JPCERT/CCでは、オープンリゾルバー(外部の不特定のIPアドレスからの再帰的な問い合わせを許可しているDNSサーバー)となっているDNSサーバーが日本国内に多く存在していることを確認しています。 オープンリゾルバーは国内外に多数存在し、大規模なDDoS攻撃の踏み台として悪用されているとの報告があります。 また、DNSサーバーとして運用しているホストだけではなく、ブロードバンドルーターなどのネットワーク機器が意図せずオープンリゾルバーになっている事例があることを確認しています。 本確認サイトでは、お使いのPCに設定されているDNSサーバーと、本確認サイトへの接続元となっているブロードバンドルーターなどのネットワーク機器がオープンリゾルバーとなっていないかを確認することが可能です。 本サイトの詳細についてはこちらをご参照ください。 ただいま処理中です。しばらくお待ちください。 ※判定処理
インターネットの重要資源の世界的な管理・調整業務を行う団体ICANN※1は、DNS(ドメインネームシステム)における応答の改ざん検出等の仕組みに用いられる鍵のうち、最上位のもの(ルートゾーンKSK)の更改を、本年10月12日午前1時(日本時間)に行うことを決定しました。 これに伴い、キャッシュDNSサーバーを運用している方において事前の処置が必要となる場合があります。 インターネットでの通信を支える基盤のひとつであるDNSでは、応答の改ざんの検出等が可能となる仕組み(DNSセキュリティ拡張(DNSSEC))が平成22年から運用されています。DNSSECの運用にあたっては、セキュリティ確保の観点から、用いられている暗号鍵の中で最上位となるもの(ルートゾーンKSK)を、5年毎を目安に更改することとされています。 今般、DNSSECの運用開始から5年以上が経過し、ルートゾーンKSKの初めての世界
tech_team 2018年7月10日 JPNICからのお知らせ インターネットの技術 ■ はじめに DNSにはEDNSと呼ばれる拡張機能があります。このEDNSの実装が正しくないDNSサーバやネットワーク機器が、インターネット上に存在しています。これまで、いくつかのオープンソースのDNSサーバソフトウェアでは、EDNSの動作に不具合があるようなサーバ等に対しても名前解決ができるように、回避策が実装されていました。しかし「実装が複雑になりDNSの安定運用にも支障をきたすため、2019年2月1日以降のリリースから回避策の機能を削除することにした」というアナウンスがありました。 機能削除の予定日である2019年2月1日は “DNS flag day” と名付けられました。この記事では、その DNS flag day についてご紹介します。 ■ EDNS (Extension Mechanis
Threats to users’ privacy and security are growing. At Mozilla, we closely track these threats. We believe we have a duty to do everything we can to protect Firefox users and their data. We’re taking on the companies and organizations that want to secretly collect and sell user data. This is why we added tracking protection and created the Facebook container extension. And you’ll be seeing us do m
仕事で外部のエンジニアに依頼したドメイン移行が正しく動作していなかったため、良い機会と思いDNSについて調べました。 名前解決の方法 そもそも名前解決とは何かというと、ドメインとIPアドレスを紐付けることです。手法として以下の2つが上げられます。 /etc/hostsに直接対応を記述する方法 /etc/resolve.confにDNSサーバーのIPアドレスを記述し、問い合わせる方法 今回はDNSサーバーによる名前解決について説明していきます。 DNSによる名前解決 ドメインツリーによる負荷分散 全世界に無数に存在するドメインの解決を一台のネームサーバーで担当するのは不可能です。そこでDNSでは下記のように、各階層に意味を持たせ、下位のドメインを管理させることで分散型の構造を構築しています。 ドメインツリー キャッシュサーバーによる高速化 クライアントからDNSサーバーに対してドメインを問い
Route53のトラフィック乗っ取り AmazonのRoute53がトラフィック乗っ取りの被害に遭った、と聞くとぎょっとした人が多いのではないでしょうか。AWSの利用者は多いですからね。攻撃の仕組みについて解説します。 www.itmedia.co.jp AWSのクラウドベースのDNSサービスである「Route 53」のDNSトラフィックが何者かに乗っ取られ、「MyEtherWallet.com」のユーザーが仮想通貨を盗まれる事件が発生した。 解説 まず、この問題に関して利用された攻撃手法は「BGPハイジャック」という名前であることをおぼえてください。BGPとはネットワークの中で、ルーティング情報(経路情報)を交換するためのプロトコルです。BGPにて世界中のルーターが会話をすることによって、世界中どんなところにでも、インターネットがつながっていればパケットを届けることができるのです。例えば
