TOP カテ一覧 スレ一覧 100〜終まで 2ch元 削除依頼
zsh その7
OpenVPN
WindowsからUNIXに乗り換えようと思うのですが
携帯ユーザとメールをやりとりしちゃいかんのか?
【BAKA】バッドノウハウについて語るスレ 3
THE他力本願
meadowについて語ってくれなスレッド
今Monterey Marriotに居るよ
FreeBSDの完成度の低さについて
全文検索エンジン Hyper Estraier 2
【DNS】Name Server 総合スレ Part2
- 1 :2014/02/17 〜 最終レス :2020/02/21
- ■前スレ
Name Server 総合スレ【DNS】
http://toro.2ch.sc/test/read.cgi/unix/1227629676/
- 2 :
- ■関連スレ
djb(4)
http://toro.2ch.sc/test/read.cgi/unix/1148064021/
NSD - Name Server Daemon
http://toro.2ch.sc/test/read.cgi/unix/1092799781/
▲DHCPスレ
http://toro.2ch.sc/test/read.cgi/unix/997686566/
【DNS】DNS (Domain Name System) 総合 Part02
http://pc11.2ch.sc/test/read.cgi/network/1264403707/ (dat落)
【設定面倒】BIND 総合スレッド【DNS】
http://engawa.2ch.sc/test/read.cgi/mysv/1258628558/
- 3 :
- ■主なオープンソース
BIND ttp://www.isc.org/software/bind
djbdns ttp://cr.yp.to/djbdns.html
NSD ttp://www.nlnetlabs.nl/projects/nsd/
Unbound ttp://unbound.net/
PowerDNS ttp://www.powerdns.com/
■規格
RFC1034 ttp://www.ietf.org/rfc/rfc1034.txt
RFC1035 ttp://www.ietf.org/rfc/rfc1035.txt
■アプライアンス
Nominum ttp://www.nominum.com/
Infoblox ttp://www.infoblox.jp/
■ついでに
ISC DHCP ttp://www.isc.org/sw/dhcp
Solarisのシステム管理
(DNS、NIS、LDAP 編) http://docs.oracle.com/cd/E19683-01/817-4911/
(FNS、NIS+ 編) http://docs.oracle.com/cd/E19683-01/816-6236/
Windows Server のDNSは省略だよもん
- 4 :
- |:::ハ:.:.:.:.:.:i:.:.:i.:.:i./.:.://メノ 左ォ}::::ノ::ノノ
|::::i:::';::::::::l、::i:::ハ:/,ィチ爪' {ヒチ'!::イイ
|ハ::::::ヾ::::ハ 'Vリ ゙´ {、込ソ ゛″!:::i:.:l
|:.::ト、:.:.:ヾ:.ハーi| :::::::: 〉 ノ::::i::.|
{:.:.ト、ヾ.:.:.:ヾハ lト、 _, , イ:.:.:.:i.:ハ
ヾ::ヽゞ、\.::.\!! ヽ、. ´ /!.::!.:.i:.:!:.!:l >>1乙ぱい
, '" ヾ\ \:::::::::k /` ー ' `メ'リ:.:.ノ.ノ:ノノ
/ 川 リllVハ. ( i `\ ,イイ// //
/ |l ̄`ヽ ノ `メ、
,/ {:} `ー'- ニ_
,/ _∠ |l \ , \
/ _ ,. イ´: |l \ ,λ
/ -‐‐‐-<´ .! / |l ' , _,ィ'ンy}
〈 \ .ノ`ー斗rェ,,_,_,_|l ,.ir'彡イy-´ !
`ヽ、 ` ' <._ {jt=t-t-ミ`^Yーrヘr-彡'水k} !:} .ノ
` ー- .._ ` -ヽ. l`亠^{:i ̄ {:リ |ハ ノノ/ノ
_,. -‐ '  ̄ ´ ̄` ー- 、 \{{ {:l {:i ノ_,ィニ_ン´
// `ヽ 、\ \ {:l {∠ニァ--'
/ / `ヽミニ>ァ┴ '´
/\V| /
./ ヾ.、 ,. ' ´
- 5 :
- 嫌です
- 6 :
- スレ違い
- 7 :
- 糞スレだな
- 8 :
- お母さん
- 9 :
- 4のAAが超気になる
- 10 :
- DNSSECしてますか?
