強烈なDNSキャッシュポイズニング手法が公開される:Geekなぺーじ
本日、JPRSが緊急の注意喚起を公表しました。 緊急)キャッシュポイズニング攻撃の危険性増加に伴うDNSサーバーの設定再確認について(2014年4月15日公開)- 問い合わせUDPポートのランダム化の速やかな確認・対応を強く推奨 それに対して、2月中旬に脆弱性を発見してJPRSへと報告していた鈴木氏(脆弱性は前野氏との共同発見)が、JPRSの注意喚起では「危険性をよく理解して対策をとるにあたって十分な情報が含まれているとはいえません」として、以下の情報を公開しています。 開いたパンドラの箱 - 長年放置されてきたDNSの恐るべき欠陥が明らかに キャッシュポイズニングの開いたパンドラの箱 キャッシュポイズニングの開いたパンドラの箱 - 2 - 本来であれば、より上位からの正規の回答が優先されなければならないはずなのに、下位側が優先される仕様になっているので、偽装されたデータが優先されてしまう
Amazon Route 53(スケーラブルなドメインネームシステム (DNS))| AWS
Amazon Route 53 信頼性が高く、費用対効果に優れた方法でエンドユーザーをインターネットアプリケーションにルーティングする
なぜ「DNSの浸透」は問題視されるのか:Geekなぺーじ
「DNSの浸透」という表現が結構よく使われています。 DNSに設定された情報を更新したけれど、その結果がなかなか反映されずに誰かに相談すると「DNSの浸透には時間がかかります」と説明されて納得してしまうという事例が多いようです。 しかし、うまく準備を行えば、実際の切り替え処理は、いつ完了するのかが不明な「DNSの浸透」を待つのではなく、事前に計画した時間通りに完了させることが可能です。 さらに、本来であればDNS情報の設定者(ゾーン情報の設定者)は、いつまでに世界中のキャッシュが更新されるかを知ることができる環境にあり、それ以降も更新がされていなければ「何かがおかしい」とわかるはずです。 DNSにおける設定内容(DNSのリソースレコード)には、その情報をキャッシュとして保持し続けても良い期間であるTTL(Time To Live)という要素がありますが、TTLはDNS情報設定者が自分で設定
DNS Rebinding ~今日の用語特別版~
補足 この記事は旧徳丸浩の日記からの転載です。元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2。 備忘のため転載いたしますが、この記事は2007年11月26日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり 楽天テクノロジーカンファレンス2007にて、カーネギーメロン大学日本校の武田圭史先生の講演を聴講して、DNS Rebindingの説明がとても分かりやすかったので、ここに再現を試みる(文責は徳丸にある)。 DNS Rebindingとは DNS Rebindingは、DNSの返すIPアドレスを巧妙に変化させることにより、JavaScriptやJavaアプレットなどのsame origin policyを破り、インターネットからローカルネットワーク(通常外部からはアクセスできない)などに対してアクセスする手法
セキュリティ情報 - iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性
iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性 HASHコンサルティング株式会社 公開日:2009年11月24日 概要 iモードブラウザ2.0のJavaScriptとDNS Rebinding問題の組み合わせにより、iモードIDを利用した認証機能(以下かんたんログイン)に対する不正アクセスが可能となる場合があることを確認したので報告する。危険度の高い攻撃手法であるので、サイト運営者には至急の対策を推奨する。 背景携帯電話のかんたんログインとは、ケータイブラウザ(たとえばiモードブラウザ)に用意された契約者固有IDを利用した簡易的な認証であり、ユーザがIDやパスワードを入力しなくても認証が可能となる。iモードIDは、NTTドコモの提供する契約者固有IDの一種で、URLにguid=ONというクエリストリングを含めることにより、端末固有の7桁のIDがWebサーバに送
すべての基礎、マスター・ゾーンサーバの設定
