【DNS】Name Server 総合スレ Part2

1名無しさん@お腹いっぱい。2014/02/17(月) 00:02:08.64
■前スレ
Name Server 総合スレ【DNS】
http://toro.2ch.net/test/read.cgi/unix/1227629676/

2名無しさん@お腹いっぱい。2014/02/17(月) 00:06:56.25
■関連スレ
djb(4)
http://toro.2ch.net/test/read.cgi/unix/1148064021/
NSD - Name Server Daemon
http://toro.2ch.net/test/read.cgi/unix/1092799781/
▲DHCPスレ
http://toro.2ch.net/test/read.cgi/unix/997686566/
【DNS】DNS (Domain Name System) 総合 Part02
http://pc11.2ch.net/test/read.cgi/network/1264403707/ (dat落)
【設定面倒】BIND 総合スレッド【DNS】
http://engawa.2ch.net/test/read.cgi/mysv/1258628558/

3名無しさん@お腹いっぱい。2014/02/17(月) 00:07:55.31
■主なオープンソース
BIND ttp://www.isc.org/software/bind
djbdns ttp://cr.yp.to/djbdns.html
NSD ttp://www.nlnetlabs.nl/projects/nsd/
Unbound ttp://unbound.net/
PowerDNS ttp://www.powerdns.com/

■規格
RFC1034 ttp://www.ietf.org/rfc/rfc1034.txt
RFC1035 ttp://www.ietf.org/rfc/rfc1035.txt

■アプライアンス
Nominum ttp://www.nominum.com/
Infoblox ttp://www.infoblox.jp/

■ついでに
ISC DHCP ttp://www.isc.org/sw/dhcp
Solarisのシステム管理
 (DNS、NIS、LDAP 編) http://docs.oracle.com/cd/E19683-01/817-4911/
 (FNS、NIS+ 編) http://docs.oracle.com/cd/E19683-01/816-6236/

Windows Server のDNSは省略だよもん

4名無しさん@お腹いっぱい。2014/02/21(金) 09:52:29.98
                        |:::ハ:.:.:.:.:.:i:.:.:i.:.:i./.:.://メノ  左ォ}::::ノ::ノノ
                    |::::i:::';::::::::l、::i:::ハ:/,ィチ爪'    {ヒチ'!::イイ
                      |ハ::::::ヾ::::ハ 'Vリ ゙´ {、込ソ    ゛″!:::i:.:l
                        |:.::ト、:.:.:ヾ:.ハーi|   ::::::::      〉 ノ::::i::.|
                    {:.:.ト、ヾ.:.:.:ヾハ lト、        _, , イ:.:.:.:i.:ハ
                     ヾ::ヽゞ、\.::.\!! ヽ、.   ´ /!.::!.:.i:.:!:.!:l    >>1乙ぱい
                 , '" ヾ\ \:::::::::k   /` ー ' `メ'リ:.:.ノ.ノ:ノノ
                     /     川   リllVハ. (  i `\ ,イイ// //
                /              |l ̄`ヽ  ノ    `メ、
               ,/            {:}          `ー'- ニ_
             ,/         _∠     |l     \ ,      \
        /        _ ,. イ´:       |l      \      ,λ
       /   -‐‐‐-<´   .!   /    |l       ' ,   _,ィ'ンy}
        〈            \  .ノ`ー斗rェ,,_,_,_|l          ,.ir'彡イy-´ !
        `ヽ、        ` ' <._ {jt=t-t-ミ`^Yーrヘr-彡'水k} !:} .ノ
            ` ー-  .._       ` -ヽ.  l`亠^{:i ̄ {:リ |ハ ノノ/ノ
        _,. -‐ '  ̄ ´ ̄` ー- 、    \{{   {:l   {:i ノ_,ィニ_ン´
      //                  `ヽ 、\ \  {:l  {∠ニァ--'
     / /                 `ヽミニ>ァ┴ '´
   /\V|                          /
  ./   ヾ.、                  ,. ' ´