先ごろプロバイダにDNSのセカンダリーを依頼したんですが
プロバイダのDNSがDNSSECしてませんでした。orz
- 11 :
- それ以前にDNSSECのキーを登録できないレジストラが多すぎ。
- 12 :
- DSレコード登録させてくれたらそれでいいのにな
でも利用者が少ないのは確実だから改修したくないんだろうね
- 13 :
- 実験用にch使ってます。
- 14 :
- 実験用に入れたISC DLVのままだ
- 15 :
- >>14
もう使ってないのでDSレコードは削除したけどアカウントの削除方法が不明なんだよな。
- 16 :
- 自分のドメイン example.jp があって、プロバイダのドメインが example.com とします。
自前のDNS(dns1.example.jp)のIPアドレスは a.b.c.d、プロバイダのDNS(dns1.example.com)のIPアドレスは w.x.y.zとします。
プロバイダのDNSにセカンダリーを依頼しています。
example.jp NS dns1.example.jp
example.jp NS dns1.example.com
dns1.example.jp A a.b.c.d
としているあるのですが、これを
example.jp NS dns1.example.jp
example.jp NS dns2.example.jp
dns1.example.jp A a.b.c.d
dns2.example.jp A w.x.y.z
とするのは宜しくない設定でしょうか。
w.x.y.z は変更される場合は置いといて。
- 17 :
- なぜ宜しくないかもしれないと思ったのか教えてください。
うーむ・・・どの部分がひっかかっているのでしょう? w.x.y.z の逆引きが dns2.example.jp
ではない、とかじゃないですよね?
- 18 :
- 何かと問われると、自分では気が付いていない宜しくないことがあるのかもしれないという不安です。
- 19 :
- >>16
そうする必要なくね。
- 20 :
- プロバイダのDNSはDNSSECしてないので
dns1.example.com A w.x.y.z
は署名がありません。
dns2.example.jp A w.x.y.z
にすれば、自分のドメインなので署名できます。
- 21 :
- 内部名にするのはいいことだ、と言われてる。
が、DNSホスティング業者がサーバのIPアドレスを変更したら名前解決できなくなる。
そしてたいていの場合、アドレス変更は予告なくおこなわれる。
アドレスは金輪際変えないよ、と明言してるのであればいいかもしれんけど。
- 22 :
- セカンダリ引き受けサービスをして貰うくらいなら、
ゾーン転送許可用にサーバIPを連絡されているのでは?
それなら、IP変更前に連絡はくるんじゃないか?
- 23 :
- ゾーン転送のソースのIPアドレスは指定されています。
whoisに登録するDNSはホスト名で指定されています。
現状、これらのホスト名とIPアドレスは一致しています。
ゾーン転送のソースとセカンダリDNSのサービスIPが
この先も一致しているとは限りません。一致させない
理由は特に考えられませんが。
dns2.example.jp A w.x.y.z
と設定する w.x.y.z が急に使われなくなるのは、まあいいとしても
w.x.y.z が突如キャッシュサーバーに変身することがあると
困るかもしれません。
- 24 :
- なるほど。DNSSEC 署名するため、自ドメイン名で外部ネームサーバを
登録したいということですね。その気持ちは理解できる気がします。
それに >>21 さんの言うように、内部名の方が好ましいとする考え方も
ありますしね。
んで本題の「宜しくないのか」という点ですが、IP アドレスの変更に気を
付ける必要があるというのは既出ですが、DNS 的には問題ないように
思えます。やってみてもいいんじゃない?
