生と死の間の選択 ～インターネット崩壊論～ May 25,2012 WIDE研究会 中京大学情報理工学部 鈴木常彦 http://www.e-ontap.com/internet/wide2012/ どちらのインターネットをお使いですか? ISPのテレアポから電話 「どちらのインターネットをお使いですか?」 「え? インターネットって何ですか?」 「え?」 「え?」 インターネットって何 WWW? メールは? IPリーチャビリティ? IPv4? IPv6? 何が疎通するとインターネット? HTTP? SMTP? DNS? ケータイはインターネット? どこからどこまでがインターネット? サーバが立てられなくてもインターネット? 接続形態やプロトコルじゃないなら何? RFC 4084 Terminology for Describing Internet Connectivity Rise o

EPIC2014 Google Public DNS (8.8.8.8, 8.8.4.4) および Cloudflare (1.1.1.1, 1.0.0.1) 経由では本サイトにアクセスできないよう措置させて頂いております。 さる6月5日、神戸大学で開かれた電子通信情報学会(IEICE)の情報通信システムセキュリティ研究会での招待講演の資料を公開します。 内容の危険性を考慮し、招待講演は予稿無しとさせて頂き資料も公開しないつもりでした。 しかし、2月に我々が問題に気づいてからはや4ヶ月、JPRS が CO.JP などゾーンが JP から分離していない SLD に署名された TXT レコードを入れてから 3ヶ月、JPRS が背景不明な注意喚起を出してから 2ヶ月がたちました。そして先週あたりから JPRS はその理由を説明しないまま JP と DNS.JP の NS の分離を行いつつあります

キャッシュポイズニングの開いたパンドラの箱 Opened Pandora's box of Cache Poisoning 鈴木常彦 2014.04.15 (Concept by 前野年紀 2014.02) / English version 背景 Kaminsky 2008年、Dan Kaminsky 氏が TTL に影響されない毒入れ手法を発表した。 しかし、偽応答のAdditional Section で毒が入るとされたのは誤りだったことを2011年に鈴木が明かにした。 http://www.e-ontap.com/dns/bindmatrix.html Müller Bernhard Müller の "IMPROVED DNS SPOOFING USING NODE RE-DELEGATION", 2008.7.14 https://www.sec-consult.c

最近の日記 2019-07-10 1. GMOペパボに統合されたドメインが乗っ取り可能だった件 2019-02-18 1. Measures against cache poisoning attacks using IP fragmentation in DNS 2019-02-07 1. 第一フラグメント便乗攻撃についてJPRSに質問してみた 2019-01-17 1. DNS 温泉 番外編 (第一フラグメント便乗攻撃の理解のために) 2019-01-16 1. 浸透とやらを待っている人は何を待っているのか? 2018-11-04 1. Unbound を安全にしよう 2018-10-31 1. これを NSEC/NSEC3 Replacement Attack と呼ぶのはどうだろう? 2018-08-27 1. DNS 温泉 5 無事終了 2018-04-08 1. 8.8.8.8

最近の日記 2019-07-10 1. GMOペパボに統合されたドメインが乗っ取り可能だった件 2019-02-18 1. Measures against cache poisoning attacks using IP fragmentation in DNS 2019-02-07 1. 第一フラグメント便乗攻撃についてJPRSに質問してみた 2019-01-17 1. DNS 温泉 番外編 (第一フラグメント便乗攻撃の理解のために) 2019-01-16 1. 浸透とやらを待っている人は何を待っているのか? 2018-11-04 1. Unbound を安全にしよう 2018-10-31 1. これを NSEC/NSEC3 Replacement Attack と呼ぶのはどうだろう? 2018-08-27 1. DNS 温泉 5 無事終了 2018-04-08 1. 8.8.8.8

EPIC2014 Google Public DNS (8.8.8.8, 8.8.4.4) 経由では本サイトにアクセスできないよう措置させて頂いております。 このたび社団法人日本ネットワークインフォメーションセンター (JPNIC) を相手取って裁判をはじめることとなりました。皆様のご支援をよろしくお願いいたします。 JPNIC は平成23年8月31日に規約を一方的に変更し、私(や多くの歴史的PIアドレスやAS番号の利用者たち)がそれに同意していないにも関わらず平成24年度から(JPNICができる前から使われていたものも含む)歴史的PIアドレスやAS番号に対して維持料を課すことを決め、平成9年に東海地域のネットワークの相互接続のために割り当てを受けた AS7520 にもこの4月から維持料を請求してきました。これを無視していたところ年14.5%の延滞利息まで請求をはじめ、督促の電話も入るよう

