などDNSの基礎部分がしっかりと解説されています。 もう1つは、設定や運用の具体的な解説では、DNSサーバの代表的な実装である
どさにっき
2011年3月3日(木) ■ 無題 _ qmail 512バイト問題の件、JPRS からも アナウンスが出ましたな。 _ この問題は DNSSEC によって発現しやすくなったけれど、DNSSEC が原因ではないので念のため。あくまで qmail の側のバグで、DNSSEC をやってないサイトにメールを送るときでも条件さえ揃えば起きる。たとえば、microsoft.com や apple.com は DNSSEC 未対応だけど、どちらも ANY で512バイト以上返すので未パッチの qmail ではメールを送れないはず。とっととパッチを当てるか qmail 以外に乗り換えてくださいまし。 ■ 続・v6 逆引き _ IPv6の逆引き設定は必要か? したがって、全部とはいいませんが、必要なホスト(/128)を個別に設定し、割り当てられたブロック/64とか/48全体に対しては同じ応答を返すように*
どさにっき
2011年1月14日(金) ■ うんこ _ 特定サイトから直リンクされた画像を一発でウンコの画像にする方法。301 でリダイレクトすんのはマズいんじゃね? 302 じゃないと。 _ あと、この方法だと、ブラウザやプロクシにキャッシュされそうな。いったんキャッシュされると、それが消えるまでの間はもともとの想定どおりでのアクセスでも正しい画像ではなくうんこ画像が見えてしまう。 _ うんこ画像がキャッシュされないように Cache-Control: をてきとーにいじるか、あるいは referer によって応答がかわることを明示するために Vary: Referer を返すかしないといけない。HTTP の仕様としては Vary を使うのが正しいんだろうけど、これだと異なる referer でアクセスされるたびに異なるキャッシュが生成されて無駄が大きいし、そもそも Vary に対応してないクライアン
DNSの仕組みの基本を理解しよう
いきなりだが、2001年はDNS(Domain Name System)にとっては、当たり年ともいえる年だった。ニュースなどでも取り上げられているが、「日本語」や「多言語」ドメインという大きな構造変化がシステム全体に押し寄せ、ブロードバンド環境の広がりは、個人がドメインを取得して運用するための足掛かりともなった。 本連載では、ドメインの運用など、これからDNSと付き合おうとしている方々を対象に「DNSの概念や運用の考え方」を明らかにしていこう。ただし「BIND」など、DNSに関する具体的な製品の設定方法については触れない。詳しくは以下の記事もぜひ参考にしてほしい。 DNSはなぜ必要か? 最初に、「DNSとは何か」を説明するために、「なぜDNSが必要になるのか」を考えてみよう。それには、歴史的経緯から考えるのが分かりやすい。 DNSはご承知のとおり、IPアドレスとホスト名をマッピングして相互
浸透いうな!
DNSの引越しをしたけどうまく切り替わらない。なかなか浸透しない。業者に問い合わせると「DNSの浸透には数日かかることもあります。お待ちください」と言われた。 、、、という話をよく聞きますが、「浸透」(伝播、伝搬、浸潤、反映などとも呼ばれる)ってなんでしょう? DNSの設定を変更するのは「浸透」という謎の現象に託す神頼みのような作業なのでしょうか。 2011.10.16 追記:「浸透」と言っている例 DNSの仕組み まず、DNSの仕組みと、特にキャッシュの動作について解説します。...と思いましたが、とっても大変なので省略します。ただ、権威サーバに登録された情報が世界中のキャッシュサーバに配信されるなどという仕組みは DNS には存在しません。浸透という人はそう思っているようですが。(こんなふうに) 「浸透」という言葉で騙されていませんか? 事前に変更したいDNSのレコードのTTLを短くし
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【Internet Week 2012】ドメイン名は親の心子知らず? DNSの委任構造と生まれながらの“業” 
yebo blog: 「.com」にDNSSECを導入
【】現実になってきたDNSSEC、しかし関係者は手探り状態? 