コインチェックのドメインハイジャックの手法を調査した
しゅーとです。 コインチェックは 6月2日 、ドメインレジストラである「お名前.com」の管理アカウントに不正にアクセスされ、ドメイン登録情報が変更されたこと、またそれによって第三者によるメールの不正取得が行われたと発表しました。 プレスリリース(第一報)は以下です。 当社利用のドメイン登録サービスにおける不正アクセスについて(第一報) 攻撃を受けた時刻が 5/31 0:05 で、検知時刻が 6/1 12:00 と攻撃に気付くまでの時間は1日であり、また対応完了まで2日足らずとのことで、検知・対応は非常に迅速だったと思います。 今後第二報で詳細な内容が発表されると思いますが、プレスリリースから攻撃者がどのようにメールの不正取得を行ったのか、インターネット上の情報を用いて調査してみました。 ドメインハイジャックをされている関係上、メール以外にもSSL証明書の不正取得や偽Webサーバによる盗聴
CNAME Cloakingが回避できるらしい「NextDNS」の設定方法|ふじい
CNAME Cloakingを知ってトラッキングされない方法があるのか疑問に思って調べてみたらNextDNSで実現できそうなのでやってみた。 更には広告やマルウェアやフィッシングやマイニングもある程度防げます。 Windows 10で進めていますが、macOS/Android/iOSやルータにも設定できます。要はDNS設定できればNextDNSを使用することができます。 CNAME Cloakingとは ターゲティング広告のためにいろんなWebサイトで広告配信業者のCookie共有してユーザの興味あるものを勧めたろ! ↓ 3rd Party Cookie規制される流れやし、Webサイトのドメイン使ってターゲティングできるようにしたろ! 雑な説明ですいませんね。例を使って説明してみます。 前提) Webサイト所有者のドメイン:website.example 広告配信業者のドメイン:adtec
Microsoft Azure、DNSの設定変更に失敗して全世界的にサービス障害。日本は十連休中だったのが不幸中の幸いか
Microsoft Azure、DNSの設定変更に失敗して全世界的にサービス障害。日本は十連休中だったのが不幸中の幸いか Microsoft Azureは、2019年5月2日午後7時43分から午後10時35分まで(日本時間 2019年5月3日午前4時43分から午前7時35分まで)の約3時間、DNSの名前解決に問題が発生。 ほぼ全世界的に、Microsoft AzureをはじめOffice 365/Microsoft 365やMicrosoft Dynamicsなど同社サービスに対する接続ができなくなるという大規模な障害を起こしました。 この大規模障害の原因は、同社サービス用のDNSのメンテナンス作業のミスが原因だったと発表されました(中間報告の段階では既存のDNSからAzure DNSへのマイグレーション作業に失敗したと報告されていました。現在の報告では計画メンテナンス作業での失敗だとされ
DNS over HTTPSを使ってDNSレコードを外形監視 - LIVESENSE ENGINEER BLOG
こんにちは、インフラグループの水野です。 みなさん、DNSのレコードの監視を行っていますか? DNSレコードの変更ミス等を検知することはもちろん、自分たちの運営しているサービスの名前解決がユーザ側でどのように見えているのかというのを確認することは大切です。 しかしながら、DNSレコードを外形監視してくれる監視ツールは数が少なく中々コレといったものがありません。 外部からの監視をしたいがためにパブリッククラウドに監視専用のインスタンスを建てるのももったいないです。 弊社ではメインの監視ツールとして Mackerel を利用していますが、MackerelにはURL外形監視はありますが、DNS外形監視はありません。 別途 pingdom のDNS外形監視を利用していましたが、pingdomではIPアドレスとのマッチしかできません。 IPアドレスもひとつしか登録できないため、ELBのようにIPアド
