開発・運用の現場から、IIJのエンジニアが技術的な情報や取り組みについて執筆する公式ブログを運営しています。 技術レポート「IIR vol.59」(2023年6月発行)の 第4章では、IIJ創業30年の歩みを「DNS」の視点で振り返ります。 本報告のポイント 1990年代:接続サービスと共に DNSはなかった~インターネットの普及 商用インターネット接続サービスが開始された当初、IIJが提供するのはあくまでインターネットに接続するところまでで、DNSやメールなど接続した後の利用に必要なものはユーザが用意するものでした。ユーザが利用できるキャッシュDNSサーバが最初に提供されたのは、1994年5月の「ダイアルアップIPサービス」からでした。 2000年代:DNS単独のサービス開始 「ドットコム・バブル」が起こった2000年前後、自社専用ドメインを持つのが当たり前の時代になりました。ただしドメ
3.3. nmcli を使用する IP ネットワークの設定 Red Hat Enterprise Linux 7 | Red Hat Customer Portal
ネットワークガイド I. 作業開始前の準備 Expand section "I. 作業開始前の準備" Collapse section "I. 作業開始前の準備" 1. ネットワークトピックの概要 Expand section "1. ネットワークトピックの概要" Collapse section "1. ネットワークトピックの概要" 1.1. IP ネットワークと非 IP ネットワークの比較 1.2. 静的 IP アドレス指定と動的 IP アドレス指定の比較 1.3. DHCP クライアントの動作の設定 Expand section "1.3. DHCP クライアントの動作の設定" Collapse section "1.3. DHCP クライアントの動作の設定" 1.3.1. DHCPv4 の永続化 1.4. ワイヤレス規制ドメインの設定 1.5. netconsoleの設定 1.6.
メールセキュリティとDNSの蜜月関係
Copyright© QUALITIA CO., LTD. All Rights Reserved. メールセキュリティと DNSの蜜月関係♥ 株式会社クオリティア 平野善隆 Webサーバーも♥ Copyright© QUALITIA CO., LTD. All Rights Reserved. 自己紹介 名前 平野 善隆 所属 株式会社クオリティア チーフエンジニア 資格等 Licensed Scrum Master Certified Scrum Developer 主な活動 M3AAWG JPAAWG IA Japan 迷惑メール対策委員会 迷惑メール対策推進協議会 メッセージング研究所(MRI) Audax Randonneurs Nihonbashi Copyright© QUALITIA CO., LTD. All Rights Reserved. メールやDNSとの関わり 1
2021年03月31日08:00 インターネットに存在する「ダークウェブ」の階層がヤバすぎる Tweet 1: 風吹けば名無し 2019/02/17(日) 20:28:40.06 ID:x53RetUP0 第0階層 コモンウェブ 検索エンジンで閲覧できるサイトであり健全な内容のサイト全般を指す 3: 風吹けば名無し 2019/02/17(日) 20:28:55.97 ID:x53RetUP0 第1階層 サーフェイスウェブ 検査エンジンでヒットするが不健全な内容を含む 5chなど 4: 風吹けば名無し 2019/02/17(日) 20:29:04.42 ID:x53RetUP0 第2階層 Bergie web 検索エンジンではヒットせずURLを知らないとアクセス出来ないサイト なお通常のコンピュータでアクセスできる限界は第2階層までである、、、 5: 風吹けば名無し 2019/02/17(日
DNS over HTTPS - Wikipedia
DNS over HTTPS(DoH)は、リモートのDNS解決をHTTPSプロトコルを用いて実行するためのプロトコルである。 概要[編集] この手法の目的は、プライバシーとセキュリティを向上させ、盗聴を防いだりDNSデータの中間者攻撃による操作から保護することである[1]。そのために、DoHクライアントとDoHベースのDNSリゾルバ間のデータをHTTPSプロトコルを使用して暗号化する。 ただし、この技術(DoH)やDoT(DNS over TLS)による暗号化自体は、The Register(英語版)が言うように[2]盗聴、検閲やプライバシーの面で政府に対抗しうる保護を提供するものではなく、データを難読化するものである。端末(あるいはスタブリゾルバ、以下同)からDNSリゾルバまでの間の盗聴や中間者攻撃からの保護には効果がある[3]。 ある端末からのDNSクエリ全体のプライバシー確保は、DN
Quad9 - Wikipedia