- 25 :
- やってみましたのですが、プロバイダのDNSが
dnssec-enable no;
になってるような…。bindなのかどうか分かりませんが
bindなら、そうなってるような。
dig @(プロバイダのDNS) (自分のドメイン) +dnssec
でRRSIGが表示されません。
DNSSECに対応しているかどうか、問い合わせ中です。
- 26 :
- dnssec-enable no相当の設定してるとこは結構あるぞ
昔DNSSEC機能まわりでBIND9の脆弱性が出たときにdnssec-enable no
とすればワークアラウンドになることがあって、その時の設定が
そのまま入ってるとこが沢山ある。
あと、ブロードバンドルータの類がDNSSECというかEDNS0に
対応してるのはほとんどない。
こんなんじゃDNSSEC普及に何年かかるのやら
- 27 :
- DNSSECはDSレコードが自動更新可能になるまで普及しないでしょ。
年2回程度でも鍵の定期更新に人手が必要になるとかコストが高すぎる。
IETFではCDS/CSYNCを使って自動的にDSレコードを吸い上げる案が出てるけど、
まだ、時間が掛かりそうな感じ。
http://tools.ietf.org/html/draft-hardaker-dnsop-csync-02
http://tools.ietf.org/html/draft-ietf-dnsop-delegation-trust-maintainance-11
- 28 :
- ローコストで委託できるようにならないと普及はムリな気がする
- 29 :
- 上位にDSをアップロードするプロトコルができても、
そもそもDSを含む鍵更新の手順が複雑すぎて、ふつうのオペレータ
には対応不可能というのが問題。これ自動化されても問題の本質は変わらない。
何かがおかしくなったときに人手でちゃんと修正できるようになって
初めて実用になるが、たかがDNSをセキュアにするためだけに
全てのオペレータにプロトコルとPKIを精緻に理解することを要求する
DNSSECは人的コストがかかりすぎる
(さもなくば運用ミスは直ちにbogusになって引けなくなり、
さらにキャッシュのため修正しても回復に時間がかかる)
IETFとかのDNSSECやってる連中は想像できないかもしれないが、
オペレータにはDNS以外にもやらなきゃならないことは沢山あるのだ
- 30 :
- まぁこれはDNSSECだけじゃなくて、DNSCurveとかにも同じことは
言えるけどな DNSCurve・DNSSECそれぞれ固有の難しさがあるが、
難易度は大きくは変わらないだろう
- 31 :
- IETFではプライバシー保護の観点でのDNS over TLS/DTLSの議論が
始まってるけどな。こうなるとDNSSECとは何だったのかということ
になりかねないが
>>9
「パンドラの箱」とはおそれいった。
記事中では新規性が無いという指摘を巧妙に回避するための
レトリックを使っているが、こういう煽り記事を書いて目立たないと
いけない私大の先生も大変だな
毒がいわゆるin-bailiwickルールにマッチしていればDNSキャッシュサーバ
はそれを受け入れる(すでにキャッシュ上に同じデータがあれば
RFC2181 Rankingに従い上書きされる)という従来からある話に過ぎない。
基本的な対策はポートランダマイゼーションというのは6年前から
変わっていない。ポートランダマイゼーションしてないキャッシュサーバが
10%もあることは頭が痛いが。
この人は以前カミンスキー攻撃でDNSに毒は入らない、BIND9のバグに
過ぎないと主張していたが、こういう誤解を生む主張は全く迷惑だ。
カミンスキーの本質はそれではなく、TTLがoff-path攻撃からの保護にならず、
攻撃の成功確率を大きく向上させることができることを示したことだ。
カミンスキー以降、どのような毒が入るか研究が進んで、2010年前後に
にその手の論文や解説がいくつか出ているが、概ね↑で書いたものだ。
- 32 :
- >>31
元文章を理解して書いているとは思えない内容ですが…??
- 33 :
- 従来の攻撃法の範疇だしポートランダム化が
緩和策いうのはその通りだけど、攻撃成功した時の影響が
大きいということでしょ。カミンスキーと類似の攻撃で
ポート・TXIDのランダム化を突破できれば、
TLD丸ごと、SLD(co.jp)丸ごと乗っ取れるという話。
TLDをターゲットにした具体的な攻撃法を示したのは
新規と言っていいんじゃないの
この人よほどDNSSEC嫌いなのか知らんけど、ポートランダム化だって
限界があるしDNSSECくらいしか次の現実的な対抗策はなさそう
(NSEC3はOptOpt無しでな)
RFC2181のルールを見直しても穴がありそうだし
- 34 :
- DNSSECが現実的とかw
- 35 :
- DNSSEC難しいことは言われなくてもわかってるよ
でも他に何があるのさ?
- 36 :
- まともに運用できる人がほとんどいない技術じゃ無いのと同じだろ
浸透いうな・大岡山の両氏はDNSはオワコンであきらめろと言っとるよな。
- 37 :
- DNSSECに対応しなくてもサービス提供側は困らない、というのも理由の一つじゃないでしょうか。
むしろDNSSECしたら「お宅だけメールが送れないので、お宅のメールサーバーがおかしいですよ」と言われてorzする。
さすがに今はないか?