5名無しさん@お腹いっぱい。2014/03/05(水) 17:04:56.42
嫌です

6名無しさん@お腹いっぱい。2014/03/17(月) 17:17:00.83
スレ違い

7名無しさん@お腹いっぱい。2014/03/30(日) 16:53:34.02
糞スレだな

8名無しさん@お腹いっぱい。2014/04/11(金) 22:45:42.03
お母さん

9 忍法帖【Lv=40,xxxPT】(1+0:8) 2014/04/15(火) 19:55:03.62
キャッシュポイズニングの開いたパンドラの箱
ttp://www.e-ontap.com/dns/endofdns.html

キャッシュポイズニングの開いたパンドラの箱 -2-
ttp://www.e-ontap.com/dns/endofdns2.html

10名無しさん@お腹いっぱい。2014/04/15(火) 22:31:13.31
4のAAが超気になる

11名無しさん@お腹いっぱい。2014/04/15(火) 22:57:22.65
DNSSECしてますか?
先ごろプロバイダにDNSのセカンダリーを依頼したんですが
プロバイダのDNSがDNSSECしてませんでした。orz

12名無しさん@お腹いっぱい。2014/04/15(火) 23:14:36.45
それ以前にDNSSECのキーを登録できないレジストラが多すぎ。

13名無しさん@お腹いっぱい。2014/04/16(水) 19:26:38.97
DSレコード登録させてくれたらそれでいいのにな
でも利用者が少ないのは確実だから改修したくないんだろうね

14名無しさん@お腹いっぱい。2014/04/16(水) 22:28:32.41
実験用にch使ってます。

15名無しさん@お腹いっぱい。2014/04/17(木) 00:05:47.70
実験用に入れたISC DLVのままだ

16名無しさん@お腹いっぱい。2014/04/17(木) 01:11:44.03
>>15
もう使ってないのでDSレコードは削除したけどアカウントの削除方法が不明なんだよな。

17名無しさん@お腹いっぱい。2014/04/17(木) 14:01:21.07
自分のドメイン example.jp があって、プロバイダのドメインが example.com とします。
自前のDNS(dns1.example.jp)のIPアドレスは a.b.c.d、プロバイダのDNS(dns1.example.com)のIPアドレスは w.x.y.zとします。
プロバイダのDNSにセカンダリーを依頼しています。

example.jp NS dns1.example.jp
example.jp NS dns1.example.com
dns1.example.jp A a.b.c.d

としているあるのですが、これを

example.jp NS dns1.example.jp
example.jp NS dns2.example.jp
dns1.example.jp A a.b.c.d
dns2.example.jp A w.x.y.z

とするのは宜しくない設定でしょうか。
w.x.y.z は変更される場合は置いといて。

18名無しさん@お腹いっぱい。2014/04/17(木) 14:17:27.36
なぜ宜しくないかもしれないと思ったのか教えてください。
うーむ・・・どの部分がひっかかっているのでしょう? w.x.y.z の逆引きが dns2.example.jp
ではない、とかじゃないですよね?

19172014/04/17(木) 14:28:51.54
何かと問われると、自分では気が付いていない宜しくないことがあるのかもしれないという不安です。

20名無しさん@お腹いっぱい。2014/04/17(木) 14:40:53.09
>>17
そうする必要なくね。

21172014/04/17(木) 14:52:32.34
プロバイダのDNSはDNSSECしてないので
dns1.example.com A w.x.y.z
は署名がありません。

dns2.example.jp A w.x.y.z
にすれば、自分のドメインなので署名できます。

22名無しさん@お腹いっぱい。2014/04/17(木) 15:31:25.09
内部名にするのはいいことだ、と言われてる。
が、DNSホスティング業者がサーバのIPアドレスを変更したら名前解決できなくなる。
そしてたいていの場合、アドレス変更は予告なくおこなわれる。
アドレスは金輪際変えないよ、と明言してるのであればいいかもしれんけど。

23名無しさん@お腹いっぱい。2014/04/17(木) 16:26:46.76
セカンダリ引き受けサービスをして貰うくらいなら、
ゾーン転送許可用にサーバIPを連絡されているのでは?

