RHEL6/CentOS6では、single-request-reopen を必須にしたい…
2012-11-02 結論から言えば、とりあえず RHLE6/CentOS6 な人は /etc/resolv.conf に options single-request-reopen を書いておこうという話です(全部小文字ですよ、念のため) なぜか? RHEL5/CentOS5/Ubuntu 10.04なLinuxとかでは、FQDN の解決をするときに DNSキャッシュサーバに AAAA RR の Queryを投げる AAAA RR の Reply を受ける DNSキャッシュサーバに A RR の Queryを投げる A RR の Reply を受ける という挙動でしたが、RHEL6/CentOS6 では DNSキャッシュサーバに A RR の Queryを投げる DNSキャッシュサーバに AAAA RR の Queryを投げる A RR の Reply を受ける AAAA RR の Re
DNSキャッシュポイズニングの脆弱性に関する注意喚起:IPA 独立行政法人 情報処理推進機構
-放置すれば情報漏えい~信用失墜に至る可能性も。 ウェブサイト運営者は早急にDNSサーバのパッチ適用や設定変更を!- 最終更新日 2009年2月6日 掲載日 2008年9月18日 >> ENGLISH 独立行政法人情報処理推進機構(略称:IPA、理事長:西垣 浩司)は、「DNSサーバに対するDNSキャッシュポイズニングの脆弱性」の届出が激増していることから、ウェブサイト運営者へ注意を喚起するとともに、DNSサーバのパッチ適用や設定変更を呼びかけます。 DNS(Domain Name System)(*1) キャッシュポイズニング(汚染)の脆弱性に関して、2008年7月に複数のDNS サーバ製品の開発ベンダーから対策情報が公開されています(*2)。また、この脆弱性を悪用した攻撃コードが既に公開されていたため、2008年 7月24日、IPAはウェブサイト運営者へ向けて緊急対策情報を発行しました
水銀室 BINDでマスターDNSサーバを構築する -CentOS最短構築支援-
プライマリサーバを構築する(CentOS5) BIND、つまりDNSです。その役割に今更説明は必要ないでしょう。 DNSには基本的に三種類のタイプがあります。 ・プライマリDNSサーバ ・セカンダリDNSサーバ ・キャッシュオンリーサーバ これらはゾーン単位でなら同居させることが可能です。 ※ゾーン、つまりそのサーバが管理しているドメインの一つ一つの範囲のことです。 ファイルパスで言えば、個々のエントリをファイルとするなら、ゾーンはフォルダに相当するのでしょうか。 一台のDNSサーバが複数のゾーンを管理していることも珍しくありません。 自社のexample.comドメイン(ゾーン)に関しては責任を持つ立場(プライマリ)、サブドメインに当たる子会社の child.example.comドメイン(ゾーン)については冗長化を兼ねた立場(セカンダリ)、インターネット系ドメインの解決については要求を
DNSプロトコル ‐ 通信用語の基礎知識
TCP/IPのポート53(53/tcpおよび53/udp)が使われる。 DNSでは、問い合わせや応答について、DNSプロトコルと呼ばれるプロトコルを使う。その仕様は、美しさに欠け、解読にも苦慮するが、少しでもデータサイズを縮めるための努力が込められている(らしい)。 DNSプロトコル自体は、UDPでもTCPでも利用できる。しかし、通常は速度優先でUDPを用いている。 速度と信頼性はトレードオフの関係にあり、UDPはシンプルなプロトコルであるため高速だが信頼性に欠く。それでも、速度のためにUDPがよく使われている。この影響で逆に、TCPでDNSプロトコルが利用できない実装も少なくないという状況を作り出した。ここで発生するのが、DNSが返すデータのサイズが、DNSの想定する最小MTUを越えてしまった場合の動作である。 IPv4用DNSプロトコルは、IPv4の最小MTUである548オクテット以内
(緊急)BIND 9.xの脆弱性(サービス停止)について
--------------------------------------------------------------------- ■(緊急)BIND 9.xの脆弱性(サービス停止)について - キャッシュ/権威DNSサーバーの双方が対象、バージョンアップを強く推奨 - 株式会社日本レジストリサービス(JPRS) 初版作成 2012/09/13(Thu) --------------------------------------------------------------------- ▼概要 BIND 9.xにおける実装上の不具合により、namedに対する外部からのサービ ス不能(DoS)攻撃が可能となる脆弱性が、開発元のISCから発表されました。 本脆弱性により、提供者が意図しないサービスの停止が発生する可能性があ ります。 本脆弱性は危険性が高く、かつキャッシュDNSサ
DNS Summer Days 2012 開催のお知らせ
