インターノット崩壊論者の独り言 - 頂上は如何に攻略されたか - ルートゾーンへの毒入れ解説
EPIC2014 Google Public DNS (8.8.8.8, 8.8.4.4) および Cloudflare (1.1.1.1, 1.0.0.1) 経由では本サイトにアクセスできないよう措置させて頂いております。 さる6月5日、神戸大学で開かれた電子通信情報学会(IEICE)の情報通信システムセキュリティ研究会での招待講演の資料を公開します。 内容の危険性を考慮し、招待講演は予稿無しとさせて頂き資料も公開しないつもりでした。 しかし、2月に我々が問題に気づいてからはや4ヶ月、JPRS が CO.JP などゾーンが JP から分離していない SLD に署名された TXT レコードを入れてから 3ヶ月、JPRS が背景不明な注意喚起を出してから 2ヶ月がたちました。そして先週あたりから JPRS はその理由を説明しないまま JP と DNS.JP の NS の分離を行いつつあります
ルータに存在する脆弱性、DNSポイズニングに誘導 | トレンドマイクロ セキュリティブログ
トレンドマイクロでは、外出先で安全にネットワークに接続することの難しさについて取り上げてきました。このことは、特に休暇中に当てはまるでしょう。滞在先を探す際、インターネットアクセスがあるかどうかが、最も重要な要素となっています。実際、多くのホテルや宿泊施設では、Wi-Fi が使用できることは、不可欠なサービスの 1つです。楽しく穏やかな休暇を目の前にして、インターネットは安全にアクセスできて当然と考えるのも無理はありません。 これから話すことは、まさにこのような状況下で起きたことでした。私は休暇中で、提供されたインターネットアクセスを利用していたところ、スマートフォンの Facebookアプリが接続を拒否しました。しかし、他のアプリや Webサイトには問題なく接続できました。 モバイル端末のブラウザを使用して Youtube へアクセスを試みたところ、図1 の警告文が表示されました。 An
DNSキャッシュポイズニングの基本と重要な対策:Geekなぺーじ
2014年4月15日に公開されたJPRSの緊急注意喚起に続き、中京大学の鈴木常彦教授によるDNSキャッシュポイズニングに関する技術情報が公開されました。 今回公開された技術情報に書かれている内容には、DNSの本質につながるさまざまな要素が関係しており一回で書ききれるものではなく、また、書いている側(私)も、それぞれの要素技術について勉強しながら理解しつつ進めていかないと混乱してしまうということが良くわかったため、これから数回に分けて徐々に書いて行くことにしました。 ということで、今回はまず、そもそもDNSキャッシュポイズニングとは何かということと、JPRSの注意喚起に書かれているUDPソースポート番号のランダム化(ソースポートランダマイゼーション)の概要、そしてなぜそれが重要なのかという点について解説します。 DNSキャッシュポイズニングとは インターネットで通信を行うとき、各機器同士は通
インターネットの根幹「DNS」に根本的欠陥が見つかる(dragoner) - 個人 - Yahoo!ニュース
このJPRSの発表に対し、この欠陥を発見した中京大学の鈴木常彦教授、前野年紀氏は「危険性をよく理解して対策をとるにあたって十分な情報が含まれているとはいえません」を懸念し、下記のブログ記事等でこの問題の危険性を訴えています。 この問題はインターネットの根幹に関わるものですが、どんな問題を孕んでいるのでしょうか。それを理解するために、まずはDNSの仕組みから見て行きましょう。 DNSの仕組みとDNSキャッシュサーバDNSとはインターネットの根幹に関わる仕組みで、目的のサーバにアクセスする為の重要な役割を持ちます。簡単に説明すると、"http://www.example.jp"というURLのサイトを見たい場合、それを管理するサーバのインターネット上の住所(IPアドレス)が必要になります。そこで、DNSサーバに上記URLのラベル(ドメイン)に相当する"www.example.jp"を管理するサー
強烈なDNSキャッシュポイズニング手法が公開される:Geekなぺーじ
本日、JPRSが緊急の注意喚起を公表しました。 緊急)キャッシュポイズニング攻撃の危険性増加に伴うDNSサーバーの設定再確認について(2014年4月15日公開)- 問い合わせUDPポートのランダム化の速やかな確認・対応を強く推奨 それに対して、2月中旬に脆弱性を発見してJPRSへと報告していた鈴木氏(脆弱性は前野氏との共同発見)が、JPRSの注意喚起では「危険性をよく理解して対策をとるにあたって十分な情報が含まれているとはいえません」として、以下の情報を公開しています。 開いたパンドラの箱 - 長年放置されてきたDNSの恐るべき欠陥が明らかに キャッシュポイズニングの開いたパンドラの箱 キャッシュポイズニングの開いたパンドラの箱 - 2 - 本来であれば、より上位からの正規の回答が優先されなければならないはずなのに、下位側が優先される仕様になっているので、偽装されたデータが優先されてしまう
