浸透いうな!
DNSの引越しをしたけどうまく切り替わらない。なかなか浸透しない。業者に問い合わせると「DNSの浸透には数日かかることもあります。お待ちください」と言われた。 、、、という話をよく聞きますが、「浸透」(伝播、伝搬、浸潤、反映などとも呼ばれる)ってなんでしょう? DNSの設定を変更するのは「浸透」という謎の現象に託す神頼みのような作業なのでしょうか。 2011.10.16 追記:「浸透」と言っている例 DNSの仕組み まず、DNSの仕組みと、特にキャッシュの動作について解説します。...と思いましたが、とっても大変なので省略します。ただ、権威サーバに登録された情報が世界中のキャッシュサーバに配信されるなどという仕組みは DNS には存在しません。浸透という人はそう思っているようですが。(こんなふうに) 「浸透」という言葉で騙されていませんか? 事前に変更したいDNSのレコードのTTLを短くし
スレーブ・サーバのゾーン転送とセキュリティ
規模の大小を問わず、ゾーンサーバは複数台で運用する必要があります。冗長化や負荷分散などさまざまな理由が挙げられますが、何よりドメインを取得してDNSサーバを運用するのであれば、サービスの品質を低下させないという自覚を持つ必要があります。 今回はスレーブ・サーバの運用と、そこで使用されるゾーン転送およびそのセキュリティについて見ていきます。 コラム スレーブ・サーバとセカンダリ・サーバ 本稿では、「マスター・サーバ」のゾーンデータを取得してDNS問い合わせに応答するサーバを「スレーブ・サーバ」と呼んでいます。 資料によっては、同様の意味で「プライマリ・サーバ」「セカンダリ・サーバ」が用いられる場合があり、その際「スレーブ・サーバ」はDNS問い合わせを他サーバへ転送し、自身はDNS再帰検索を行わないサーバを指す場合があります。本連載ではオリジナルとなるゾーンデータを所有するサーバを「マスター・
Windows 名前解決の順序 - Ask the Network & AD Support Team - Site Home - TechNet Blogs
こんにちは。Wndows プラットフォーム サポート担当の石丸です。 今日はネットワーク通信を円滑に行うためには欠かせない名前解決が、Windows ではどのような優先順位で行われるかをご紹介します。 一般的に名前解決と言うとまず DNS を思い浮かべるかもしれませんが、Windows では DNS 以外でもブロードキャストや WINS サーバー、HOSTS ファイル、LMHOSTS ファイルなどの様々な仕組みが使われています。このため、自分が今一体何を使って名前解決を行っているかを混乱してしまうかもしれません。システムの設計段階で正しく名前解決が行われる順序を把握しておかないと、突然目的のホストとの通信が行えなくなったりと思いもよらないトラブルの原因となってしまうこともあります。 1. Winsock (Windows Socket) と NetBIOS Windows ではネットワーク
「プロバゲーション期間」といわれる期間とBindのTTL値との関係を教えてください。
「プロバゲーション期間」といわれる期間とBindのTTL値との関係を教えてください。
優先DNSサーバと代替DNSサーバの動作について
対象OS:Windows 2000 Professional/Windows XP Professional/Windows XP Home Edition/Windows 2000 Server/Windows 2000 Advanced Server 解説 Windows 2000/XPのTCP/IPを設定する場合、IPアドレスやサブネット・マスク、デフォルト・ゲートウェイなどを設定しなければならないが、そのほかにも「DNSサーバ」を正しく設定しておかないと、ほかのマシンへの接続(ローカルのサーバや、インターネット上のホストなどへの接続)がうまく行えなくなったりする。ここでいう「DNSサーバ」とは、例えばwww.atmarkit.co.jpというFQDNからIPアドレスへの変換を行う、「名前解決」というサービスを担当するサーバのことである。 ●「優先DNSサーバー」と「代替DNSサーバ
「そのドメインを信じられますか?」 DNSキャッシュポイズニングの脅威
インターネットが登場してから、早くも40年近くが経過した。企業間での取引・連絡・情報交換をはじめとするビジネス活動において、今やインターネットは欠かせない社会基盤になっている。このインターネットを陰で支える仕組みが存在する。それがDNS(Domain Name System)である。 ところが2008年より、このDNSにおけるセキュリティ対策が急務となっている。その理由が、同年7月に公開された「DNSキャッシュポイズニング」(※1)の影響力である。本特集では、キャッシュポイズニングの詳細、現状分析、そして有効なセキュリティ対策について紹介したい。 ※1:キャッシュポイズニングは、英語でCache Poisoningと表記する。「毒入れ・毒注入」と説明されることもある。 DNSの仕組みをおさらい キャッシュポイズニングの手口を理解する上で、まずはDNSの仕組みを簡単に解説しておこう。DNSの
@IT:DNS Tips:ネームサーバの3つの働きとは