Quad9のプライマリDNSサービスには、IPv4のIPアドレス:9.9.9.9と149.112.112.112 、IPv6のIPアドレス:2620:fe::feと2620:fe::9介してアクセスできる。このサービスは、マルウェアブロックリスト、DNS暗号化、およびDNSSECをサポートしている[13]。 制限された機能をサポートするQuad9の代替DNSサービスは、IPv4のIPアドレス:9.9.9.10および149.112.112.10 、およびIPv6のIPアドレス:2620:fe::10および2620:fe::fe:10を介してアクセスできる。このサービスはDNS暗号化のみをサポートする[13]。 ECSをサポートするQuad9の同一のDNSサービスは、IPv4のIPアドレス:9.9.9.11と149.112.112.11 、およびIPv6のIPアドレス:2620:fe::11と
約9割が「セキュリティ人材不足」 調査の結果から判明した企業の課題 サイバーセキュリティサーベイ2023は、国内の上場企業および売上高400億円以上の未上場企業を対象に、サイバー攻撃の実態やセキュリティ管理態勢など複数の側面から企業のセキュリティ対策を評価したものだ。 同レポートは分析結果を「サイバー攻撃の実態」「セキュリティ管理態勢と対策」「海外子会社管理」「制御システムセキュリティ」「AI(人工知能)導入関連のリスク管理」のテーマにまとめている。 主な調査結果は以下の通りだ。 サイバー攻撃の実態: 回答者の11.6%が「過去1年間にサイバー攻撃で何らかの業務上の被害があった」とし、そのうち6.7%は「サイバーインシデントによる被害額が1億円以上」であり、「サイバーインシデントによる被害額が1000万円から1億円未満」と回答した企業も23.3%に上った。被害額が1000万円以上の組織の割
DNS Summer Day 2021 開催趣旨 DNSはインターネットにおける重要な基盤技術の一つです。 そのため、DNSの安定運用がインターネット安定運用にそのまま直結します。 DNSはグローバルCDNのシグナリングや、証明書の健全性の検証に必要な情報の提示に用いられたりするようになり、 情報通信インフラの安全性・健全性を支える重要な機能を実現するための役割を担わされる一方で DNSに干渉することにより様々な目的を実現しようという動きも起きています。 グローバルにサービスを提供する事業者によるパブリックDNSサービスが、権威側、リゾルバ側を問わず ブラックボックス的に使われる場面も当たり前の状況となりつつあります。 このように、DNSは多くの重要な役割を持つ、代替となるものがないインフラサービスとなっています。 一方で、DNSの運用については権威側にもリゾルバ側にも十分な関心が払われて
「クラウドを活用するための最新のAWSセキュリティ2020」というタイトルでre:Growth 2020に登壇しました #cmregrowth | DevelopersIO
こんにちは、臼田です。 みなさん、re:Invent 2020楽しんでますか?(挨拶 今回は弊社主催のre:Invent 2020振り返り勉強会である re:Growth 2020 Onlineで発表した資料を公開しつつ、解説をしていきます。 資料 解説 今年のセキュリティサービスはなんたって渋い そう、地味渋いんです。以下のようなものがありました。 事前 AWS Nitro Enclaves AWS Gateway Load Balancer AWS Network Firewall AWS Transfer FamilyのAWS WAFサポート AWS Control Tower v2.5 AWS SignerによるAWS Lambdaのコード署名 re:Invent Amazon CodeGuru Security Detector Amazon DevOps Guru AWS Au
Cloudflare Registrar とは ドメインを新規に登録したり、外部ドメインを Cloudflare にドメイン移管したりすることができるレジストラサービスです。 Cloudflare Registrar | New Domain Registration | Cloudflare Cloudflare registrar documentation · Cloudflare Registrar docs Cloudflare Registrar のいいところ Cloudflare が手数料を追加することなく、原価で提供するため、ドメイン管理費を削減できます Cloudflare は価格一覧を提供しません TLDs supported · Cloudflare Registrar docs 有志が価格一覧を公開しています https://github.com/judge2020
DNSサーバー 構築 入門編 - RAKUS Developers Blog | ラクス エンジニアブログ
