DNSpooqの脆弱性詳細と攻撃コード解説 - knqyf263's blog
概要 要約 詳細 背景 前提 インターネット上に公開されたdnsmasq LAN内のマシンが攻撃者の支配下にある LAN内のマシンに攻撃者管理のWebサイトを閲覧させることができる 影響 中間者攻撃 汚染拡大 DDoS/Reverse DDoS CVE-2020-25684: ポートの多重化 CVE-2020-25685: 脆弱なCRC32の利用 CVE-2020-25686: 同一ドメイン名に対する複数クエリ発行 DNSフォワーダにおけるレスポンスの未検証 組み合わせる ドメイン名の登録 ソースIPアドレスの偽装 CRC32の衝突 攻撃の流れ ブラウザからの攻撃 検証端末 攻撃の成功確率 PoC fowarder cache attacker 大量クエリの送信 偽装レスポンスの送信 高速化の話 実行 対策・緩和策 余談 まとめ 概要 先日DNSpooqという脆弱性が公開されました。 ww
CNAME を巡る 2/3 のジレンマ - 鷲ノ巣
当ブログをご愛読頂いている方であれば、当然ご存知ないことと思いますが、俺は DNS が大好きです。 とは言っても、DNS サーバーの構築とか運用に詳しいわけでも、攻撃に対抗する方法を知っているわけでもありません。 やったことがあるのは、せいぜい、レンタル DNS サーバーでゾーン定義ファイルを書いて遊ぶくらいのものです。 昨今は、DNSSEC で遊びたいのですが、そのための環境が無く、悲しみに暮れています。 閑話休題。 タイトルの 2/3 のジレンマというのは、DNS の運用において成立させたい、とある 3 つの性質のうち、同時に成立できるのは 2 つまでで、3 つ全部を成り立たせるのは不可能だ、ということを指しています。 その 3 つの性質というのは、 Zone Apex によるアクセス DNS サーバーのアウトソーシング 変動する IP アドレス です。 こういうの、何て言うんでしょう
ioドメイン障害を理解するため、DNSの仕組みについて勉強した - $shibayu36->blog;
先日、ioドメインの障害があったのだけど、自分がDNSの仕組みをよく分かっていないせいで、いまいちどういうことが起こっていたのか把握できなかった。そこで、DNSの仕組みについて軽く勉強したので、そのメモを残しておく。内容は間違っているかもしれないので、その場合は指摘してください。 DNSについて学んだこと Software Design 2015/4のDNSの教科書が非常に勉強になった。また、 インターネット10分講座:DNSキャッシュ - JPNICも参考になる。 権威サーバとフルリゾルバ まず、DNSサーバには権威サーバとフルリゾルバの二つの種類が存在する。 権威サーバ ドメインの情報を管理し、自分の管理しているゾーンの情報を提供するだけのサーバ 問い合わせたドメインが自分のゾーンの管理下ではない場合、別の権威サーバへ委任するという情報を返す コンテンツサーバとも言われる? 例) co
aws-cliをつかってDynamic DNSサービス - Qiita
はじめに Route53はAWSのサービスですので、APIが存在します。またawsコマンドで操作も出来ます。 固定IPをもっていないマシンでもDNSで検索できるようなDynamic DNSサービスも簡単に作れます。 ということで、コマンドラインでの設定方法を説明します。cron等にいれればIPが更新されても 大丈夫です。 前提条件 ドメインは既にRoute53に登録してあること aws-cliが利用できること(aws-cli 1.4.3で確認しています) jq,curlが利用できること Hosted Zone IDの取得 まずは登録しているドメインのHosted Zone IDを調べます。以下のようなコマンドで調べられます。
パケットが教えてくれた ルートサーバが 13個の理由
Powerful Spatial Features You Never Knew Existed in Oracle Spatial and Graph ...Jean Ihm
なぜ「DNSの浸透」は問題視されるのか (5):Geekなぺーじ
((4)の続きです) 5. NSレコードの場合を考える Aレコードの場合を紹介しましたが、次にNSレコードの場合を考えます。 多くの場合、「DNSの浸透」という単語が利用されるのは、いわゆる「DNSの引っ越し」のときです。 NSレコードは、Aレコードを変更する場合よりも複雑になります。 NSレコードは、反復検索で利用されるので、自分だけではなく親のDNS権威サーバでのNSレコードの変更も必要です。 5.1. geekpage.jpを例に考える (NSレコードの親子) geekpage.jpを例に考えてみましょう。 DNSルートサーバから反復検索を行った場合、以下の図のようになります。 ここでのポイントは、jpドメインのDNS権威サーバとgeekpage.jpドメインのDNS権威サーバの両方がgeekpage.jp.に対するNSレコードを持っている点です。 ここでは、jpドメインが持つNSレ
