インターノット崩壊論者の独り言 - わかる人にはわかる - DNS 毒入れ疑似体験
最近の日記 2019-02-18 1. Measures against cache poisoning attacks using IP fragmentation in DNS 2019-02-07 1. 第一フラグメント便乗攻撃についてJPRSに質問してみた 2019-01-17 1. DNS 温泉 番外編 (第一フラグメント便乗攻撃の理解のために) 2019-01-16 1. 浸透とやらを待っている人は何を待っているのか? 2018-11-04 1. Unbound を安全にしよう 2018-10-31 1. これを NSEC/NSEC3 Replacement Attack と呼ぶのはどうだろう? 2018-08-27 1. DNS 温泉 5 無事終了 2018-04-08 1. 8.8.8.8 に加え 1.1.1.1 を用いたアクセスも拒否させて頂きます。 2017-12-13
DNS AMP Check
ネームサーバ診断 「DNSの再帰的な問合せを使ったDDoS攻撃」の踏み台になる可能性に関する診断です。 好ましくない設定(キャッシュを応答する)のサーバは毒入れに対しても脆弱となります。 放っておくと、大変なことになりますよ。 あなたのお使いの機器をチェックします。(IPv6未対応 mOm) 調べたいドメインがあればどうぞ (サブドメインも可ですが一部手抜きで診断できないかもしれません)。 その権威サーバが問題のある設定でキャッシュサーバを兼ねているとNGとなります。 ドメイン名 (診断に時間のかかる場合があります) 大量のドメインのチェックを行うとアクセス制限をさせて頂くかもしれません。ご利用は控えめに ;-) Lame Delegation など総合的な診断はDNS健全性チェッカーをどうぞ 参考: DNS の再帰的な問合せを使った DDoS 攻撃に関する注意喚起 DNS の再帰的な問合
インターノット崩壊論者の独り言 - ATND消失 - RECRUIT がやらかして ATND が見えなくなったようなのでメモ
EPIC2014 Google Public DNS (8.8.8.8, 8.8.4.4) および Cloudflare (1.1.1.1, 1.0.0.1) 経由では本サイトにアクセスできないよう措置させて頂いております。 権威サーバを新しく ns[1-3].x.recruit.co.jp に切り換えたようですが応答しません。そもそもゾーンが設定されていないのではないでしょうか。 なお、今も (注:復旧前) 見えていて、利用している DNS キャッシュサーバが BIND だったりすると幽霊ドメイン名脆弱性を抱えている可能性があります。OCN や 8.8.8.8 で見えているのは別な理由だと思います。(委譲元の TTL で古い NS をキャッシュしているのでしょう) (10:27 追記: ゾーンが設定され、引けるようになったようですが、旧サーバのゾーンデータは古いままなので、幽霊は漂い続け
キャッシュポイズニングの開いたパンドラの箱
キャッシュポイズニングの開いたパンドラの箱 Opened Pandora's box of Cache Poisoning 鈴木常彦 2014.04.15 (Concept by 前野年紀 2014.02) / English version 背景 Kaminsky 2008年、Dan Kaminsky 氏が TTL に影響されない毒入れ手法を発表した。 しかし、偽応答のAdditional Section で毒が入るとされたのは誤りだったことを2011年に鈴木が明かにした。 http://www.e-ontap.com/dns/bindmatrix.html Müller Bernhard Müller の "IMPROVED DNS SPOOFING USING NODE RE-DELEGATION", 2008.7.14 https://www.sec-consult.c
インターノット崩壊論者の独り言 - 開いたパンドラの箱 - 長年放置されてきた DNS の恐るべき欠陥が明らかに
EPIC2014 Google Public DNS (8.8.8.8, 8.8.4.4) および Cloudflare (1.1.1.1, 1.0.0.1) 経由では本サイトにアクセスできないよう措置させて頂いております。 本日、JPRS がようやく重い腰をあげて注意喚起を発してくれましたが、その内容は危険性をよく理解して対策をとるにあたって十分な情報が含まれているとはいえません。 一方で注意深い攻撃者が探せば、ネット上にはすでに深刻な攻撃を行うのに必要な情報は十分に流れています。特に、JPRS が3月に慌てて co.jp などにこっそり入れた署名付き TXT レコードは大きなヒントに見えます。 DNS に詳しい攻撃者であれば、攻撃手法に辿りつくのは時間の問題でしょう。(すでに攻撃は行われているかも知れません) 長く秘密にしておくことは得策ではないと判断し、防御する側の心構えと手助けにし