はじめに 初めましてこんにちは!matsutairaです! 今回は、普段何気なく利用しているDNSサーバーというものにフォーカスし、実際にWebサーバー・DNSサーバーの構築を通してDNSサーバーとは何なのかをざっくり学べる内容となっております。「DNSサーバーってどんなもの?」「自分でDNSサーバーを構築してみたい!」という方々の力になれればと思います。 今回は初めて触る方向けの内容になっていますので、「DNSサーバーの構築方法だけ知りたい!」という方は目次からジャンプしていただければと思います。 手順の大まかな流れとしては、「ドメイン取得」 → 「各種サーバー構築」 → 「動作確認」です。 ドメインの取得は通常それなりのコストがかかりますが、お名前ドットコムであれば初回1年間は1円で利用することができる「.work」ドメインがあるため、最小限のコストに抑えることができます。また、ドメイ
Speeding up HTTPS and HTTP/3 negotiation with... DNS09/30/2020 In late June 2019, Cloudflare's resolver team noticed a spike in DNS requests for the 65479 Resource Record thanks to data exposed through our new Radar service. We began investigating and found these to be a part of Apple’s iOS14 beta release where they were testing out a new SVCB/HTTPS record type. Once we saw that Apple was requesti
CentOS 7と脆弱性
企業がセキュリティ事故から身を守るためには「脆弱性と EOL(End Of Life: サポート終了)」にも気をつける必要があります。その中でも特に多くの企業で Red Hat Enterprise Linux の代替として使われている「CentOS Linux(以下、CentOS)」の EOL と脆弱性について説明します。 1. CentOS 7 の EOL は 2024 年 6 月 CentOS にも当然 EOL がありますが、中でも CentOS 7 は 2024 年 6 月 30 日で EOL を迎えます。 それ以降は、重大な脆弱性が発見されても開発本家のセキュリティアップデートが提供されなくなります。 一口に「セキュリティアップデートが提供されなくなります」と言っても、どれくらいの影響があるのか判断しにくいと思います。そこで実際に、2021 年〜2023 年に公開された脆弱性がど
DNSFilter: DoH Isn’t Better, It’s What Google Likes: DNS-over-TLS
As the need for DNS encryption evolves, there seems to be a growing debate between DNS-over-TLS (DoT) and DNS-over-HTTPS (DoH). With Google (and Firefox) adopting DoH as their DNS encryption method for their browsers, there seems to be a belief that DoH is superior to DoT. But that’s not the case. The reality is that DNS-over-HTTPS and DNS-over-TLS are slightly different standards for implementing
昨日 Linuc 303 (Security) を受験してきました。いわゆる資格試験はかなり久しぶり、特に Linux 系の試験となると 5 年ぶりになります。そう、なぜ 5 年ぶりに Linux 系試験を受けたのかというと、ぼくの LPIC Level 3 の有意性期限が迫っているためでした。 LPIC は認定制ですが、その有意性は 5 年間の期限があり、それ以降も当該の有意性を維持しようと思うと、同レベルあるいはより上位のレベルの試験に合格する必要があります。 ぼくは 2014 年に LPIC 304 (Virtualization & High Availability) を取得して以降、完全に放置してしまっており、あーそういえば LPIC そろそろ受けないとなぁと思ってマイページを見ると、もはや期限切れの瀬戸際でした。 試験予約を入れた当日に台風 19 号が到来した結果、LPI-J
通信先ドメイン名を暗号化!「Encrypted SNI」とは? 先日、「中国のグレートファイアウォールが更新され、Encrypted SNIを利用した通信がブロックされていることが判明した」という調査結果が発表されました。今回は通信先のドメイン名を秘匿できる「Encrypted SNI」についてご紹介します。 Encrypted SNI(Server Name Indication)とは? まずSNI SSLとは、1つのIPアドレスに対して1つのドメイン名しか利用できなかったSSLサーバー証明書(以下、SSL証明書)を、通信先のドメイン名を定義することで1つのIPアドレスで複数のドメイン名にSSL証明書を利用できるようにした仕組みです。 例えば、さくらのレンタルサーバでは1つのIPアドレスを多くのユーザーで共有していますが、SNI SSLを利用することによってユーザー単位でSSL証明書を利