DNS over HTTPSの標準化開始:Geekなぺーじ
DNSのメッセージをHTTPSの上に乗せようという標準化活動がIETFで開始されました。 IETFのDOH(DNS Over HTTPS)ワーキンググループです。 DOHワーキンググループは、Applications and Real-timeのエリアです。 先月開催されたIETF 100(2017年11月)にて、DOHワーキンググループの第1回ミーティングが行われました。 そこでは、ワーキンググループが対象としている範囲や、現在あるインターネットドラフトに関しての議論が行われました。 draft-ietf-doh-dns-over-https : DNS Queries over HTTPS 現段階におけるインターネットドラフトは、以下のような内容が最初に書かれています。 DNS queries sometimes experience problems with end to end
ioドメイン障害を理解するため、DNSの仕組みについて勉強した - $shibayu36->blog;
先日、ioドメインの障害があったのだけど、自分がDNSの仕組みをよく分かっていないせいで、いまいちどういうことが起こっていたのか把握できなかった。そこで、DNSの仕組みについて軽く勉強したので、そのメモを残しておく。内容は間違っているかもしれないので、その場合は指摘してください。 DNSについて学んだこと Software Design 2015/4のDNSの教科書が非常に勉強になった。また、 インターネット10分講座:DNSキャッシュ - JPNICも参考になる。 権威サーバとフルリゾルバ まず、DNSサーバには権威サーバとフルリゾルバの二つの種類が存在する。 権威サーバ ドメインの情報を管理し、自分の管理しているゾーンの情報を提供するだけのサーバ 問い合わせたドメインが自分のゾーンの管理下ではない場合、別の権威サーバへ委任するという情報を返す コンテンツサーバとも言われる? 例) co
外形監視におけるフルリゾルバーのキャッシュ保持期間
こんにちは、滝澤です。 みなさん、提供しているサービスの外形監視を行っていますか。 DNSレコードの変更ミスやドメイン名の失効などを起因とする障害に早く気づけるようになっていますか。 ということで、今回は外形監視におけるフルリゾルバー(キャッシュDNSサーバー)のキャッシュ保持期間について考えてみます。 外形監視とフルリゾルバーについて 外形監視とは何かを一言でまとめると、「システムの外部から、システムが提供していサービスが正常に動作しているかを監視する」ことです。 このとき、「ユーザーと同じような方法でアクセスする」ことが重要となります。 アプリケーションのサービスへのアクセス方法 ウェブブラウザーのようなユーザー側のアプリケーションがサービスに接続するときには、次の図のようにサービスのドメイン名の名前解決を行い、取得したIPアドレスに対して接続を行います。 このとき、名前の解決は次のよ
DNS Performance
DNS Performance Analytics and Comparison Find the fastest and most reliable DNS for free based on millions of tests How we measure DNS Performance All DNS providers are tested every minute from 200+ locations globally. All tests are over IPv4 with a 1-second timeout. The public data is updated once per hour, but contact us for real-time data.
