最近観測されている DNS トンネリングのトラフィック
By Ruian Duan and Daiping Liu October 16, 2023 at 1:38 AM Category: Malware Tags: Advanced URL Filtering, Cobalt Strike, Cortex XDR, Decoy Dog malware, DNS security, dns tunneling, DNSTT, FinCounter, next-generation firewall, VPN This post is also available in: English (英語) 概要 本稿は、DNS (ドメイン ネーム システム) のトンネリング技術が野生で (in the wild) どのような理由と方法で利用されているのかに関する研究をご紹介します。またこの研究結果に基づいて、トンネリング ドメインをツールやキャンペーン
新入社員「DNSってなんですか?」→ これ、どこまで答えられますか?????????
はじめに 「DNSって何ですか?」 エンジニア・プログラマの皆さんは会社の同僚や後輩などにこの質問をされたらどこまで回答できますか? 大体の人は、「Domain Name System(ドメイン・ネーム・システム)の略称で、IPアドレスとドメインの紐付けをおこn.....」 みたいな回答になってしまうと思います。 特に自分のような、フロントエンド周りが主領域のエンジニアにとってはDNSの理解はかなり後回しになってしまうかなと思います。 今回は、そんなあまり業務でDNSに携わらない方々に向けて、DNSの最低限知っておきたい基礎知識をやさしくお届けできたらなと思います。 ※タイトルではめちゃくちゃ煽りましたが、本記事は割と基礎的な内容になっています。ご安心を。 DNSとは まずは、DNSとはなんぞやというところから入っていきたいと思います。 DNSとは、冒頭にも登場しましたが、Domain N
取得したドメインで送信するメールの信頼性を上げる方法 - アルパカの徒然文
ドメインを取得後にそれを使ったメールアドレスで送信できるようになったが、受信先でそのメールが迷惑フォルダへ分類されることがある。 会社では Google Domain でドメインを取得後、Google Workspace を利用してメールを送信できるようになった。DNS の管理は Cloud DNS を利用していて、その設定は Terraform を用いて管理している。 当初の設定はシンプルなものであった。 DNS ゾーンを設定 設定したゾーンに対して MX レコードを設定 resource "google_dns_managed_zone" "example_com_domain" { name = "example-com" dns_name = "example.com." } # https://support.google.com/a/answer/9222085 resourc
面倒な準備なしで簡単にDNSの実験が行える「mess with dns」
プログラマーのジュリア・エバンスさんが、DNSを使った実験が行えるサイト「mess with dns」を公開しています。 mess with dns https://messwithdns.net/ New tool: Mess with DNS! https://jvns.ca/blog/2021/12/15/mess-with-dns/ DNSを用いた実験には「DNSレコードを作成することに抵抗がある、あるいはドメインを持っていない」「DNSクエリが見えないため何が起こっているのかを理解するのが難しい」「どういった実験を行うべきかわからない」といった問題があります。こういった問題を解消し、実際にどのような実験を行えばいいかを例示しながらDNSの動作を学ぶことができるというのが、「mess with dns」です。mess with dnsでは用意するのが面倒なドメインがあらかじめ用意さ
DNSpooqの脆弱性詳細と攻撃コード解説 - knqyf263's blog
概要 要約 詳細 背景 前提 インターネット上に公開されたdnsmasq LAN内のマシンが攻撃者の支配下にある LAN内のマシンに攻撃者管理のWebサイトを閲覧させることができる 影響 中間者攻撃 汚染拡大 DDoS/Reverse DDoS CVE-2020-25684: ポートの多重化 CVE-2020-25685: 脆弱なCRC32の利用 CVE-2020-25686: 同一ドメイン名に対する複数クエリ発行 DNSフォワーダにおけるレスポンスの未検証 組み合わせる ドメイン名の登録 ソースIPアドレスの偽装 CRC32の衝突 攻撃の流れ ブラウザからの攻撃 検証端末 攻撃の成功確率 PoC fowarder cache attacker 大量クエリの送信 偽装レスポンスの送信 高速化の話 実行 対策・緩和策 余談 まとめ 概要 先日DNSpooqという脆弱性が公開されました。 ww
DNS における Master/Slave vs Primary/Secondary の現状(2020/06) - suu-g's diary