AWS Certified Advanced Networking - Specialty(ANS-C01)は二度と受かる気がしない|OPTEMO エンジニアブログ
AWS Certified Advanced Networking - Specialty(ANS-C01)は二度と受かる気がしない こんにちは、すずきです。 9/16に「とにかく難しい」と評判のANS-C01を受けてきました。 なんとか一発で合格できたのですが、もう二度と受かる気がしません。問題自体が難しかったのはもちろん、問題文の日本語が難解すぎて読解が苦痛でたまりませんでした。これもう国語の試験だろ。 試験結果757/1000 (合格点750)でした。 辛勝他の試験では長くても120分かけずに見直しまで終わるのですが、今回の試験では160分かかりました。48問見直しをして、最後までよくわからなかった問題は29問ありました。これでよく受かったな。 勉強内容いろんな合格記に「WEB問題集だけでは対策不足」ということが書かれていたので、初めてBlack Beltにも手を出しました。 また、
DKIM | MailData
S/MIMEで可能なメール暗号化については、メール送信時はSMTPS、MTA間はMTA-STS、メール受信時はPOPSやIMAPSを使う事で、メール通信経路の暗号化を行います。 DKIMの構文 DKIM署名は、メールのヘッダにDKIM-Signatureというフィールドとして追加されます。 このフィールドには、いくつかのタグが含まれており、それぞれ異なる情報を持ちます。 以下に、主要なタグを示します。 v DKIM署名のバージョン。通常、"1" と設定されます。 a 署名に使用されたアルゴリズム。一般的には、"rsa-sha256" が使用されます。 d DKIM署名を行ったドメイン名。 s セレクタ。署名に使用された公開鍵を特定するために使用されます。 c ヘッダキャノニカライゼーションアルゴリズムと本文キャノニカライゼーションアルゴリズム。"relaxed/relaxed" や "si
.frドメインを管理するAFNIC(French Association for Cooperative Internet Naming)は2024年5月29日(フランス時間)、意図的に壊れている権威DNS(Domain Name System)サーバを再現する「IBDNS(Intentionally Broken DNS)」をOSS(オープンソースソフトウェア)として公開した。 IBDNSはAfnic LabsのGitLabリポジトリで公開されており、ライセンスはGPL v3.0(GNU General Public License Version 3)となっている。 なぜ意図的に壊れている環境を再現するのか IBDNSは、RFCで定められたDNSプロトコルから意図的に逸脱する、異常なDNS権威サーバの動作を再現するOSSだ。DNSクライアントやDNSリゾルバがDNS権威サーバからの不正
VPS ServerのセットアップとLetsEncryptによる証明書取得と利用まで(Google Cloud DNS Service) | fukasawah.github.io
VPS ServerのセットアップとLetsEncryptによる証明書取得と利用まで(Google Cloud DNS Service) まずは入っているパッケージを適当に最新化 yum update reboot ユーザを作る # ユーザ作成 useradd fukasawah # パスワード設定 passwd fukasawah # wheelを与えてsudoを使えるようにする usermod -G wheel fukasawah id fukasawah # 作成したユーザに変更 su - fukasawah # sudoが使えるか確認。パスワード設定した時のパスワードが必要 sudo ls -l / SSH鍵の生成作成したユーザに対して行う。既に公開鍵の準備がある場合は、後述のauthorized_keysに追記する手順まで飛ばす。 $ ssh-keygen -t rsa -b 4
論文によると、この研究ではLLMエージェントが自律的にWebサイトをハッキングできることが示されており、特に「GPT-4」が優れた成果を挙げているという。 研究者らが検証のために開発したシステムのソースコードはわずか85行だとされている。実験にはGPT-4や「GPT-3.5」、幾つかのオープンソースのLLMなどが使われており、特にGPT-4が優秀な成績を収めている(全体的なハッキング成功率は42.7%、最も有能なケースで73.3%)。GPT-3.5の全体的な成功率は2.7%(最も有能なケースで6.7%)で、複数のオープンソースモデルの成功率は全て0%だったという。 研究者らは仮に同じことを人の手で実施した場合の費用と比較し、LLMを使った方が大幅に低いコストでハッキングを実現できるとしている。 これまで可能性としては指摘されていたが、実際に動作するシンプルなツールを開発し、複数のLLMを使