米CDN大手のCloudflareは4月1日(現地時間)、コンシューマー向け無料DNSサービス「1.1.1.1」を立ち上げたと発表した。「インターネットの最速でプライバシーを第一に考えた」サービスとしている。 DNSとは、WebサイトのURLをIPアドレスに変換することで目的のサイトに接続する仕組み。一般にこの変換はISPやネットワーク企業などが管理するDNSサーバが担っている。今回Cloudflareが立ち上げたのは、米Googleが2009年にスタートした「Google Public DNS」と同様の、ユーザー側のDNSリゾルバだ。 DNSは通信データが暗号化されていても、ユーザーのネット上のすべての訪問履歴(IPアドレスのログ)を保持しており、サーバ運営側がその気になればそのデータを利用できる。 1.1.1.1の立ち上げは、Cloudflareのミッションである「より良いインターネッ
©Internet Initiative Japan Inc. 1 株式会社 インターネットイニシアティブ 鈴木 高彦 送信ドメイン認証 導入指南 2018 ©Internet Initiative Japan Inc. 3 背景 ©Internet Initiative Japan Inc. 4 送信ドメイン認証に対応する目的 • メールを受け取ってもらう – 送信ドメイン認証に対応していないとメールを受け取ってもら えない例は珍しくない • ドメインを悪者から守る – 悪者は守りの手薄なドメインから攻撃を仕掛ける ©Internet Initiative Japan Inc. 5 送信ドメイン認証とは △ ◎ 受信者が spam を見分けるための技術 送信者がドメインを守るための技術 ©Internet Initiative Japan Inc. 6 何を守るか • ヘッダ From
日本で行われている児童ポルノブロッキングで採用されているのは、DNSキャッシュサーバがブロックリストに掲載されたFQDNの名前解決を行わないという、DNSキャッシュポイズニングという手法です。 この手法は、主にISPが提供するDNSキャッシュサーバにて行われているので、児童ポルノブロッキングを行っていないDNSキャッシュサーバを利用することで回避が可能です。 また、IPアドレスを直接指定して通信を行うことで回避することも可能です。 このような手法が採用されていることに関して、「アホじゃないの?」とか「ザルじゃないの?」という感想が述べられがちです。 昨日、以下のような記事が出ていましたが、それに対しても「仕組みを考えた奴はバカだろう」的なニュアンスの感想が散見されます。 児童ポルノ遮断、「IP直打ち」ですり抜け横行 : 社会 : YOMIURI ONLINE(読売新聞) 私の感想 「IPア
以前から存在は知っていただけで、利点は少ないと思って設定していなかった DNS CAA ですが、 スラドのDNSのCAAリソース・レコード、使っていますか? で 2017年9月8日以降確認が必須化される (CAA レコードの設定は必須ではない) ということを知って、 気になっていたのでいくつかのドメインで設定しました。 環境 DNS サーバー : bind 9.9.5 CAA リソースレコードを設定するのは BIND や NSD ならどのバージョンでも良くて、 PowerDNS なら 4 以上、 Knot DNS なら 2.2.0 以上が対応しているようです。 不自由な DNS サーバーを使っている場合、 少なくとも Google Cloud DNS と DNSimple は対応しているようです。 他のサービスは確認できた範囲では対応していませんでした。 影響範囲 基本的には CA が証明
指定した「クエリタイプ」の情報を検索します。検索可能なクエリタイプは、各種レコード "a"、 "ns"、 "md"、 "mf"、 "cname"、 "soa"、 "mb"、 "mg"、 "mr"、 "null"、 "wks"、 "ptr"、 "hinfo"、 "minfo"、 "mx"、 "uinfo"、 "uid"、 "gid"、 "unspec" とワイルドカード "any"、"*"です。 使用例 ホスト(google.com)を指定して、サーバー情報(IPアドレスなど)を表示します。 # host google.com google.com has address 173.194.38.68 google.com has address 173.194.38.67 google.com has address 173.194.38.69 google.com has address