BLM の関係でコンピュータ業界の Master / Slave という言葉遣いにもメスが入ろうとしているいま、 DNS ではどうなっているんだっけ、というのがふと気になった。 というのも mattn さんの blacklist/whitelist master/slave に関する情報集め を見たから。あとコメントもしたから。 で、調べて行ったところ、ひとことで言えば既に Primary / Secondary になってるんだけど、そもそもこの用語自体そんな使わないよな、と思ったのだけど、そのあたりを解説するのは元記事の関心ごとと全く違うってことで、改めて自分のブログの記事にしてみたというわけ。 DNS は趣味でしかないので、ツッコミ大歓迎です。 Primary/Secondary が正しい用語です 用語に困ったら RFC 8499 (Jan, 2019) が正しい参照先。こう書いてある
DNS パケット欠落のケース: Google Cloud サポート ストーリー
※この投稿は米国時間 2020 年 5 月 12 日に、Google Cloud blog に投稿されたものの抄訳です。 編集者注: Google Cloud テクニカル ソリューション エンジニア(TSE)がサポートケースにどのように取り組んでいるか気になったことはありますか?TSE はお客様から報告された問題の技術的な根本原因のトラブルシューティングと特定を担当するサポート エンジニアです。かなりシンプルな問題もありますが、数名の専任エンジニアによるトラブルシューティングを必要とするサポート チケットがたまに送信されることがあります。このブログ投稿では、Google Cloud テクニカル ソリューション エンジニアから聞いた、最近解決した特に厄介なサポートケース(DNS パケットが欠落する問題)についてご紹介します。トラブルシューティングの過程で収集した情報と、どのように方法を推論し
Firefox、米国では「DNS over HTTPS(DoH)」が初期設定で有効に
米Mozilla Foundationは2月25日(現地時間)、米国のFirefoxユーザーに対し、「DNS over HTTPS(DoH)」をデフォルトで有効にしたと発表した。向こう数週間をかけてロールアウトする。主要WebブラウザとしてはFirefoxが初だ。 DoHは、平文で行われているDNSへの問い合わせと応答を、HTTPSを用いることで暗号化するプロトコル。現在IETFで標準化を進めている。Mozillaは、DoHを有効にすれば、ISPなどがユーザーのブラウジング履歴を営利目的で使うことができなくなると説明する。 DoHを有効にすると、DNSルックアップは暗号化されるが、Webブラウザが接続するDNSサーバにはWebサイトが表示される。そこでMozillaは、信頼できるDNSプロバイダーとしてCloudflareとNetDNSを選んだ。 DoHを米国以外でもデフォルト有効にするか
以前やった社内向けDNS勉強会の資料を公開してみた | DevelopersIO
ども、ゲストブロガーの大瀧です。 クラスメソッド在籍中の2018年2月頃社内向けにDNS勉強会を全4回で開催したことがあり、そのときの資料がひょこっと見つかったので公開してみます。(正確には第3回は聖剛さん担当だったので一緒に公開してもらいました、感謝。) 第1回 DNS入門 : DNSのしくみ、キャッシュ 第2回 DNSコンテンツサーバー : DNSサーバーの分散構成とゾーンの委任 第3回 DNSセキュリティ : DNS関連の攻撃手法とDNSSEC 第4回 AWSのDNSサービス : Route 53とAmazon DNS DNSについての理解を深める一助にしていただければと思います。現職(SORACOM)でももちろん超重要な技術です! 第1回 DNS入門 スライド共有サービス終了に伴い、公開終了 第2回 DNSコンテンツサーバー スライド共有サービス終了に伴い、公開終了 第3回 DNS
DNS over TLS/HTTPSについて考える | IIJ Engineers Blog
はじめに 昨年から DNS over TLS (DoT)、DNS over HTTPS (DoH) にまつわる動きが急速に活発になっています。 DoT は2016年に RFC7858 が出てしばらくは大きな動きはありませんでしたが、2017年11月にサービス開始した public DNS である Quad9 (9.9.9.9)、昨年4月開始の Cloudflare (1.1.1.1)が相次いで DoT に正式対応し、遅れて今年1月には Google Public DNS (8.8.8.8) も対応しました。クライアント側としては昨年8月リリースの Android 9 “Pie” が DoT に対応しています。 DoH は仕様の標準化より実装の方が先行しています。Cloudflare は DoT だけでなく DoH も昨年4月のサービス開始当初からサポートしています。Mozilla Fire
CloudflareのDNSからArchive.isが解決できない問題について