すべての基礎、マスター・ゾーンサーバの設定:実用 BIND 9で作るDNSサーバ(2)(2/3 ページ) ゾーンファイルの作成 次に、/var/named下に/etc/named.confで記述したすべてのゾーンファイルを作成します。 named.ca キャッシュサーバとして動作するためには、ルートサーバがどこにあるのかを正しく知っておく必要があります。そのためのゾーンファイルをftp://ftp.rs.internic.net/domain/named.rootから入手し、/var/named/named.caとして保存します。 ルートサーバは不変であると思われがちですが、頻繁でないにしろ更新されることがあります。2002年11月にはDoS攻撃への対策から、5年ぶりにルートサーバに変更が加えられました。BINDはnamed起動時にルートサーバに接続し、自動的に最新のルートサーバ一覧情報に
主なDNSレコードの種類- @IT
ゾーン(ドメイン)情報を記載する。以下のようなデータを保持する ・ドメインのDNSサーバ名 ・ドメイン管理者のメール・アドレス ・シリアル番号―ゾーン転送時に情報が更新されているかどうか判断に用いられる(本連載の第3回参照)。数値が大きくなっていれば更新済みという意味だ。番号は任意だが、管理しやすいように通常は「年月日+連番」などの書式が多く用いられている ・更新間隔(refresh)―このゾーン情報のゾーン転送間隔時間を秒で指定する ・転送再試行時間(retry)―ゾーン転送に失敗した場合の再試行までの猶予時間を秒で指定する ・レコード有効時間(expire)―ゾーン情報を最新と確認できない場合の有効時間を秒で指定する ・キャッシュ有効時間(TTL)―このゾーン情報をキャッシュする場合の有効時間を秒で指定する @ IN SOA dns.example.com. root.example.
Google、無料DNSサービス「Google Public DNS」発表
米Googleは12月3日、Web高速化の取り組みの一環として、無料のパブリックDNSサービス「Google Public DNS」を立ち上げたと発表した。 DNSはサイトのURLをIPアドレスに変換する(名前解決と呼ばれている)ことで目的のサイトに接続する仕組みで、その変換は企業やISPなどのDNSサーバが担っている。ユーザーがWebサイトを訪問するたびに名前解決が行われているが、複雑なページを読み込むには複数の名前解決が必要なこともあり、その結果Web閲覧のスピードが遅くなる。Googleは高速で安全なDNSサービスを提供することでユーザーのWeb高速化を助けたいという。 GoogleはDNSのレスポンスが遅くなる主な原因の1つをDNSのキャッシュが失われることにあると考えており、大量のドメインのキャッシュをTTL(キャッシュ生存期限)が切れる前にリフレッシュしてサーバに保有し続ける。
Sender ID:送信者側の設定作業 ― @IT
送信ドメイン認証は、Yahoo!やGmailで「DomainKeys」が、Hotmailで「Sender ID」が利用されているほか、多くのISPが対応を表明したことにより一段と普及が進んでいる。すでに米国などでは、送信ドメイン認証に対応しているドメインからのメールを優遇して通すなど、利用することのメリット、また利用しない場合のデメリットなどが現れてきている。 本稿では2回にわたって、IPアドレスベースの認証方式に分類される「SPF(Classic SPF)」およびSender IDについて解説する。前編では、SPFおよびSender IDを導入するに当たって、実際にどのように手を動かせばいいのかについて説明したい。 IPアドレスベースの送信ドメイン認証 まず、IPアドレスベースの送信ドメイン認証について説明する(図1)。送信側は、「Sender Policy Framework(SPF)
ExchangeサーバとSender IDの親和性 - @IT
第5回 ExchangeサーバとSender IDの親和性 竹島 友理 NRIラーニングネットワーク株式会社 2006/3/14 メール送信側の設定作業 メール送信側が行う作業は、送信メールサーバのIPアドレスを、SPFレコードとしてDNSに公開することです。 1.メール送信サーバのIPアドレスを特定する はじめに、皆さんのドメイン環境からメールを送信する可能性があるサーバを洗い出して、IPアドレスを特定します。組織内で運用管理しているメールサーバはもちろんのこと、メールサービスプロバイダやホスティング企業など、メール送信代行サービスを利用している場合は、それらのドメイン名も調べておいてください。例えば、自社製品のキャンペーン用メール、ニュースレター、マーケティング関連のメールなどを第三者に委託して送信しているような場合です。 2.SPFレコードを作成して、DNSサーバに公開する 皆さんの
今すぐSPFを書こう
