dnsmasqでDNSおよびDHCPサービスを強化する | OSDN Magazine
ネットワークが小規模で、ユーザのほとんどが主にインターネット上のサービスを利用している場合は、名前ではなくIPアドレスの数値を各ノードに割り当てておけばよい。しかし、ネットワークが拡大して組織内のサービス(Wiki、メールサーバ、メディアサーバなど)がオンライン化されると、個々のアドレス値をいちいち覚えきれなくなってくる。解決策の1つが、dnsmasqを使ってドメインネームサーバ(DNS:Domain Name Server)と動的ホスト構成プロトコル(DHCP:Dynamic Host Configuration Protocol)を実装することだ。そうすれば、外部DNSアドレスをキャッシュしてパフォーマンスの向上が図れるほか、ネットワークのすべてのメンバへのIPアドレスの動的割り当てや、あらゆる管理の一元化が可能になる。本記事ではその方法を紹介しよう。 SOHO(個人および小規模事業者
第4回 Unboundサーバ運用Tips | gihyo.jp
※ AS112ゾーンはプライベートアドレスやリンクローカルアドレスの逆引きのゾーンのことです。Unboundではデフォルトでこのゾーンに対する問い合わせにはNXDOMAIN(情報なし)を返します。 設定例を1つ紹介します。 試験用のドメイン「local.」を運用していて、登録したホスト以外への問い合わせに対してはインターネットに問い合わせが行かないようにしたいときには、次のような設定を行い、タイプには「static」を記述します。 local-zone: "local." static local-data: "host1.local. A 192.168.0.1" この設定では、host1.localのAレコードの問い合わせには192.168.0.1が返されますが、host2.localのAレコードの問い合わせにはNXDOMAINが返されます。 指定したDNSコンテンツサーバに問い合わる
第3回 Unboundの導入(乗り換え編) | gihyo.jp
前回はUnboundを新規導入する方法について紹介しました。今回は他のDNSサーバからUnboundに乗り換える方法を紹介します。 なお、本記事ではLinuxディストリビューションの1つであるCentOS 5.2での導入手順を紹介します。他の場合には適宜読み替えてください。 Unboundのインストール インストール Unboundのインストール方法については前回の記事をご覧ください。 動作確認 すでにBINDなどの他のDNSサーバーが動いている場合にはポート番号が衝突するため、そのままでは動作確認を行うことが出来ません。そのため、Unboundの設定ファイルunbound.confに次のように通常のポート番号と異なる番号を設定します。 port: 10053 unboundを起動させてみましょう。 # /etc/init.d/unbound start 次のようにdrillに-pオプショ
第1回 5分でわかるUnbound | gihyo.jp
本特集では、次世代DNSサーバソフトウェア「Unbound」にフォーカスし、機能や特徴を解説しながら、実際の運用ノウハウについてお届けします。第1回目はUnboundの基礎知識について解説します。 Unboundの概要 UnboundはBINDの代替を目指したDNSキャッシュサーバです。2008年5月20日に正式版1.0がリリースされました。オープンソースのソフトウェアとして公開されており、ライセンスはBSDライセンスです。 UnboundはNLnet Labsにより開発と保守が行われています。UnboundはVerisign labs、Nominet、Kirei、ep.netによりJavaで開発したプロトタイプを、NLnet LabsがCで実装し直したものです。ちなみに、NLnet Labsはルートサーバとしても利用されているDNSコンテンツサーバのNSDも開発しています。リリースされた
講習会「DNS基礎」
初めまして。kounoと申します。 以後よろしくお願いします。 去る9月16日、「DNS基礎」というお題目で講習会を開きました。 DNSは現在のインターネットの根幹を担う重要なサービスであり、様々なアプリケーションで使用されています。 DNSは、世界中のサービスと連携する必要があり、自社のみで全てをコントロール出来ません。 さらに、ネットワークに与える影響が大きい非常に重要なサービスのため、組織内で設定できる人員も限られていると思います。 そのため、ディノ社内でもDNSの設定権限があるのは一部のメンバーのみで、残りのメンバーは他の誰かに依存しています。 今回の講義では、多数派のDNSを触る権限がない人を対象に より円滑に トラブルなく進める為に 必要な最低限の知識、DNSサーバ管理者とのコミュニケーションについて説明しました。 補足 SPFレコードの説明がされてないと社内でツッコミを
@IT:DNSリゾルバのニューフェイス「Unbound」(1/2)
2008年5月にリリースされたばかりの新しいDNSリゾルバ「Unbound」は、シンプルで高速に動作するうえに、話題となっているDNSキャッシュポイズニング攻撃への耐性も高いという特徴を備えています。(編集部) 株式会社 サードウェア 岩崎 登 2008/10/17 DNSとは、そしてUnboundとは UnboundはオランダのNLnet Labsが開発しているDNSキャッシュサーバ(DNSリゾルバ)である。2008年5月に正式版のバージョン1.0.0がリリースされ、BSDライセンスの下、オープンソースソフトウェアとして公開されている。 NLnet Lab.は、DNSコンテンツサーバ「NSD」の開発元としても知られており、開発元の信頼も高い。 インターネットでは、IPアドレスによって、アクセスするサーバ(ホスト)を特定している。IPアドレスとは、いわゆる郵便番号のようなもので、インターネ