インターノット崩壊論者の独り言 - 「浸透おそい」の原因はブラウザでしょ (Firefox編) - Firefox の名前解決キャッシュの謎 , Firefox の名前解決キャッシュの正体 , 結論
EPIC2014 Google Public DNS (8.8.8.8, 8.8.4.4) 経由では本サイトにアクセスできないよう措置させていただいております。 Firefox の名前解決キャッシュの動作が不可解だったので色々調べてみました。 「ISPのDNSキャッシュサーバはTTLを越えてキャッシュを保持するか?」の実験で用いている a.t.e-ontap.com は 5分毎に A レコードが切り替わるようになっています。 この http://a.t.e-ontap.com/ を Firefox 28.0 でリロードしながら観察するとおかしなことに気づきます。まず普通にリロードを行っても DNS 権威サーバ側で A レコードが切り替わっているのに、まるで HTTP の接続先が切り替わりません。さらにパケットダンプしてみると、DNSキャッシュサーバへ問合せを送り新しい A レコードを得てい
Truth of Kaminsky Bug
実験目的 Kaminsky が示した毒入れ手法は DNSプロトコルの欠陥によるものであり、非常に危険なものであるという論を根拠に DNSSEC が推進されている。しかし、BlackHat USA 2008 における Kaminsky の講演のスライドに示されている方法にはいろいろな点で疑義がある(Finchなど)。qmail.jp の前野氏からあれで毒が入ると思うかとの指摘を受けたこともあり、散々考えたが、私には Kaminsky のスライドどおりに毒が入ることがどうしても納得いかなかった。そして、Kaminskyが間違っている(あるいは嘘をついている)、あるいは、BIND には毒が入るバグがあって Kaminsky の攻撃手法が成功するというのではないかという仮説が引き出せる。これは前野氏が当初から洞察していたことであった。この仮説に基づくと、Kaminsky の発表から3年経った今、そ
Buzzword Propagation
通常、1週間から2週間の時間(プロパゲーション期間)をかけて新しい情報が世界中のDNSサーバーへ浸透していきます。
DNS設定の確認方法
そもそもDNSの設定がうまく変更できたかどうかをうまく確認できていない人をよくみかけます。設定の確認には、DNSの仕組みを知り、「再帰検索要求」と「非再帰検索要求」をうまく使い分ける必要があります。 コンテンツサーバの設定確認 「非再帰検索要求」でNSとなっているサーバの設定を個別に確認しましょう。こんな感じ、、、 委譲元の確認(djbdnsのツール推奨) % dnsq ns e-ontap.com a.gtld-servers.net(できるだけIPアドレスで) 2 e-ontap.com: 130 bytes, 1+0+3+3 records, response, noerror query: 2 e-ontap.com authority: e-ontap.com 172800 NS ns.e-ontap.com authority: e-ontap.com 172800 NS ns
浸透いうな!
DNSの引越しをしたけどうまく切り替わらない。なかなか浸透しない。業者に問い合わせると「DNSの浸透には数日かかることもあります。お待ちください」と言われた。 、、、という話をよく聞きますが、「浸透」(伝播、伝搬、浸潤、反映などとも呼ばれる)ってなんでしょう? DNSの設定を変更するのは「浸透」という謎の現象に託す神頼みのような作業なのでしょうか。 2011.10.16 追記:「浸透」と言っている例 DNSの仕組み まず、DNSの仕組みと、特にキャッシュの動作について解説します。...と思いましたが、とっても大変なので省略します。ただ、権威サーバに登録された情報が世界中のキャッシュサーバに配信されるなどという仕組みは DNS には存在しません。浸透という人はそう思っているようですが。(こんなふうに) 「浸透」という言葉で騙されていませんか? 事前に変更したいDNSのレコードのTTLを短くし
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.e-ontap.com/dns/todaydownjp.txt