- 38 :
- DNSやめて別のにするのとDNSSECやるのとどっちが難しいかという話じゃね
別のを作ってもDNSと同じものができそうw
- 39 :
- 今の世界は腐ってるから一度リセットしろなんて聞き飽きた
いい歳して何を言ってんだ、いまどきマンガでもねえよ
- 40 :
- 現実的な代替策を提案するでもなく世界は腐ってると叫ぶだけじゃなあ
- 41 :
- 別にDNSは今のままでいいんじゃない。
サイト証明したければSSL使えばいい。
- 42 :
- >>33
2008年当時でも、TLDの乗っ取りができないなんて話は誰もしていなくて
ポートランダマイズしてなければあらゆるものが簡単に乗っ取れる
という空気だった。
tss氏が示した毒が、ポート・TXIDのランダマイズをすり抜けられれば
TLDやSLDを乗っ取れるし、それが重大なのもよくわかるけど、
それは2008年当時から状況は変わらない。よくわからないのは、それでなにを
主張したいのかということだ。
ポートランダマイズを無効にする攻撃法を見つけたという主張なのか?
ポートランダマイズではもう不足だと言いたいのか?
ランダマイズしてないのがいっぱいあるのでランダマイズしろよという主張なのか?
カミンスキー的な攻撃は頻繁に行われているがRFC2181 Rankingによって
結構守られていた(今回そうでない毒を見つけた)という主張なのか?
DNSSECでもNSEC3 Opt-Out運用ではinsecure delegationを毒と
して入れることが可能なので、Out-Outはやめろと言いたいのか?
DNSは欠陥だらけで手の施しようがないので、もうやめろということなのか?
非専門家ばかりが騒ぎ、専門家の反応がいまいちなのはそのあたりなんじゃないか。
- 43 :
- 化けの皮がはがれるから、はっきり主張できないんだろ
attackerに情報を与えることになるから
詳細は公表しないって逃げるに決まってる
- 44 :
- >>42
ポートランダマイズの効果を薄くする方法はある…っぽいが、
オープンリゾルバで無ければ大丈夫かと思う。
普通のフルリゾルバであれば、とりあえずランダマイズで
対応する、で行くしかないんじゃないかな。
ただ、TXID&ランダマイズを抜けた後の手法がより危なく
なったので、ポイズニングに対する監視は充実させたほうが
よいのかもしれない。
unboundなら、「unwanted-reply-threshold」設定とか、
その他ならば、パケットキャプチャでクエリとレスポンスの
割合とかを見ておくとかかな?他にもあればPLZ.
いずれにせよ、今全てを投げ出すわけにもいかんのだし、
やれることを粛々と頑張るしか無いよね。
- 45 :
- オープンでもクローズでも、基本的な動作原理は変わらないのでは?
それに一口にオープン良くないというけど、そのオープンてどういう定義なの?
オープンは危ないという風評被害もありそう
- 46 :
- >>45
え、オープンリゾルバに定義いくつもあるの?
- 47 :
- ISPのDNSサーバは、ISP加入者全てからのクエリを受けつけるようにしてるのでかなりオープンに近いけどな。ISP加入者がボットに感染してるとか普通にある
- 48 :
- >>45
あまり詳しく書くのははばかられるが、オープンだと
ポートランダマイズの効果を下げる事前作業がやりやすい
>>47
許可NW内のBOTを使えば、同じようなことは出来るので、
許可NWが多いリゾルバとかは危険かもしれない
いずれにせよ、そういうところは監視による警戒を厳
として、危険な兆候が見られたら即対応などを考えて
おいたほうがよいのかもしれない
- 49 :
- もう監視しかないんですかね。それに検知したら出来ることって何でしょう
- 50 :
- GoogleDNSって、たしかUnbound使ってたと思うけど
何か特殊な設定仕込んでるのかなぁ
自前でオープンリゾルバなDNS公開設定しようかと思ってるんだけど・・・
用途は、避けたいサイト(正引き)で127.0.0.1を返すため
スマホとかで自前DNSを利用したい
- 51 :
- >>49
JPRSも書いてたけど、危ないと思ったらキャッシュクリアするとか…
あとは攻撃元IPを見つけたら、BANして通報とかかな。
>>50
GoogleDNSは権威側で動作を見てると、多段で構成されてるっぽい。
フロントはオープンだが単なるフォワーダっぽいリゾルバみたい。
バックエンドはオープンでないフルリゾルバで、フロントからの
問い合わせにだけ答えている模様で、こちらは色々対策している
のでは無いかと思う。
- 52 :
- >>50
> GoogleDNSって、たしかUnbound使ってたと思うけど
それどこ情報?