2022年7月15日紙版発売 2022年7月15日電子版発売 B5判/176ページ 定価1,342円(本体1,220円+税10%) ただいま弊社在庫はございません。 Amazon 楽天ブックス ヨドバシ.com Fujisan(定期購読のみ) 電子版 Gihyo Digital Publishing Amazon Kindle 本書のサポートページサンプルファイルのダウンロードや正誤表など 第1特集 設計・開発のイメージが湧く! Web APIの作り方 現代のWebサービスはブラウザやスマホアプリからアクセスされるほか,他サービスと連携することもあり,利用形態はさまざまです。そんな多様な形態に対応するための要となるのがWeb APIです。開発においてはサーバ側とクライアント側がインターフェースを合わせ,効率的に開発していく必要があります。Web APIの開発手法を理解することは,Webサー
--------------------------------------------------------------------- ■BIND 9.xの脆弱性(mirror zones機能におけるDNSSEC検証のバイパス) について(CVE-2019-6475) - mirror zones機能を設定している場合のみ対象、バージョンアップを推奨 - 株式会社日本レジストリサービス(JPRS) 初版作成 2019/10/17(Thu) --------------------------------------------------------------------- ▼概要 BIND 9.xにおける実装上の不具合により、namedに対する外部からの攻撃が 可能となる脆弱性が、開発元のISCから発表されました。本脆弱性により、 namedにおいてmirror zones機能を設
SMTPのDANEについて - Qiita
DANEとは DANEとは、MTA-STS同様にメールの配送経路上のメールサーバーとメールサーバーの間の暗号化の仕組みを少し強くするためのものです。 受信側が宣言することで、送信サーバーに対して、 STARTTLSを必ず使う TLS1.0以上、できれば1.2以上を必ず使う DNSSECが検証できなければ配送しない 公開鍵が正しくない場合は配送しない ようにしてもらうことを、お願いする仕組みです。 MTA-STSとの違いは、送信先が正しいということの検証を、証明書のトラストチェーンでおこなうのではなく、DNSSECのトラストチェーンと公開鍵や証明書をDNSの値と比較することで正当性の検証をおこなうというところです。 設定方法 DNSSECの有効 DANEが有効になるためには、DNSSECが有効になっている必要があります。 DNSSECは自分で管理するには敷居が高いので、今回の検証では、QUA
Signs of Triviality Opinions, mostly my own, on the importance of being and other things. [homepage] [index] [jschauma@netmeister.org] [@jschauma] [RSS] October 10th, 2019 There's been a lot of talk about DNS-over-HTTPS aka DoH lately, primarily due to Mozilla's and Google's respective plans to move forward with enabling it in their browsers. There's also a lot of misunderstanding and conflation o
CSEC87 で論文発表した
Date: 2019/12/22 Lastmod: 2019/12/22 本記事は DNS 温泉 Advent Calendar 2019 22 日目の記事です。 12/04 に沖縄県で行われた第 87 回コンピュータセキュリティ研究発表会 (CSEC87) で論文 “A survey on the status of measures against IP fragmentation attacks on DNS” を発表しました。 本論文はトップレベルドメイン (TLD) における第一フラグメント便乗攻撃への対策状況をまとめたものです。 論文はこちらからダウンロードできます (IPSJ からはこちら)。 第一フラグメント便乗攻撃の詳細は DNS 温泉 6 のスライドをご覧ください。 研究内容 今回は権威サーバ側で Path MTU Discovery に反応して ICMP 応答がフラグ
GitHub - Pugmatt/BedrockConnect: Join any Minecraft Bedrock Edition server IP on Xbox One, Nintendo Switch, and PS4/PS5