Unbound - About
Unbound is a validating, recursive, caching DNS resolver. It is designed to be fast and lean and incorporates modern features based on open standards. To help increase online privacy, Unbound supports DNS-over-TLS and DNS-over-HTTPS which allows clients to encrypt their communication. In addition, it supports various modern standards that limit the amount of data exchanged with authoritative serve
DNSSECは解決策になりえるか? DNSの脆弱性の発見者に聞く
セキュリティシンクタンクの米Black Hatとインターネット協会の共催によるカンファレンス「Black Hat Japan 2008」が10月5日から10日まで、東京・新宿の京王プラザホテルで開催中だ。 まず、8日までの4日間は、授業形式で詳細な知識を解説する「トレーニング」を実施、続いて9日・10日にセキュリティ専門家らによる講演「ブリーフィングス」を実施する。 9日に行われるブリーフィングスの基調講演には、セキュリティ研究者のDan Kaminsky氏が登場する。Kaminsky氏は、7月にその存在が広く公になったDNSキャッシュポイズニングの脆弱性(通称「カミンスキー攻撃」)の発見者。8月にラスベガスで行われたBlack Hatに引き続き、日本でもこの脆弱性について講演する予定だ。今回、Kaminsky氏にメールでインタビューした。 なお、ブリーフィングス2日間の参加費は8万950
DNSの技術をサービスに活かすポイント : LINE Corporation ディレクターブログ
こんにちは、齋藤です。 今回は DNS / ドメインの話をしたいと思います。 【01】なぜ今ドメインか? ドメインは今や当たり前のようにネット上に普及していますが、ディレクターが新しいサービスを始めるとき、試験環境でドメインがまだ割当たっていない場合もあります。また、このドメインを使うことによって、負荷分散、ひいてはインフラを理解する手がかりにもなります。以下の内容はそのような観点に立って、ディレクターに役立つドメインの知識を書いていこうと思います。 【02】ドメインとは インターネットの通信は本来 TCP/IP によって、32ビットの IP アドレスベースで相互に通信します。HTTPの場合はこの通信がさらに限定されて、異なるIPアドレス間のリクエストとレスポンスしかありません。しかし、人の頭脳は32ビットの数値を憶えることがあまり得意ではありません。そこでその数値に「livedoor.c
GMOインターネット、お名前.comで「セカンダリDNS」を開始
GMOインターネットは9月4日、同社が運営するドメイン登録サービス「お名前.com」で、同サービスのユーザーを対象にセカンダリDNSサーバを無償で提供する「セカンダリDNS(DNSゾーン転送)」を開始した。 セカンダリDNSは、ユーザーが管理しているプライマリDNSサーバと、お名前.comが用意したセカンダリDNSサーバとで、運用するドメインに関する情報(ゾーン情報)を共有するサービス。プライマリDNSサーバーの情報を定期的にセカンダリDNSサーバーへ転送することで、ゾーン情報を同期させることができる。 独自ドメインの運用では、負荷分散や障害対策のために2台以上のDNSサーバを用意するのが望ましいが、運用コストの問題などにより、DNSサーバ1台でドメインを運用しているユーザーも多いという。 同サービスを利用することにより、DNSサーバの負荷を分散させることができるほか、プライマリDNSサー
今更だけどDNSキャッシュポイズニングについて簡単に説明するよ! - そして、DNSポイズニングがなかなか対応されない理由。 - FreeBSDいちゃらぶ日記
先日IIJの一日インターンに行ってきました。 NDAがあるので、事細かに書くことは出来ないのですが、教育的なプログラムが組まれていて非常に面白かったです。 そこで、色々お話しして、その中でDNSポイズニングがなかなか対応されない理由、当たり前の理由が聞けたので、「DNSポイズニングって何がヤヴァイのか良くわかんね」って人に向けた簡単な解説とあわせて書きたいと思います。 まず、DNSキャッシュポイズニングの何が怖いか? 簡単に言うと、 「googleに繋いだはずが全く別サイトに繋がっちゃう!」 って話です。 本当に繋ぎたいサイトと違うサイトに繋いじゃう事が出来るので、例えば 実在するショッピングサイトそっくりの偽サイト作って、ショッピングさせて。クレジットカードの番号ゲットしちゃったり、住所ゲットしちゃったり。 夢が広がる怖い事が出来ちゃいます。 きちんとしたセキュリティ対策していれば大丈夫