- 53 :
- 「攻撃元IP」が偽装されたJP DNSだったりするからBANできないっしょ
- 54 :
- >>50
それってオープンリゾルバの一種なの?
- 55 :
- Googleのはオープンリゾルバだよ。
- 56 :
- リゾルバは何回もバシバシ叩くことはほとんど無いし
基本的にパケットの分割も無いから
同じ相手にUDPのパケットを返すときに
2つ目以降のパケットは数秒待たせても
問題ないよね?
- 57 :
- フォワーダっぽいリゾルバ ?
自前でオープンリゾルバなDNS公開設定しようかと思ってるんだけど??
- 58 :
- 質問を続けるなら名前入れといてくれ。
どれが誰だかわからん。
- 59 :
- >>51
フォワーダっぽいリゾルバって何だ?
VIPで受けて大量のキャッシュDNSサーバへロードバランシングしてるんじゃなくて、
回送専用のDNSサーバで受けて、ドメイン単位で回送したら再起検索専用のDNSサーバで検索…ってこと?
なにそれ怖い。
- 60 :
- TLDごとにその国に近いリゾルバに回送してそこで反復問い合わせさせれば、確かに理論的には速くなるな。
- 61 :
- >>60
aho ?
- 62 :
- やめた、DNSSECやめた。
- 63 :
- 急にどうしたんだw
鍵更新をしくじりでもしたのか。
- 64 :
- プロバイダがね、セカンダリがね、DNSSECはね、やってねえだって。
- 65 :
- セカンダリならたいした手間でもないだろうけど、逆にプライマリ提供できないのが浮き彫りになるのが嫌なのかな。
- 66 :
- へー、そんなところもあるのか。
ウチは DNSSEC に関して何もアナウンスしてないけど、問い合わせを受けたら「レジストリへの取次と
セカンダリ運用は承りますが、プライマリの運用はお受け出来ません。ごめんなさい」と回答する予定です。
まだ問い合わせは一度も来たこと無いけどね! (酷いオチ)
- 67 :
- 自分とこでDNSを二台たててDNSSECしてたんだけど、プロバイダにセカンダリをやってもらおうと思って。
zone転送の設定まではスイスイと行ったけど dnscheck.jp で見たら、プロバイダ側のDNSSECが×だらけ。
サポートに問い合わせして、「おかしいにゃー、調べてみるんで待ってて」ってことで待ってたら
「やっぱりDNSSECはやってないんで、メンゴ」ってことになった。
- 68 :
- atndやっちゃった?
- 69 :
- atnd 見えないね。権威サーバが何も返してこないんだけど、この時間になっても
復旧してないとは思わなかった。何やってんだ、中の人。
参考
↓
ttp://www.e-ontap.com/blog/20140527.html
- 70 :
- あ、ようやく見えるようになった。だけど TTL が 300 になってるねw
絶賛リカバリ中ってとこなのかな。
- 71 :
- まともに運用できねえやつにかぎってDNSSECとか使いたがるんだよな。
- 72 :
- 今回のはそれ以前の問題w
- 73 :
- ん? まだ atnd.org の TTL が 300 のままですね。権威サーバの ns[1-3].x.recruit.co.jp という
ホスト名がいかにも仮のものっぽいけど、しばらくこのままなのかな……
- 74 :
- 数年前、名前解決の障害でrecruit.co.jp調べたとき、EDNS未対応だったか、
TCP非対応だったか忘れましたが変なサーバだったのを覚えてます。
- 75 :
- 古い上にあやふやな情報だな。
- 76 :
- で?
なぜインフラ予約ドメイン名を定義しないで、ねずみ講のようにドメイン登録をプッシュするんだ?