How does it work? In Minecraft Bedrock Edition, players on any version can join the available 'Featured Servers'. By using a DNS server, we can make the domains that are used to join these servers, and make them direct to the BedrockConnect serverlist server, rather than their actual servers. The BedrockConnect serverlist server, is a specially made Minecraft server that serves the purpose of join
ドメイン名にもライフサイクルがあります。ドメイン名が作成され、一定の期間使用され、そして期限を迎えます。しかしドメイン名の一生はそこで完全に終わりません。同じドメイン名を再利用し、別の目的のために使用されることも多いです。 ドメイン名の所有者は期限切れ時期までドメイン名の使い途がない場合も多いですが、ドメイン名の期限切れはわざとではなく、所有者が更新締め切り日を逃してしまうことのほうが多い状態です。 ドメイン名が再度登録されていなくても、そのドメイン名が以前存在していたという事実と記憶は残ります。ドメイン名とホスティングされていたウェブサイトは期限が切れ誰も使えなくなりますが、そのリンク自体や他者のサイト上に貼り付けられたそのドメイン名のリンクは消されずに残り続けます。 既に期限が切れたドメイン名を第三者が取得することで、お金を稼ぐためやウェブサイトへの訪問者を増やすために、そのドメイン名
コンピュータ情報サイトの「Help Net Security」は2024年2月20日(現地時間)、セキュリティ企業のVeracodeのレポートを引き合いに出し、アプリケーションの63%がファーストパーティーコードに欠陥を持ち、70%がサードパーティーライブラリーを通じてインポートされたコードに脆弱(ぜいじゃく)性を持つと発表した。 生成AIが書いたソースコードの過信は禁物 約3割で脆弱性が見つかる レポートによると、アプリケーションの脆弱性は組織におけるサイバー攻撃のリスク要因となる。1年以上修正されていないアプリケーションの脆弱性、すなわち「セキュリティ負債」を抱えている組織は46%ほどになるという。 この状況を改善するためにはソフトウェア開発ライフサイクル全体を通じてこれらの脆弱性のテストを実施することが重要で、利用しているサードパーティーライブラリーの脆弱性について継続的に修正を続け
個人用ブログを WordPress からはてなブログ Pro に移行して、DNS の管理を GCP Cloud DNS にした話 - saino.me (kaishuu0123)
移行ログを自分のために残しておこうと思い、ここに書いておきます WordPress を自前で運用していたモチベーション 「昔、WordPress 触ってたけど、2019 年現在の WordPress ってどこまで便利になったの?デザインも進化した? SEO 対策ってどんなのがあるの?」と数々の疑問があったので一通り今風の運用を自分の中で固めておくためです。 移行以前(WordPress) の環境 インフラ環境 さくらの VPS 上に docker と docker-compose で WordPress の container を立てて運用していました。下記のような docker-compose.yml を書いていました。 version: '3.3' services: db: image: mysql:5.7 volumes: - db_data:/var/lib/mysql rest
# DNSのポートを指定。何もしなければ53が使われる。 # port=5353 # デフォルトの/etc/hostsを参照したくないのであれば記述 no-hosts # DHCP機能を使わない場合 no-dhcp-interface=eth0 # hostsとして参照させたいファイルを指定 addn-hosts=/etc/hosts-dnsmasq # ドメイン名を自動的にhostsに付与するか expand-hosts # DNSSECバリデーションを有効化 dnssec # ログの出力先 log-facility=/var/log/dnsmasq/dnsmasq.log # DNSクエリのログを取る log-queries # ローカルドメイン名 domain=thekelleys.org.uk # このようにサブネット指定で複数のローカルドメインを指定することも可能 domain=
達人出版会