前回からかなり時間が経過してしまいましたが、やっと新書を書き終わったので、「DNSキャッシュポイズニングの基本と重要な対策」の続きです。 まだまだ先は長いのですが、今回は権威DNSサーバがキャッシュDNSサーバに返す5種類の応答とその意味について解説します。 権威DNSサーバからの5種類の応答 ユーザからの名前解決要求を受け取ったキャッシュDNSサーバは、ルートサーバを起点とするDNSの階層構造をたどって、名前解決を実行します。名前解決の際、キャッシュDNSサーバはユーザから問い合わせがあった「名前」と「型」を、権威DNSサーバにそのまま問い合わせます。そして、キャッシュDNSサーバはそれぞれの権威DNSサーバから返される応答を解釈しながら、名前解決を進めていきます。 名前解決において、キャッシュDNSサーバがそれぞれの権威DNSサーバから受け取る応答は、以下の5種類に分類できます。この5
2018/02/07 当初本記事ではNXDOMAINレスポンスの注意喚起を主旨としていましたが、コンテンツサーバーでNXDOMAINを返す要因も考えられるため主旨を変更しました。 ども、大瀧です。 Amazon VPCには、同ネットワーク内から名前解決のためのDNSキャッシュサーバー(Amazon DNS)が提供されます。AWSのドキュメントに以下の記述を見つけたので、レートリミットに引っかかるときにどのような挙動になるのか検証してみたのが本ブログです。結果としては、タイトルの通りタイムアウトが観測されました。 DNS の制限 各 Amazon EC2 インスタンスは Amazon が提供する DNS サーバーへ送信できるパケット数をネットワークインターフェイスあたり最大 1024 パケット/秒に制限しています。この制限を増やすことはできません。Amazon が提供する DNS サーバーで
こんにちは。サービスグループの武田です。 インターネットを利用する上で必要不可欠なしくみとしてDNS(Domain Name System)があります。DNSはホスト名からIPアドレスを調べる名前解決のしくみですね。それではこのDNSというサーバは実際にどのように名前解決を行っているのでしょうか? 今回はコマンドを使って、簡単に挙動を確認してみましょう。 なおこの記事では、DNSサーバが階層構造となってドメイン管理をしていることの説明はしません。 問い合わせには2種類ある DNSサーバは実際にレコードを保持して管理する DNSコンテンツサーバ と、コンテンツは保持せず問い合わせの解決と結果をキャッシュする DNSキャッシュサーバ があります。一般的にクライアント(DNS用語では スタブリゾルバ と呼ぶ)はDNSキャッシュサーバに対して問い合わせを行います。 さてDNSキャッシュサーバはコン
名前解決を行っているクライアントの国や地域によって、近い場所のサーバのIPを返すといったことは既に行われている。しかし、そのDNSによる負荷分散の方法は標準化されていない。 「DNS load balancing」という提案仕様では、新しくLBレコードを定義し、権威DNSサーバからフルリゾルバに対して負荷分散のための情報を伝達できるようにします。 日本の方が書かれている提案なので緊張感がありつつも、ざっと読んでみたので簡単に書く。 LBレコード LBレコードは、分散のための情報と重みと、分散先を示すを持つ 例えば # <owner> <ttl> <class> LB <weight> <location> <target> example.jp. 3600 IN LB 1 AP ap.example.com. example.jp. 3600 IN LB 1 JP jp1.example.
DNSサーバソフトウェアといえば BIND が有名だが、これから新たに DNSサーバを構築するのなら djbdns が断然お勧めだ。安全なこと。軽量なこと。ドメインネームシステムの規定に忠実に作られ、動作構造にもそれがよく反映されていること... 優位点を挙げればきりがない。しかしそれらにも増してウレシイのは、設定やレコード記述が簡便だという点だ。 djbdns を知るまでは、「BIND のゾーンファイル = Domain Name System」 のように思っていたが、今となっては、あれは DNS と闘っていたのではなく BIND と闘っていたのだとつくづく思う。 参考にしたページ EZ-NET 特集: DNS サーバ djbdns NemunekoのWebななめ読み(クラスレス逆引き委譲の実例あり) Netsphere Laboratories Life With djbdns
こんにちは。池田です。先日スキーの初滑りをしたのですが、ほぼ毎週通っているテニスのおかげなのか、あまり息切れはしませんでした。継続は力なりと信じ、続けていこうと思います。 はじめに AWS再入門2018シリーズとしては第四弾となります。今回はクラウドドメインネームシステム (DNS) ウェブサービスであるAmazon Route 53について公式サイトの情報を元に整理していこうと思います。DNSの仕組みそのものについての詳細解説は行いません。 AWS再入門2018 バックアップとディザスタリカバリ編 AWS再入門2018 Identity and Access Management(IAM)編 AWS再入門2018 Amazon VPC(Virtual Private Cloud)編 もくじ DNSとは Amazon Route 53とは ルーティングポリシー エイリアスリソースレコードセ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く