インターノット崩壊論者の独り言 - 「浸透おそい」の原因はブラウザでしょ (Firefox編) - Firefox の名前解決キャッシュの謎 , Firefox の名前解決キャッシュの正体 , 結論
EPIC2014 Google Public DNS (8.8.8.8, 8.8.4.4) 経由では本サイトにアクセスできないよう措置させていただいております。 Firefox の名前解決キャッシュの動作が不可解だったので色々調べてみました。 「ISPのDNSキャッシュサーバはTTLを越えてキャッシュを保持するか?」の実験で用いている a.t.e-ontap.com は 5分毎に A レコードが切り替わるようになっています。 この http://a.t.e-ontap.com/ を Firefox 28.0 でリロードしながら観察するとおかしなことに気づきます。まず普通にリロードを行っても DNS 権威サーバ側で A レコードが切り替わっているのに、まるで HTTP の接続先が切り替わりません。さらにパケットダンプしてみると、DNSキャッシュサーバへ問合せを送り新しい A レコードを得てい
NSサーバ移転に伴うNSレコードおよびそのTTL変更に関して - inuzのブログ
TwitterID:@inuwarumonoというのは僕のことです。 Twitterにて@ockeghemさんというか、徳丸浩さんとNSサーバ移転について 教えて頂いたり意見させて頂いたり、やりとりをさせて頂きましたが 僕の言いたかった事が正しく伝えられなかったことと、僕が正しく理解できて いなかったことなどを、ブログの形にまとめます。 まずは経緯、背景から触れて、次に争点を整理し、検討を加えて最後にまとめます。 経緯 きっかけは徳丸さんのこのツイートでした。 ONAMAE.COMのレンタルDNSサーバーではNSレコードは変更できない(01.DNSV.JPなど固定)ので、NSレコードのTTLが5分というのは本当に意味ない、と思います— 徳丸 浩さん (@ockeghem) 3月 8, 2012 これに対して、NSレコードのTTLが5分というのに意味がない点には完全同意ですが、 僕は徳丸さん
プログラマならば使うべき:GitHubでDNS管理ができる Luadns | Everyday Deadlock
さきほどTwitterで流れてきたのでたまたま見つけたのですが、LuadnsというDNSホスティングサービスがかなり凄いです。Luaスクリプトでゾーン設定を書いてGitHubにpushするだけで即座にDNS設定ができてしまいます。 DNSホスティングサービスというと、多くの場合ブラウザを開いてログインしてコントロールパネルからポチポチと入力して送信して、、、という手順を踏まないと設定が更新できないわけですが、Luadnsは違います。example.com.lua ファイルをEmacsやVim(やその他エディタ)で開いてLuaスクリプトを書き、git commit & git push で設定が完了してしまいます。push にフックして Luadns の設定が自動的に更新されます。 マウスまで手を動かすのが無限に遠く感じられるプログラマにとっては、これほど素早く簡単にDNSが設定できるのはか
メール送信者認証技術 SPF/Sender ID についてお勉強
お勉強の背景に関しては 「迷惑メール対策 OP25B(Outbound Port25 Blocking)についてお勉強」 に書いたとおりですが、迷惑メール対策としての SPF/Sender ID についてもいろいろ勉強したのでそのまとめです。(DomainKeys については思いのほかエントリが長くなったのでまた別の機会で・・・)まずは参考になったサイトの紹介から。 Sender Policy Framework (SPF) for Authorizing Use of Domains in E-Mail, Version 1 Sender ID: Authenticating E-Mail DNS関連技術の最新動向 - SPF/DomainKeysとは Sendmail 社 - 送信者認証技術の導入におけるレコメンデーション メール送信者認証の仕組みを探る(2/2):スペシャル - ZD
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
GitHub - ogham/dog: A command-line DNS client.
オレオレTLDには気を付けよう
DNS再入門