[令和6年度]基本情報技術者 超効率の教科書+よく出る問題集 五十嵐 順子 徹底攻略 データベーススペシャリスト教科書 令和6年度 株式会社わくわくスタディワールド 瀬戸美月 著 徹底攻略AWS認定SysOpsアドミニストレーター - アソシエイト教科書&問題集[SOA-C02]対応 鮒田 文平, 長澤 美波, 日暮 拓也, 奥井 務, 渡辺 樹, 山下 千紗, 伊藤 翼 世界標準MIT教科書 アルゴリズムイントロダクション 第4版 第2巻 高度な設計と解析の手法・高度なデータ構造・グラフアルゴリズム Thomas H. Cormen, Charles E. Leiserson, Ronald L. … 問題解決の教科書 CITA式問題解決ワークブック 市岡 和之 はじめてのType-C電子工作 じがへるつ スッキリわかるJava入門 実践編 第4版 中山 清喬(著), 株式会社フレアリ
RFC 9446: Reflections on Ten Years Past the Snowden Revelations
RFC 9446 Reflections on Ten Years Past the Snowden Revelations Abstract This memo contains the thoughts and recountings of events that transpired during and after the release of information about the United States National Security Agency (NSA) by Edward Snowden in 2013. There are four perspectives: that of someone who was involved with sifting through the information to responsibly inform the pub
DNSトラブルシューティング IIJ 山口崇徳 DNSの関係者(1) ユーザ レジストラ 参照サーバ ルートサーバ レジストリの 権威サーバ 権威サーバ ドメイン 所有者 委譲 委譲 DNS問い合わせ DNS問い合わせ ゾーン 設置 登録 登録 2 DNSの関係者(2) • なんかいっぱいいる… – それぞれ役割が異なる – それぞれの場所で固有のトラブルが発生しうる – どこでトラブルが起きているのか見極めるのが重要 • 自分はその中のごく一部にしか関われない – トラブルの原因は特定できても、それが自分では手の出せないところ にあることも多い • 原因となっているところが直してくれるまで、何もできずに眺めているしか できない – そんなわけで、問題の解決に至らず、原因の特定までで終わってしま うケースも多々あり • むしろその方がはるかに多いような気も… • このセッションの「DNSト
Strict Transport Security vs. HTTPS Resource Records: the showdown
HTTPS resource records (HTTPS RRs) are a new type of DNS record. The standard is still in progress and covers various intended use cases, mostly around delivering configuration information and parameters for how to access a service. In this post, I’m going to ignore all that and focus on one very simple use case: an HTTPS RR, on its own, can signal that a domain supports HTTPS, allowing the browse
This post is also available in 日本語, 简体中文, Français, Deutsch. Unlike the tides, Internet use ebbs and flows with the motion of the sun not the moon. Across the world usage quietens during the night and picks up as morning comes. Internet use also follows patterns that humans create, dipping down when people stopped to applaud healthcare workers fighting COVID-19, or pausing to watch their country’s
DoH/DoT入門
DoH/DoT入門 IIJ 山口崇徳 Internet Week 2019 DNS DAY traditional DNS DNS UDP TCP IPv4/v6 DNS over UDP • 基本のキ • 複雑なネゴシエーション不要 • ステートレス • パケット1往復で完了 • サイズ制限 • 512バイト上限 → EDNS0 により緩和 • IP fragment の問題 • パケット偽造されやすい • キャッシュポイズニング (IP アドレス、ポート番号、query id の偽造) • DNS amp (IP アドレスの偽造) • fragmentation attack (フラグメントしたパケットの2番目を偽造) DNS over TCP • RFC1123 • UDP のサイズ制限を超える場合にかぎって TCP fallback • RFC5966、RFC7766 • UDP