_ ものぐさクソ野郎 [もしよろしければ上のヘッダー(Google Public DNS 云々)も CloudFlare の件について書き加..] _ tss [入れました。ありがとうございます。] _ 14.192.44.4 www.e-ontap.com [14.192.44.4 www.e-ontap.com] - 子供たちに知っておいて欲しい話がある。 昔インターネットと呼ばれたネットワークがあったんだ。 インターネットよりも昔の時代には一握りの巨大な電話会社たちが提供する通信サービスしか人々は利用できなかったんだ。何が出来るかは彼らが決めていたんだ。決められたこと以外はやっちゃいけなかった。罰せられたんだ。 昔はパソコンというものもなくて、コンピュータはお金のある組織の一部の特権的な技術者だけが扱うことを許されていたんだ。 だけど45年ほど前にイヴァン・イリイチという人が道具は誰

浸透いうな(その3):まずいNS設定 この状況で「浸透」はおこりますか? SMALL-IS-BEAUTIFUL.JPでは、現在、NSのひとつが ftp.small-is-beautiful.jp 、そしてもうひとつ外部のセカンダリ ns.internot.jp を利用しているとします。そして、新しいDNSサーバ ns.example.jp に引越しをしたいと考えているとしましょう。ありがちな状況ですね。 今、これまでのDNSサーバに旧来の設定を残したまま、上位レジストリ(ここではJP)への Name Server の登録をたとえば ns.example.jp に変更したとしましょう。さて、世界中のDNSキャッシュは ns.example.jp へうまく切り替わってくれるでしょうか。 以下に古いキャッシュをもった、あるDNSキャッシュサーバ(127.0.0.2)の様子を再現してみました。 最

そもそもDNSの設定がうまく変更できたかどうかをうまく確認できていない人をよくみかけます。設定の確認には、DNSの仕組みを知り、「再帰検索要求」と「非再帰検索要求」をうまく使い分ける必要があります。 コンテンツサーバの設定確認 「非再帰検索要求」でNSとなっているサーバの設定を個別に確認しましょう。こんな感じ、、、 委譲元の確認(djbdnsのツール推奨) % dnsq ns e-ontap.com a.gtld-servers.net(できるだけIPアドレスで) 2 e-ontap.com: 130 bytes, 1+0+3+3 records, response, noerror query: 2 e-ontap.com authority: e-ontap.com 172800 NS ns.e-ontap.com authority: e-ontap.com 172800 NS ns

What's New! 後日談 虚しきインターネットの宴 (中京大学評論誌 八事 No.22,Mar.20,2006) VISA問題 VISA問題の詳しい経緯(English only) VISA問題の簡単な解説 他の事例 消防庁 他の事例は追って報告(するかも、、、) '06/10/17現在、約5万JPドメイン(約78万JPドメイン中)をサンプリング調査してみると、107ドメインにNXDOMAINなNSレコードが存在しており、そのうち数個のJPドメインがいますぐハイジャック可能であることを把握しています。 JPRSの対応後もほとんど問題は解決しなかったため、危険そうなところについて直接あるいはIPAを通して連絡を進めています。 有益なリンク DNSの不適切な運用が生むドメインハイジャックの危険性について(E-ONTAP管理人) DNS(前野さん) 推奨 DNS/Security(前野

DNSの引越しをしたけどうまく切り替わらない。なかなか浸透しない。業者に問い合わせると「DNSの浸透には数日かかることもあります。お待ちください」と言われた。　、、、という話をよく聞きますが、「浸透」(伝播、伝搬、浸潤、反映などとも呼ばれる)ってなんでしょう? DNSの設定を変更するのは「浸透」という謎の現象に託す神頼みのような作業なのでしょうか。 2011.10.16 追記:「浸透」と言っている例 DNSの仕組み まず、DNSの仕組みと、特にキャッシュの動作について解説します。...と思いましたが、とっても大変なので省略します。ただ、権威サーバに登録された情報が世界中のキャッシュサーバに配信されるなどという仕組みは DNS には存在しません。浸透という人はそう思っているようですが。(こんなふうに) 「浸透」という言葉で騙されていませんか? 事前に変更したいDNSのレコードのTTLを短くし

DNS is many things to many people --- perhaps too many thins to too many people. Paul Vixie Communications of the ACM Vol. 52 No. 12, Pages 43-47 10.1145/1610252.1610269 DOMAIN NAME SYSTEM (DNS) は、階層的な、分散化された、自律的で、信頼性のあるデータベースだ。類を見ないリアルタイムな性能を世界中の人々に提供してくれる。Web ページを含むすべての TCP/IP 通信 は、最低一つの DNS 問い合わせから始まる。DNS は偉業だと言えるだろう。 DNS が何である かという理解をはっきりさせるためには、DNS が何でない かということと対比させなくてはいけない。インターネットのマーケットは、人類の