オープンリゾルバ(Open Resolver)に対する注意喚起 - JPNIC
初版公開 2013年4月18日 最終更新 2014年7月25日 DNSの不特定からの問い合わせに応答する*1、 サーバやネットワーク機器は、オープンリゾルバと呼ばれています。 最近、 適切な対策が施されていないオープンリゾルバが踏み台*2として利用され、 国内外のサーバに対する大規模なDDoS攻撃*3が行われていることが報告されています。 これを受けて、本来、 オープンリゾルバである必要のないサーバやネットワーク機器を減らし、 踏み台となってしまうことへの対策をとるための活動が行われています。 ご確認と対策をお願いいたします。 *1 ここではドメイン名の名前解決のために行われる問い合わせを指しています。 この問い合わせを受けた、 DNSのリゾルバと呼ばれるプログラムモジュールは、 複数のネームサーバに問い合わせを行い、 その結果を問い合わせ側に応答する仕組みになっています。
トルコのISPが偽Google Public DNSを運用:Geekなぺーじ
今月中旬に、トルコ政府によるTwitter利用禁止措置をかいくぐるためにGoogle Public DNSが利用されているという記事がありました(参考)。 政府に対抗するために、Google Public DNSのIPv4アドレスである「8.8.8.8」が町中に落書きされていたようです。 しかし、そのGoogle Public DNSの成り済ましサーバがトルコ国内のほとんどのISPで運用されているとGoogleが発表しました。 Google’s Public DNS intercepted in Turkey そこでは、次のように書かれています。 But imagine if someone had changed out your phone book with another one, which looks pretty much the same as before, except
インターノット崩壊論者の独り言 - 「浸透おそい」の原因はブラウザでしょ (Firefox編) - Firefox の名前解決キャッシュの謎 , Firefox の名前解決キャッシュの正体 , 結論
EPIC2014 Google Public DNS (8.8.8.8, 8.8.4.4) 経由では本サイトにアクセスできないよう措置させていただいております。 Firefox の名前解決キャッシュの動作が不可解だったので色々調べてみました。 「ISPのDNSキャッシュサーバはTTLを越えてキャッシュを保持するか?」の実験で用いている a.t.e-ontap.com は 5分毎に A レコードが切り替わるようになっています。 この http://a.t.e-ontap.com/ を Firefox 28.0 でリロードしながら観察するとおかしなことに気づきます。まず普通にリロードを行っても DNS 権威サーバ側で A レコードが切り替わっているのに、まるで HTTP の接続先が切り替わりません。さらにパケットダンプしてみると、DNSキャッシュサーバへ問合せを送り新しい A レコードを得てい
ツイッター遮断にグーグル活用で対抗したトルコのネットユーザー(更新あり4)
トルコ政府が20日、国内のツイッターへのアクセスを遮断したようだ。 大規模汚職事件に絡み、エルドアン首相が息子に資産隠しを指示した会話と見られる音声データがネットに流出、ツイッター経由で拡散したことへの対抗措置のようだ。 Hem sabah-aksam meydanlarda Bayrak siiri okuyacagiz, hem de o bayragi bu hale dusurecegiz butun dunyada.. pic.twitter.com/Hz3d7UAyfj — Burhan Ozbilici (@BurhanOzbilici) March 21, 2014 だが、ネットの遮断があまりいいアイディアではなく、容易でもない。それを一番わかっていたのは、トルコのネットユーザーだったようだ。 遮断の回避方法は、あっというまにネットで共有され、米ツイッター社も側面支援に乗り
Twitter禁止のトルコ、Twitterやグーグルがユーザーに対抗手段を提供--SMS利用や無料DNS