Tell HN: Archive.is inaccessible via Cloudflare DNS (1.1.1.1) | Hacker News あの有名な1.1.1.1であるCloudflareのDNSから、Archive.isが解決できない。なぜかCloudflareはローカルホストを返す。というHacker News上での質問について、Cloudflareの創業者の一人であるMatthew Princeが回答している。 We don’t block archive.is or *any other domain* via 1.1.1.1. Doing so, we believ... | Hacker News 1.1.1.1ではarchive.isも含むすべてのドメインを検閲していない。検閲は我々がサービスを立ち上げたときにユーザーに約束したDNSの正当性とプライバシーとセキ
(緊急)米国国土安全保障省によるDNS設定の改ざんに関する緊急指令の公開について
--------------------------------------------------------------------- ■(緊急)米国国土安全保障省によるDNS設定の改ざんに関する緊急指令の公開について 株式会社日本レジストリサービス(JPRS) 初版作成 2019/01/28(Mon) --------------------------------------------------------------------- ▼概要 2019年1月22日、米国国土安全保障省(DHS)のサイバーセキュリティ・イン フラストラクチャセキュリティ庁(CISA)が「Mitigate DNS Infrastructure Tampering(参考訳:DNSインフラストラクチャ改ざんの軽減)」という緊急 指令(Emergency Directive 19-01)を公開しました。 本
総務省|DNSの世界的な運用変更に伴うキャッシュDNSサーバーの設定確認のお願い(お知らせ)
インターネットの重要資源の世界的な管理・調整業務を行う団体ICANN※1は、DNS(ドメインネームシステム)における応答の改ざん検出等の仕組みに用いられる鍵のうち、最上位のもの(ルートゾーンKSK)の更改を、本年10月12日午前1時(日本時間)に行うことを決定しました。 これに伴い、キャッシュDNSサーバーを運用している方において事前の処置が必要となる場合があります。 インターネットでの通信を支える基盤のひとつであるDNSでは、応答の改ざんの検出等が可能となる仕組み(DNSセキュリティ拡張(DNSSEC))が平成22年から運用されています。DNSSECの運用にあたっては、セキュリティ確保の観点から、用いられている暗号鍵の中で最上位となるもの(ルートゾーンKSK)を、5年毎を目安に更改することとされています。 今般、DNSSECの運用開始から5年以上が経過し、ルートゾーンKSKの初めての世界
DNSトンネリングの手法 / A technique of DNS tunneling (#ssmjp)
2018/05 の #ssmjp で発表した時の資料。 @shutingrz
DNS over HTTPSを使ってDNSレコードを外形監視 - LIVESENSE ENGINEER BLOG
こんにちは、インフラグループの水野です。 みなさん、DNSのレコードの監視を行っていますか? DNSレコードの変更ミス等を検知することはもちろん、自分たちの運営しているサービスの名前解決がユーザ側でどのように見えているのかというのを確認することは大切です。 しかしながら、DNSレコードを外形監視してくれる監視ツールは数が少なく中々コレといったものがありません。 外部からの監視をしたいがためにパブリッククラウドに監視専用のインスタンスを建てるのももったいないです。 弊社ではメインの監視ツールとして Mackerel を利用していますが、MackerelにはURL外形監視はありますが、DNS外形監視はありません。 別途 pingdom のDNS外形監視を利用していましたが、pingdomではIPアドレスとのマッチしかできません。 IPアドレスもひとつしか登録できないため、ELBのようにIPアド
DNSで浸透って言っちゃだめなの? - tmtms のメモ
別に言ってもいいよ。 以下想定問答。 「浸透が何を意味しているのかわからない」 ホント? 「浸透いうな」って言われてるってことは、逆に言うとそれなりに広く使われてるってことでしょ。 個人的には「DNSの設定を変更した後、徐々に新しい情報を見ることができるクライアントが増えていく」ことだと思ってるんだけど、これとは異なる意味で使われてたりするの? 「"浸透に数週間かかる" なんて言うのはへぼい業者の言い訳」 それは同感だけど、「浸透」という単語の問題じゃないよね。 「浸透」という単語を使わなくてもその業者はへぼいままで、数週間かかるのは変わらない。 数週間じゃなくて、「浸透には5分くらいかかります」だったらOK? 「設定ミスってるくせに浸透に時間がかかるなんて言い訳するな」ならわかるけど、「浸透という単語を使うな」はおかしいと思う。「浸透」を使わないことで何か解決するの? 「浸透なんて用語は
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
世界規模のDNS障害が発生中 ~Akamaiを採用の企業に影響か(復旧済み)/修正プログラムの実施によりサービスは通常通り再開
/blog/2020/10/20201027_subdomaintakeover/
Basics_of_DNS_that_application_engineers_should_know - Speaker Deck
DNS移転失敗体験談