Configuring DNSSEC signing and validation with Amazon Route 53 | Amazon Web Services
Networking & Content Delivery Configuring DNSSEC signing and validation with Amazon Route 53 AWS now supports DNS Security Extensions (DNSSEC) signing on public zones for Amazon Route 53 and validation for Amazon Route 53 Resolver. DNSSEC is a specification that provides data integrity assurance for DNS and helps customers meet compliance mandates (for example, FedRAMP and security standards such
Knot DNS
Knot DNS の紹介 Internet Week 2018 DNS DAY IIJ 山口崇徳 InternetWeek 2012 DNS DAY 2 DNS Summer Day 2016 3 Knot DNS とは • CZ NIC による権威DNSサーバ実装 • https://www.knot-dns.cz/ • キャッシュ機能なし • 同じく CZ NIC による Knot Resolver をご利用くださいませ • GPL • 最新版 2.7.4 • 採用実績 • .cz • K.root-servers.net (の一部) • それほど多いわけではない 4 主な機能 • NSD でもできること • RRL (response rate limting) • BIND にできて NSD ではできないこと • automatic DNSSEC signing • dynamic
重要なポイント ○COの役割~平常時のHSM(KSK)の有効化~ HSMを有効化するスマートカードが保管された金庫の鍵を預かる スマートカード自身は預からない 第三者であるCOがHSMに直接触る(近づく)ことを避け、第三者がHSMを物理的に壊すリスクを回避できる ○RKSHの役割~緊急時のHSM(KSK)の復旧~ KSKの暗号化バックアップを作る際にHSM内部で使われた(HSM独自の)鍵の一部を預かる KSKそのものを暗号化したもの(の一部)は預からない もしRKSHだけが全員集合しても、KSKは複製できない ○直接の関係者はCO及びRKSHには就任できない 直接の関係者:ICANN、VeriSign、米国商務省(DoC) 不法な業務命令などによる圧力を回避 ○HSMの稼動を止めないことが重要 HSMはICANNの東西の拠点に2台ずつ、計4台稼動する 拠点内及び拠点間の双方において、それぞ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IIJとDNSの30年(IIR vol.59 4章) | IIJ Engineers Blog
インターネットに存在する「ダークウェブ」の階層がヤバすぎる : 哲学ニュースnwk
約9割が「セキュリティ人材不足」 KPMGが2023年の調査レポートを公開
日本DNSオペレーターズグループ | DNS Summer Day 2021
Cloudflare Registrar でドメイン取得する - Qiita
Speeding up HTTPS and HTTP/3 negotiation with... DNS
LinuC 303 Security - 理系学生日記
通信先ドメイン名を暗号化!「Encrypted SNI」とは? | さくらのSSL
「意図的に壊れている権威DNSサーバ」を再現する「IBDNS」をオープンソースで公開 AFNIC
LLMがWebサイトを自動ハッキング 研究者らが各LLMの性能を比較
Software Design 2022年8月号
BIND 9.xの脆弱性(mirror zones機能におけるDNSSEC検証のバイパス)について(CVE-2019-6475)
DNS Security: Threat Modeling DNSSEC, DoT, and DoH
期限が切れた後のドメイン名に何が起こるか – Gandi ニュース
過信は禁物 生成AIが書いたソースコードの約3割に脆弱性が見つかる
dnsmasqでサクッとDNSサーバ構築 - Qiita
dns-troubleshoot.pptx
Introducing Cloudflare Radar
DNSSEC 関連情報 ~ルートゾーンにおけるKSKの管理方法~ / JPRS