Google Public DNS over HTTPS を試す | IIJ Engineers Blog
【2018/11/16 追記】 本記事は、2016 年 4 月に Google Public DNS サーバに実装された、実験的な DNS over HTTPS プロトコルについて紹介しています。DNS over HTTPS プロトコルはその後 IETF の doh ワーキンググループにて標準化が進められ、2年半後の 2018 年 10 月に RFC8484 として出版されました。本記事で紹介したプロトコルは RFC8484 に規定されたプロトコルとはいくつもの点で異なっていることにご注意ください。 Google Inc. が公開 DNS サーバを運営していることはご存知でしょうか? Google Public DNS と呼ばれるこの公開 DNS サーバは、”8.8.8.8″ という特徴的な IP アドレスで全世界のインターネットユーザに対して無料の DNS サーバ(フルレゾルバ)を提供し
「OPEN IPv6 ダイナミック DNS for フレッツ・光ネクスト」サービスを公開 - ソフトイーサ株式会社 代表取締役 登 大遊
2016 年 6 月 14 日 (火) 筑波大学発ベンチャー ソフトイーサ株式会社 代表取締役 登 大遊 「OPEN IPv6 ダイナミック DNS for フレッツ・光ネクスト」サービスを公開 NTT 東日本のフレッツ回線間で VPN 機器や IoT 機器同士のフレッツ網内の高速・低遅延の直接通信を実現 ソフトイーサ株式会社は、本日、「OPEN IPv6 ダイナミック DNS for フレッツ・光ネクスト」サービス (https://i.open.ad.jp/) のベータ版を提供開始しました。 この無償のダイナミック DNS (DDNS) サービスを利用すると、NTT 東日本のすべてのエリアの 1,066 万本のすべてのフレッツ回線上で、インターネットから絶対に不正侵入されるおそれのない、大変高速かつ低遅延な VPN を、簡単に構築できます (注 1)。また、IoT 機器をフレッツ網に直
Let's EncryptのDNS-01を使用して無料のSSL証明書をWebサーバなしで取得する -- ぺけみさお
サマリDNSによる認証(DNS-01)でドメインを認証し、Let’s EncryptからSSL証明書を取得することができたので、メモとしてまとめます。クライアントはサードパーティ製のletsencrypt.shを使用します。DNSで認証するには、ドメインに認証専用のサブドメインを追加し、サブドメインに対してTXTレコードを設定できる必要があります。HTTPによる認証ではないため、Webサーバは必要ありません。このためHTTPによる認証と比較してとても簡単に証明書を取得できます。HTTPによる認証と手間なところ無料でDVのSSL証明書を取得できるLet’s Encryptが話題です。 Let’s Encryptで証明書の取得を行う場合、HTTPを使用してドメインを認証を方法(HTTP-01)が紹介されることが多いようです。 この方法でドメインを認証する仕組みは、ざっくり説明すると以下のとおり
乙武不倫の謝罪ホームページに見るサーバー構築:
今回、不倫で有名になった乙武さんの謝罪文はAWSのS3で構築してる。技術的にもプロの犯行だ。S3とは、ざっくり言うとAmazonさんが運営してるほぼ絶対落ちない静的サーバのことです。http://ototake.com をDNSで全部S3に降ってる。要するに謝罪文しか表示しないけど絶対落ちないサーバをAmazonさんから短期的に借りる。今後、芸能人の謝罪文はAWSのS3というソリューションが増える。 GMOさんは芸能人に強いのに営業しないのかな。CAと組んで謝罪文サーバとか売ればいいのに。これは、芸能人のサイトを運用している人には重要な事例だ。教科書にのるかもしれない。むしろ、今後の謝罪ページのセオリーになるかもしれない。昔に比べて、DNSの浸透は爆速になったので、こういうのが可能なんだろな。 今まで、ototake.comを無視して、短期的にS3にDNSを降ることで、以下のメリットが有る
NetworkManager+dnsmasqで名前解決の耐障害性を向上 | 外道父の匠
クラウド・インスタンスにおけるDNSサーバーの指定は、DHCPサーバーから情報を取得して利用するようになっています。具体的には dhclient が resolv.conf を上書きする感じですが、最近は NetworkManager さんがこの辺の面倒を見てくれるので、まともな構成 ってやつを考えてみました。 ドンピシャで正着に至ったというわけではないですが、ひとつの有効な手段として扱うことはできそうです。 目次 概要 NetworkManagerがない場合 NetworkManagerのデフォルトの挙動 dnsmasqを利用する 任意のDNSサーバーを追加する 起動時の設定として組み込む dnsmasqのForward方式 DNSキャッシュ 耐障害性 理想の挙動 概要 NetworkManager は必ずしも必要なわけではないですが、CentOS7 など新し目のディストリビューションで
nginxのproxy_passにIPではなくホスト名を使うときの注意点 | Ore no homepage