トルコでは政府がTwitterの使用を禁止したが、国民はこれをかいくぐってツイートを続けている。 トルコの裁判所は現地時間3月20日、Tayyip Erdogan首相の一連の動きに続いて、同国民7600万人を対象にTwitterへのアクセスを遮断した。Twitterに投稿されたニュース、動画、画像を通じて政治腐敗の暴露情報が流れ、政府が窮地に立たされたのを受けて、Erdogan首相はソーシャルネットワークを公然と批判し、Twitterを「撲滅する」と警告していた。 だが、多くのトルコ国民は、TwitterやGoogleの助けを借りながら禁止措置をくぐり抜けてツイートしている。 アクセスが遮断された後、Twitterはすぐにトルコのユーザーに対し、SMSを使えばツイートはまだ可能だと伝えた。Googleも、自社の無料DNSの使用を通じて救いの手を差し伸べている。PCやモバイルデバイスでGoo
8.8.8.8に対するBGPハイジャックの話:Geekなぺーじ
一昨日書いた記事に対する補足です。 まず、最初にBGPハイジャックそのものは、世界各所で毎月のように発生しており、別に珍しくもない話です。 そのほとんどが、意図的にトラフィックを乗っ取る目的で行われたものではなく、単なるオペレーションミスであると言われています。 BGPハイジャックで有名なのが、2008年にYouTubeへのトラフィックをパキスタンのISPが吸い込んでしまった事件(参考:RIPE-NCC: YouTube Hijacking: A RIPE NCC RIS case study)ですが、これも意図的にやったのではなく、パキスタン国内向けのネット検閲設定が外部に漏れてしまったというオペレーションミスだったと思われます。 オペレーションミスは、漏らしてしまった側だけではない可能性もあります。 そもそも、/32などのプレフィックス長を持つ経路はフィルタされていることが多いので、普
Google Public DNSがBGPハイジャックされる:Geekなぺーじ
ブラジルとベネズエラのネットワークで、Google Public DNSが運用されている8.8.8.8が、最大22分間BGPハイジャックされたとBGPmonがTwitterで表明しています。 https://twitter.com/bgpmon/status/445266642616868864/photo/1 BGPmonのTweetによると、ベネズエラにあるAS7908(BT LATAM Venezuela,S.A.)が8.8.8.8/32を広告したことが原因のようです。 ブラジルといえば、ブラジル国民のデータをブラジル国内に留めることを求めた法律が成立したことによって、昨年10月に同国からGoogle Public DNSが撤退しています(Renesys: Google DNS Departs Brazil Ahead of New Law)。 実際のところは知りませんが、その撤退に
第2回 世界的な分散・多重化で支えるルートサーバー
DNSルートサーバーのサービス停止はインターネットにとって致命的──。このリスクが改めて認識され、ルートサーバーの安定稼働に向けた強化が本格化したのは、2002年10月に起こった大規模なDDoS攻撃がきっかけだ。 この攻撃によって、当時の過半数のルートサーバーでDNS応答の遅延や、正常な応答が得られないといった障害が発生した。インターネット全体に致命的な障害が広がらずに済んだのは、攻撃の影響を受けなかったルートサーバーとDNSのキャッシュの仕組みによる。キャッシュDNSサーバーは問い合わせ済みの情報を、一定期間キャッシュとして保持する。そのため仮に全部のルートサーバーが停止しても、既にキャッシュ済みの情報を使ってしばらくの間は名前解決ができたわけだ。 とはいえ、このDDoS事件は関係者に改めてルートサーバー停止のリスクの大きさを意識させ、管理組織がルートサーバーの安定稼働のさらなる強化に乗
「魔法の数字8.8.8.8」を検証する:Geekなぺーじ
ここ数日、8.8.8.8や8.8.4.4というIPv4アドレスを持つGoogle Public DNSに関する話題が盛り上がっているのですが、多くの人が「よくわからないけど設定変更したら早い!」と言っているので、そこら辺の話を調査してみました。 昨日、Twitterとブログでtracerouteやdigによる調査協力のお願いを発信し、8.8.8.8へのtracerouteを37件、8.8.8.8とISP DNSへのtraceroute比較及びAkamaiキャッシュサーバへのtraceroute比較を21件、日本各地及び海外のいくつかの地点からご協力頂けました(皆様ありがとうございました!)。 それらのデータをもとに、Google Public DNSを利用した場合の通信経路と、それによる遅延に関する検証を行いました。 Google Public DNSに対する私の感想 まず最初に。 調査前
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
OpenSSLとDNSの件が相当にヤバい雰囲気になっております(山本一郎) - 個人 - Yahoo!ニュース