ネームサーバとは、基本的にDNSサーバを指します。ここではネームサーバという呼び方を使用します。ネームサーバは、以下の3つの働きが組み合わされています。 コンテンツサーバ(Contents Server) 自分が管理しているゾーンに対する問い合わせだけに回答します。名前解決ができなくてもほかのネームサーバへの問い合わせはせず、自らが管理しているデータベースに該当する情報がなければ「情報はない」と答えます。 フルサービスリゾルバ(Full-Service Resolver) スタブリゾルバから送られる「再帰(Recursive)検索」要求を受け、名前解決が完了するまで、それぞれの名前についてほかのネームサーバに「反復(Iterative)検索」という形で問い合わせをします。また、その結果をスタブリゾルバに返答します。 このとき、同じ問い合わせを何度も繰り返すという非効率を避けるため、一度名前
JVNVU#800113: 複数の DNS 実装にキャッシュポイズニングの脆弱性
最近の研究で、いままでに知られているよりも効率的にキャッシュポイズニングを行う手法が見つかっています。 DNSキャッシュサーバが対象になるとともに、PCなども攻撃対象になる可能性があることに注意してください。 キャッシュポイズニング攻撃は、偽造したresponseパケットを送り込むことにより行われます。query パケットの送信元ポートを query ごとにランダムに変更することにより、キャッシュポイズニング攻撃が成功する確率を小さくすることができます。 キャッシュポイズニング攻撃によりDNSキャッシュサーバに偽のDNS情報をキャッシュさせることができ、そのDNSキャッシュサーバを使っているノードが、偽のサイトに誘導される可能性があります。 パッチを適用する お使いの製品ベンダから提供されているパッチを適用してください。 サーバ製品だけでなく、ネームサーバに query を投げる側のノード
日本経済新聞掲載の「DNSサーバ重大欠陥」に関する記事について - JPNIC
2008年8月22日 各位 社団法人日本ネットワークインフォメーションセンター 日本経済新聞掲載の「DNSサーバ重大欠陥」 に関する記事について 本日(2008年8月22日)、 インターネットの基幹インフラである DNSサーバに欠陥が見つかったという日本経済新聞による報道がありました。 報道によれば、DNSに新たに欠陥が見つかったとされていますが、 この脆弱性自体はDNSキャッシュポイズニング※1 として以前より存在が明らかになっています。 今回見つかったのは、その脆弱性を、より効率的に攻撃する手法です。 また、この攻撃に対しては、 DNSに適切なパッチをあてることで攻撃の成功率を下げることができるとともに、 DNSSEC※2を利用することで回避することが可能です。 当センターでは、 有限責任中間法人JPCERTコーディネーションセンター(JPCERT/CC) からの要請を受け、 株式会社
@police−研究開発成果
「Dos/DDoS対策について」において、Dos/DDoS攻撃に対する防御機能について報告した中から、幾つかの機能について実際に検証し、その有効性の確認を行った。
3 Minutes Networking No.65
うむ、その通り。 前にも話したが、DNSは問い合わせて、リソースレコードを受け取る、という形になる。
DNSの再帰的な問合せを使ったDDoS攻撃の対策について
--------------------------------------------------------------------- ■ DNS の再帰的な問合せを使った DDoS 攻撃の対策について 2006/03/29 (Wed) --------------------------------------------------------------------- ▼概要 DNS の再帰的な問合せ (recursive queries) を使った DDoS 攻撃が数多く発 生しています。適切なアクセス制限を行っていない DNS サーバは、DDoS 攻撃 の踏み台として使用される可能性があります。 DNS サーバはその機能から、キャッシュサーバ (Recursive Server) とコンテ ンツサーバ (Authoritative Server) の 2 つに分類することがで
DNSサーバーに存在するぜい弱性の詳細情報が流出
McAfee Avert Labs Blog 「“The-Cat-is-Out-of-The-Bag” DNS Bug」より July 23,2008 Posted by Ravi Balupari ダン・カミンスキー氏は先ごろDNSサーバーに存在するセキュリティ・ホールを発見したが,多くの情報を伏せていた。そしてIT業界に広く働きかけた結果,複数のDNS関連ベンダーが修正パッチを公開してきた。ところが,同氏はセキュリティ・ホールの技術的詳細を公開していないにもかかわらず,関連情報が誤って米マタサノ・セキュリティのブログから大量に漏れてしまったらしい(関連記事:DNSサーバーに見つかったぜい弱性の詳細が公開,すぐにパッチの適用を)。 編集部注:このDNSサーバーのぜい弱性について,カミンスキー氏は8月に開催されたBlack Hatで情報を公開した(関連記事:カミンスキー氏,DNS脆弱性につ
MBA的アドミンシンドローム: 「Non-authoritative answer」って知らない?