「DNS Summer Days 2012 開催のお知らせ」 開催趣旨 インターネットの基幹技術の一つであるDNSは、IPv6の普及やセキュリティ強化 のためのDNSSECが実用段階にさしかかるに伴い、その重要性は増す一方です。ま た、DNSSECを契機として、様々な機能をDNSに載せようという動きも出てきてい ます。 それにも関わらず、DNSの運用にはこれまで十分な関心が払われてるとは言えな い状況で、xSPやサービス事業者、個々の企業や組織でも十分なリソースが割か れていません。また、プロトコルやRFC等の解説文書のわかりにくさも相まっ て、DNSをきちんと理解している技術者の数も十分とは言えません。 DNSに関してはこれまでも、各種イベントやDNSOPSのBoF等の活動はありました が、現状を鑑みるともっと基本から突っ込んだ話までカバーしたイベントの開催 が必要であると判断し、賛同し
知ってますか? DNSの浸透問題や親子同居問題、検閲の影響 - @IT
2012/09/07 2012年8月31日と9月1日の2日間にわたり、インターネットイニシアティブ(IIJ)本社会議室にて「DNS Summer Days 2012」が開催された。主催は、日本DNSオペレーターズグループ(DNSOPS.JP)。IIJおよび日本レジストリサービス(JPRS)が協力した。 DNSOPS.JPはこれまでも、BoFやDNSSECジャパンのフォーラムなどDNS関係者が集う場を開催してきているが、今回のようにDNSの初学者を対象としたチュートリアルを自ら主催したのは、実は初めて。手探りの中、1日目をDNSの初学者を対象とした構成とし、2日目は、DNSに関する議論を目的として質疑応答を重視した構成となった。 約150名を収容できる会場は初日の午前中から早くも満席。IIJの山本功司氏によるオープニングのあと、講演が開始された。 中・上級者にも役立つチュートリアル DNS
hostsに".local"で終わるドメインを書いて使うと面倒なことになる - すぎゃーんメモ
Webアプリを開発する際に、ローカル環境で動かしたいのだけど特定のドメイン名で閲覧したくて、/etc/hostsに 127.0.0.1 hoge.fuga.piyo.localみたいに書いて、[]http://hoge.fuga.piyo.local:5000/[]とかでローカル稼働しているアプリを見られるようにしてみたところ、どうもレスポンスが遅い。アプリ自体がどんなに軽くても、ブラウザ見てもcurlで叩いても返ってくるのが遅い。 どうやらアプリ自体じゃなくて、アドレスの解決に時間がかかっているらしい。 Mac OS X v10.4, 10.5, 10.6: How to look up ".local" hostnames via both Bonjour and standard DNS - Apple Support https://discussions.apple.com/th
DNSの終焉が垣間見える、ぶっ飛んでて危険すぎるお名前.comの検閲事件
忍者ツールズ全サービスが表示不可となる障害につきまして | ドメイン取るなら お名前.com ドメイン取得 年間280円~ 忍者TOOLSは、お名前.comというドメイン名レジストラにninja.co.jpのドメイン情報を管理させていた。忍者TOOLSは、ninja.co.jpというドメインを、自社の様々なサービスに使っていた。そのサービスは、忍者TOOLSのユーザーが使うものである。 さて、お名前.comの主張では、忍者TOOLSのユーザーがお名前.comの規約違反を起こしたために、ユーザーの規約違反は、すなわちそのユーザーのサービス提供元の規約違反であるとし、事前の協議や警告すらなしに、一方的にninja.co.jpのドメイン情報を消したそうだ。 これは恐ろしく危険な事件である。問題は、DNSが階層的な中央管理をされたシステムである以上、この問題は仕組み上どうしようもないという事である
お名前.comによる忍者ツールズ停止措置に関して:Geekなぺーじ
先週、忍者ツールズ全サービスが一時的に利用できなくなりました。 株式会社サムライファクトリー:忍者ツールズ全サービスが表示不可となる障害につきまして お名前.com:忍者ツールズ全サービスが表示不可となる障害につきまして 本の虫: DNSの終焉が垣間見える、ぶっ飛んでて危険すぎるお名前.comの検閲事件 その理由として、株式会社サムライファクトリー(忍者ツールズ)のプレスリリースには以下のようにあります。 忍者ツールズのサービスを利用したユーザーサイトの一部に、お名前.comの約款に抵触するサイトがあり、お名前.comへのお問い合わせが複数あったため、約款に基づきお名前.comでは一時的にドメインの停止措置をとる対応を行いました 個人的な感想としては、忍者ツールズのドメイン停止措置事件は今までにない新しいタイプのものであると思いました。 まず、お名前.comとninja.co.jpに関して
DNSブロッキングは筋が悪いのか?:Geekなぺーじ
日本で行われている児童ポルノブロッキングで採用されているのは、DNSキャッシュサーバがブロックリストに掲載されたFQDNの名前解決を行わないという、DNSキャッシュポイズニングという手法です。 この手法は、主にISPが提供するDNSキャッシュサーバにて行われているので、児童ポルノブロッキングを行っていないDNSキャッシュサーバを利用することで回避が可能です。 また、IPアドレスを直接指定して通信を行うことで回避することも可能です。 このような手法が採用されていることに関して、「アホじゃないの?」とか「ザルじゃないの?」という感想が述べられがちです。 昨日、以下のような記事が出ていましたが、それに対しても「仕組みを考えた奴はバカだろう」的なニュアンスの感想が散見されます。 児童ポルノ遮断、「IP直打ち」ですり抜け横行 : 社会 : YOMIURI ONLINE(読売新聞) 私の感想 「IPア