nginxの背後にELBがいて、proxy_pass https://xxx.yyy.comみたいに指定していたんだが、突然クライアントにHTTP 499が返却されてしまうという事案が発生した。なおこの記事の対象はnginx1.8系とnginx1.6系。調べたところによると割とみんなよくハマる定期ネタのようだ。 どういうことか nginxの仕様としてproxy_passに名前を使っている場合、その名前解決はnginx起動時に行われる。そしてそのときに取得したIPはnginxにキャッシュされてnginxの再起動もしくはHUPを受け取るまで解放されない。 なのでELBのようにIPが変化するものをnginxの後段に置くときは注意する。 proxy_pass https://xxx.yyy.com; だけでなく、resolverでDNSとそのキャッシュのexpireを指定、さらにset $xxxで
Nginxと名前解決の話 - Masteries
Nginxでは, serverコンテキストのlocationコンテキストにおいて, proxy_passディレクティブを利用することで任意のホストにアクセスを転送することができます. 例えば, serverコンテキストにおいて, location / { proxy_pass http://127.0.0.1:5000; } みたいに書いてあげれば, localhostの5000番ポートにアクセスを転送することが出来ます. Webサービスでは, こういう感じでNginxが443番(HTTPS)や80番ポート(HTTP)で受けたアクセスを5000番ポートなどで動いているWebアプリケーションに転送している訳です. で, このproxy_passディレクティブは, IPをそのまま書くのではなく, 次のようにドメインを書くこともできます. location / { proxy_pass http
Fluentd forwardを先の名前解決結果によって切り替える - s_tajima:TechBlog
やりたいこと 以下のような図で表されるような構成をとっている場合に、 aggregator A -> aggregator Bへのforward先切り替えを、名前解決によって行いたい。 検証 以下の様な設定でテスト この設定をした上で名前解決されるIPを変更してみる。 結果は失敗。しばらく待ってみてもaggregator Aにforwardされ続けてしまう。 この辺りの実装を追うためにソースを確認。 処理を追っていくと怪しそうなのは以下のあたり fluentd-0.10.39/lib/fluent/plugin/out_forward.rb @expire_dns_cacheによってキャッシュの挙動がかわりそう。 肝心のexpire_dns_cacheの初期値は... config_param :expire_dns_cache, :time, :default => nil # 0 me
お名前.comからAmazon Route 53へドメインを移管する | DevelopersIO
こんにちは、虎塚です。 Amazon Route 53でドメインが管理できるようになって数ヶ月がたちました。Route 53では、Amazon Route 53でドメインを購入する | Developers.IOにあるように、ドメインを新規に取得することができます。さらに、別のドメインレジストラで登録していたドメインを、移管して管理することもできます。 そこで今日は、他のドメインレジストラに登録しているドメインをRoute 53へ移管する手順を紹介します。例として、 お名前.comで管理しているドメインを想定して説明します。 ちなみに、移管手続きからAmazon側での処理完了までの所要時間は、移管元の事業者によって異なります(移管元が何も応答しなかった場合、5〜7日間かかるとのことです)。今回は約6時間でした。 はじめに この記事の内容は、AWSの公式ドキュメントをスクリーンショット入りで
(緊急)複数のDNSソフトウェアにおける脆弱性(システム資源の過度な消費)について(2014年12月25日更新)
--------------------------------------------------------------------- ■(緊急)複数のDNSソフトウェアにおける脆弱性(システム資源の過度な消費) について(2014年12月9日公開) - BIND 9では権威DNSサーバーにも限定的に影響、バージョンアップを強く推奨 - 株式会社日本レジストリサービス(JPRS) 初版作成 2014/12/09(Tue) 最終更新 2014/12/25(Thu) (米国The CERT Divisionの注意喚起・Vendor Informationへのリンクを追加) --------------------------------------------------------------------- ▼概要 BIND 9・Unbound・PowerDNS Recursorを含む複
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Domain name services and DNS hosting - DNSimple
Google Public DNS