ARPAとかがあるから、今後は
おれんち.ARPAとかで逃げ始めるバカがわくと思うんだけど
- 77 :
- おう、直接言ってやれ。
- 78 :
- インテリやくざ集団に直接談判とかヤダー
判子屋と組んでうまい汁をすおうとかプレゼンかいてインターネットでシェアするような奴が集まるのがIT業界じゃないですか
- 79 :
- んじゃ状況は変わらんね。
- 80 :
- 重複をお許しくださいキター
# まだ7月じゃないのに・・・
- 81 :
- OpenBINDはよ。
- 82 :
- 重福
- 83 :
- >>81
???「ANSドゾー」
- 84 :
- でもお高いんでしょう?
- 85 :
- DNSがオワコンなのに、気付いてないヤシが大杉留みたいね
合掌
- 86 :
- みんな気付いてるよ。
気付いてるけどかわりがないから使わざるをえないだけで。
- 87 :
- http://www.dnszone.jp
DNS 進化への渇望
- 88 :
- >>85
DNS使わない派?
- 89 :
- やっぱ NIS+ だよな
- 90 :
- やっぱり僕は、王道を征く、Active Directoryですか
- 91 :
- いやいや、hosts を共有するってのはどう?
- 92 :
- FQDNを所定のハッシュ関数に通すとIPアドレスが一意に決まるようにしておけばいい。
- 93 :
- >>90
DNS抜きでActiveDirectoryを使える?
- 94 :
- >>92
そのハッシュ関数はどのように実装されるのでしょうか?
IPアドレスが変わったら、どうなるのでしょうか?
- 95 :
- >>94
ハッシュ関数はだれかが「これ」と決める。
IPアドレスは変更できない。というか、使いたいIPアドレスになるようなFQDNをハッシュ関数から探して使う。
- 96 :
- >>95
なるほどー
例えば192.168.10.203というIPを使う場合、それに該当するFQDNを採掘するわけですな。
あらかじめ発見しておいて、○.○.○.○に対応するFQDN教えます、という広告をオークションに出しおけばいいのか。
203.10.168.192.in-addr.arpa より分かりやすいものであることを願おう。
- 97 :
- >>93
すいません許してください!なんでもしますから!
- 98 :
- >>97
ならば、これからは私利私欲ではなく、世の人のためにその力を使うのじゃ。
- 99 :
- なんでホモが沸いてるんですかね
- 100 :
- 使うコマンドが dig (穴とかを掘る意味から)だからじゃない?
100〜のスレッドの続きを読む
【ウホッ!】twmを語ろう!!【いいWM】
失業者はオープンソースのコードを書くか
失業者はオープンソースのコードを書くか
Jaris
wwwoffle
グラフソフト
ホストが落ちた時の言い訳を考えよう【Var.2】
誰でも使える InternetFacsimile
CVS 1.3
2038年、みんなどうする?
--------------------
【厚生のみ】障害年金 201【基礎は基礎スレへ】
【鞘翅目】昆虫標本総合スレ【鱗羽目】
ヤマジュン風に会話しないか14♂
【ちば】千葉ライダースレ 212【チバ】
武井咲 Part50
絶対クラシックの話をしてはいけない雑談スレ
関空連絡橋、タンカー如きではビクともせず、片側通行出来ると判明 さすが技術立国日本! [913284268]
【MBTI】T型の雑談スレ
田村正和の謎【芸能界最後の秘境】其の拾
【画像】外人女さん「東京じゃJKのパンツが自販機で売ってる」 [324064431]
【1101.com】ほぼ日手帳95冊目【2020】
外国人「日本のグルメ番組キモイ。不味くても不味いって言えない。」 ボビーオロゴン「不味いかを見抜けない視聴者が悪い。」 [792523236]
【トヨタ】ルーミー信者に死んでほしい人の数→
avex社長松浦「小室さん、浜崎あゆみに曲かいて」小室「浜崎あゆみ苦手なんで断る」
同志社女子大学学芸学部音楽学科
一人でキャンプに行く人 115.2夜目
PS4がシャレにならないレベルでソフト売れてない件について
【騒音】隣人がうるさい 329
R
ウイニングポスト総合スレ342
TOP カテ一覧 スレ一覧 100〜終まで 2ch元 削除依頼