spam は深刻な社会現象になっています。JEAGでは日本標準の迷惑メール対策技術として SPF と DKIM を提言しています。このうち簡単に対応が出来る SPF の設定方法を「第16章 セキュリティアップ」の追加情報として公開します。 10 今すぐSPFを書こう 世の中で横行している spam を送りつけてくる spamer は、クライアントパソコンに spam 送出プログラムをインストールして、直接相手のMTAに spam を送りつけてくるケースが多い。つまり、送出 MTA を偽装して spam を送出しているのだ。 この偽装を見破るには、ドメインが持っている送出 MTA を確認し、正当な MTA 以外の IP アドレスから送出されたメールは spam と断定すれば良いことになる。 SPF(Sender Policy Framework)とは、メールを送出したMTAが正当なMTA
SPF: Tools
Form based record testersOur reference SPF-result-explanation pageScott Kitterman's SPF record testing toolsE-mail based record testersNOTE: The openspf.net tester is currently out of service We provide an e-mail based record tester. Send an e-mail to spf-test@openspf.net. Your message will be rejected (this is by design) and you will get the SPF result either in your MTA mail logs or via however
SMTP - SPF導入のすすめ : 404 Blog Not Found
2007年04月15日12:00 カテゴリiTech SMTP - SPF導入のすすめ NNIPFの話題も出たので、SPFについても書く事にします。 SPFって何? Weblioはこう答えてくれました。 SPF とは (Sender Policy Framework) エスピーエフ, えすぴーえふ SPFとは、電子メールの送信元ドメインを認証する方式のひとつである。SMTPの拡張仕様であり、RFC 4408として定義されている。 ここまでの説明は合ってます。が、以下の下りは完璧に間違っています。 SPFでは、あるドメインに対して電子メールを送ることのできるアドレスを、メールサーバーの側であらかじめ送信者のIPアドレスとして管理している。管理よって認証されたアドレスがメールサーバーの保有している情報と整合した場合に限り、そのメールが正当なものとして送信される。 詳しくはRFC 4408または
HOMMEZ公式オンラインショップ
HOMMEZ(オムズ)は男性の心と身体の健康を支援し、一人でも多くの人が子供を得る幸せや男性としての喜びを享受できる社会の実現を目指しています。男性の妊活、活力にまつわる情報や商品の力で性や妊活に悩む男性が効率的に納得感を持って活動できる機会を創出します。
@IT:DNS Tips:digコマンドとは
% dig @ns1.jprs.co.jp jprs.co.jp mx ; <<>> DiG 9.2.1 <<>> @ns1.jprs.co.jp jprs.co.jp mx ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 59551 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 4 ;; QUESTION SECTION: ;jprs.co.jp. IN MX ;; ANSWER SECTION: jprs.co.jp. 86400 IN MX 20 mx2.jprs.co.jp. jprs.co.jp. 86400
はじめての自宅サーバ構築 - Fedora/CentOS - DNSサーバの構築(bind)
動作確認 [ FC1 / FC2 / FC3 / FC4 / FC5 / FC6 / Fedora7 / Fedora8 / Fedora9 / Fedora10 / Fedora11 / Fedora12 / Fedora13 / Fedora14 / Fedora15 / Fedora16 / Fedora17 / CentOS4 / CentOS5 / CentOS6 / CentOS7 ]
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
DNS逆引きチェックによるスパム対策は百害あって一利無し