DNSの危機に対応を
DNSの危機に対応を! 〜キャッシュ毒入れ新手法 Kaminsky Poisoning 〜(8/28 脅威についての説明追記) 2008年7月、セキュリティ技術者 Dan Kaminsky 氏が考案したDNSに対する新たな攻撃手法が明らかになり、8月6日、Kaminsky氏による発表がセキュリティ関連の国際会議 Black Hatで行われました。 これはDNSキャッシュサーバに偽の情報を注入(毒入れ/Poisoning)するものです。DNSは原理的にキャッシュへの毒入れ脆弱性を持ち合わせており、特に脆弱な実装のDNSサーバソフトウェアでは過去に何度か対応が図られてきました。今回あきらかになった手法は従来手法よりはるかに効率的に、状況によってはほぼ確実に毒入れができるというもので、大変危険なものです。 すでに攻撃コードも公開されており、被害も発生していることが報告されています。 まず、以下の
Web-based DNS Randomness Test
2023-06-01: This service has been deprecated in favor of Check My DNS. US-CERT's Vulnerability Note VU#800113 describes deficiencies in the DNS protocol and implementations that can facilitate cache poisoning attacks. The answers from a poisoned nameserver cannot be trusted. You may be redirected to malicious web sites that will try to steal your identity or infect your computers with malware. Wor
porttest.dns-oarc.net -- Check your resolver's source port behavior | DNS-OARC
2023-06-01: This service has been deprecated in favor of Check My DNS. The announcement in Jul 2008 of CERT VU#800113 made it clear that resolvers should use random source source ports when sending queries. Here at OARC, we crafted a special DNS name and server that you can query to learn whether or not your own resolver is using random ports. Use a DNS query tool such as dig to ask for the TXT re
BIND での "_" を含むホストの扱い - ~fumi/ChangeLog
CVE-2008-1447 の件で会社の BIND をアップデートしてまわっていたところ, /var/log/message に foo_bar.example.com: bad owner name (check-names) というようなエラーがでて,その zone の名前解決ができなくなった. で,ググったところ - エイジの気まぐれ日記: BINDで名前解決ができない http://blog.age-net.jp/2007/03/bind.html によると, どうやらBIND9.3.1から、「check-names」がデフォルトでfailと設定されており、アンダースコア(_)をはじいてしまっていたようだ。 ということなので,named.conf の該当する zone に check-names ignore; を追記し,名前解決ができることを確認. ホスト名に"_"が使えない根拠
DNSキャッシュ汚染に関する脆弱性が公表さる | スラド セキュリティ
US-CERTは、DNSプロトコルおよび一般的なDNS実装における機能欠如により、DNSキャッシュ中毒攻撃(DNS cache poisoning attacks)を助長する脆弱性の存在を公表した(US-CERT Technical Cyber Security Alert TA08-190B, US-CERT Vulnerability Note VU#800113, CNET記事)。 US-CERT TA08-1908によると、影響するのは次の2点である。 キャッシングDNSリゾルバ DNSスタブリゾルバ の 2つである。この脆弱性を利用した効果的攻撃法も示される状態にある。解決する最善の方法としてはベンダのパッチを適用することだが、暫定的な回避方法として5点挙げられている。 アクセスの制限 ネットワーク境界点におけるトラフィックのフィルタリング ローカルでDNSキャッシュを行う 再帰
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
unbound を使ってみる - ~fumi/ChangeLog
日本Unboundユーザー会
DNS発明者のモカペトリス氏、DNSセキュリティの強化訴える
NPO東海インターネット協議会理事、鈴木常彦氏によるプレゼン資料「DNSの危機に対応を」もうだめかもしれないけど、、、