GoogleがAAAA非表示リストを公開:Geekなぺーじ
日本の件数が圧倒的ではありますが、個人的な感想としては予想よりもむしろ割合が少なかったような気もしています。 これまでのNTTフレッツ網IPv6問題に関する議論では、Googleの主張は「NTTフレッツ網が原因であり、日本だけだ」という感じでした。 なので、日本専用のリストになるのだろうと私は勝手に想像していました。 結果を見ると日本が圧倒的に多いのですが、過半数というわけでもなく、日本以外の国々も多く含まれています。 個人的には、日本以外でIPv6がIPv4と比べて遅くなる環境とその原因に非常に興味があります。 どういった要因でそれらが発生しているのかを見ると、IPv6やIPv4/IPv6デュアルスタック運用の課題等が垣間見えるような気がしているからです。 そういった意味でも、このリストは貴重なデータであると思います。 件数カウント 参考までに、6月7日時点(最終更新は6月5日)でのAA
The story of Basecamp’s disastrous policy
The story of Basecamp’s disastrous policy Basecamp’s CEO published a blog post about policy changes — it may have broken the company On April 26th, Basecamp founder and CEO Jason Fried posted on his blog about some policy changes that would be happening at the company, which makes team collaboration software. One policy stuck out to many on the internet — the company would no longer be allowing it
さくらDNSにサブドメインハイジャックを許す脆弱性
さくらインターネット株式会社のDNSサービスにセキュリティ上の問題がありましたが、改修されましたので報告します。 DNSサービスへのドメイン登録時における不具合について 障害内容 : 当社の提供するネームサーバサービスにおいて、既に登録されているドメインのサブドメインが、他の会員IDの方に登録できる状態となっておりました。この障害により、悪意のある第三者がドメインの一部を乗っとれる脆弱性につながる危険性がありました。 本問題につきましては現在は解消されており、全ての登録について不正がないかの調査を行っております。 この問題の発見者は前野年紀氏で、私はさくらインターネット株式会社に問題を通告し、改修を促すための連絡などでお手伝いをしました。 (12:00追記)なお、この脆弱性が混入したのは6月8日頃で、さくらインターネットは6月11日から修正を開始し、昨日(6月13日)には改修されましたので
ViewDNS.info - Your one source for DNS related tools!
Simply provide a hostname or IP address to find all other sites hosted on the same server.]">Reverse IP Lookup Find all sites hosted on a given server. Simply enter the email address or name of the person or company to find other domains registered using those same details.]">Reverse Whois Lookup Find domain names owned by an individual or company.
Ruby, Pythonで並列に逆引きを行う - bkブログ
Ruby, Pythonで並列に逆引きを行う ウェブサーバのログを解析するときなど、IPアドレスからホスト名を引く処理 (逆引き) を大量に行いたいときがあります。DNS への逆引きの問い合わせには場合によっては数秒待たされることがあるため、大量の IP アドレスをひとつづつ順に処理していくとかなり時間がかかります。 本記事では Ruby または Python でマルチスレッドで並列に逆引きを行う方法を紹介します。 Ruby の場合 Ruby で逆引きを行うには socket ライブラリを使う方法と、Resolv ライブラリを使う方法があります。マルチスレッドで並列に逆引きを行うには Resolv ライブラリを使う必要があります。 socket ライブラリを使った場合、 Socket.gethostbyaddr か Socket.getaddrinfo を使って逆引きを行います。これらは同
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
BIND9による�DNSサーバの構築と運用�~基礎から学ぶ正しいDNS~
「DNSの浸透待ち」は回避できる――ウェブ担当者のためのDNS基礎知識 
Multithread DNS Query against specific DNS, domain and recordtype supporting Library
Pythonでドメイン名からIPv4アドレスを得る跡地 - 試験運用中なLinux備忘録・旧記事