仕事上インターネットサーバ関連の技術情報が 入ってくるのですが 時々DNSに詳しくないけど仕方なく インターネット系サーバに関わっている人もいます。 ということにふと気が付いたので世の中の 初級インターネットサーバ管理者や初級構築者の方へフィードバック!! どういうことでふと気が付いたかというと nslookupコマンド(いまだに使っている人もいる・・・)の出力で Non-authoritative answer: という項目が表示されることがある。 たとえば↓の様に。 # nslookup -sil yahoo.com Server: 192.168.128.13 Address: 192.168.128.13#53 Non-authoritative answer:←ココね Name: yahoo.com Address: 66.94.234.13 Name: y
詳細が明かされたDNSキャッシュ・ポイズニングの新手法
2008年7月から世界的に話題になっているDNSキャッシュ・ポイズニングを効率的に実現する手法について,発見者であるダン・カミンスキー氏が,Black Hat 2008の席上でプレゼンテーションを行いました(8月6日)。このキャッシュ・ポイズニングのぜい弱性については,いろいろ動きがありましたので,ぜい弱性に関連するイベントを追いかけておきましょう。 ■キャッシュ・ポイズニングのぜい弱性の対応経過 まずは,ぜい弱性に代表的なイベント一覧です。他の関連イベントについては, Status Tracking Note TRTA08-190B:複数の DNS 実装にキャッシュ・ポイズニングのぜい弱性 を参照してください。 2008年7月8日 BINDを含む複数のDNSサーバーが,ダン・カミンスキー氏が指摘するキャッシュ・ポイズニングを効率的に実現する手法に対してぜい弱であったことから,対策版がリリ
4.2.2 BINDのインストールと設定
ネットワークでWebやメールのようなサービスを円滑に利用するためには、マシン名とIPアドレスの名前解決を行う必要がある。この名前解決のサービスを提供するのがDNS(Domain Name System)で、DNSが稼動するサーバーをDNSサーバーという。 1) 運用方針 本モデルのDNSサーバーの運用方針は、以下のとおりである。 ア) DNSサーバーの設置場所 本モデルでは、外部DNSサーバーと内部DNSサーバーを設置する。外部DNSサーバーは所属するドメイン以外(インターネット)からの名前問い合わせに応答する。内部DNSサーバーは内部ネットワーク用に独自のゾーン情報を保持し、内部ネットワークのホストからの名前問い合わせに応答する。また、それぞれのDNSサーバーのネットワーク上の設置場所はFig. 4.1に示すとおりである。 Fig. 4.1 外部DNSサーバーと内部DNSサーバー イ)
すべての基礎、マスター・ゾーンサーバの設定
すべての基礎、マスター・ゾーンサーバの設定:実用 BIND 9で作るDNSサーバ(2)(2/3 ページ) ゾーンファイルの作成 次に、/var/named下に/etc/named.confで記述したすべてのゾーンファイルを作成します。 named.ca キャッシュサーバとして動作するためには、ルートサーバがどこにあるのかを正しく知っておく必要があります。そのためのゾーンファイルをftp://ftp.rs.internic.net/domain/named.rootから入手し、/var/named/named.caとして保存します。 ルートサーバは不変であると思われがちですが、頻繁でないにしろ更新されることがあります。2002年11月にはDoS攻撃への対策から、5年ぶりにルートサーバに変更が加えられました。BINDはnamed起動時にルートサーバに接続し、自動的に最新のルートサーバ一覧情報に
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
[続報] 複数の DNS サーバ製品におけるキャッシュポイズニングの脆弱性に関する注意喚起
http://www.st.rim.or.jp/~shio/advisories/windns_poison/windns_poison.txt
「CNAMEレコードの使い方」(1) Master of IP Network - @IT