それなら、IP変更前に連絡はくるんじゃないか?

24名無しさん@お腹いっぱい。2014/04/17(木) 17:17:57.18
ゾーン転送のソースのIPアドレスは指定されています。
whoisに登録するDNSはホスト名で指定されています。
現状、これらのホスト名とIPアドレスは一致しています。

ゾーン転送のソースとセカンダリDNSのサービスIPが
この先も一致しているとは限りません。一致させない
理由は特に考えられませんが。
dns2.example.jp A w.x.y.z
と設定する w.x.y.z が急に使われなくなるのは、まあいいとしても
w.x.y.z が突如キャッシュサーバーに変身することがあると
困るかもしれません。

25名無しさん@お腹いっぱい。2014/04/17(木) 19:04:08.97
なるほど。DNSSEC 署名するため、自ドメイン名で外部ネームサーバを
登録したいということですね。その気持ちは理解できる気がします。
それに >>22 さんの言うように、内部名の方が好ましいとする考え方も
ありますしね。

んで本題の「宜しくないのか」という点ですが、IP アドレスの変更に気を
付ける必要があるというのは既出ですが、DNS 的には問題ないように
思えます。やってみてもいいんじゃない?

26172014/04/18(金) 17:31:11.69
やってみましたのですが、プロバイダのDNSが
dnssec-enable no;
になってるような…。bindなのかどうか分かりませんが
bindなら、そうなってるような。

dig @(プロバイダのDNS) (自分のドメイン) +dnssec
でRRSIGが表示されません。
DNSSECに対応しているかどうか、問い合わせ中です。

27sage2014/04/19(土) 21:57:27.26
dnssec-enable no相当の設定してるとこは結構あるぞ
昔DNSSEC機能まわりでBIND9の脆弱性が出たときにdnssec-enable no
とすればワークアラウンドになることがあって、その時の設定が
そのまま入ってるとこが沢山ある。
あと、ブロードバンドルータの類がDNSSECというかEDNS0に
対応してるのはほとんどない。
こんなんじゃDNSSEC普及に何年かかるのやら

28名無しさん@お腹いっぱい。2014/04/20(日) 12:32:40.94
DNSSECはDSレコードが自動更新可能になるまで普及しないでしょ。
年2回程度でも鍵の定期更新に人手が必要になるとかコストが高すぎる。

IETFではCDS/CSYNCを使って自動的にDSレコードを吸い上げる案が出てるけど、
まだ、時間が掛かりそうな感じ。
http://tools.ietf.org/html/draft-hardaker-dnsop-csync-02
http://tools.ietf.org/html/draft-ietf-dnsop-delegation-trust-maintainance-11

29名無しさん@お腹いっぱい。2014/04/20(日) 16:22:46.49
ローコストで委託できるようにならないと普及はムリな気がする

30名無しさん@お腹いっぱい。2014/04/20(日) 22:21:53.68
上位にDSをアップロードするプロトコルができても、
そもそもDSを含む鍵更新の手順が複雑すぎて、ふつうのオペレータ
には対応不可能というのが問題。これ自動化されても問題の本質は変わらない。
何かがおかしくなったときに人手でちゃんと修正できるようになって
初めて実用になるが、たかがDNSをセキュアにするためだけに
全てのオペレータにプロトコルとPKIを精緻に理解することを要求する
DNSSECは人的コストがかかりすぎる
(さもなくば運用ミスは直ちにbogusになって引けなくなり、
 さらにキャッシュのため修正しても回復に時間がかかる)
IETFとかのDNSSECやってる連中は想像できないかもしれないが、
オペレータにはDNS以外にもやらなきゃならないことは沢山あるのだ

31302014/04/20(日) 22:30:35.03
まぁこれはDNSSECだけじゃなくて、DNSCurveとかにも同じことは
言えるけどな DNSCurve・DNSSECそれぞれ固有の難しさがあるが、
難易度は大きくは変わらないだろう

32名無しさん@お腹いっぱい。2014/04/29(火) 02:13:00.05
IETFではプライバシー保護の観点でのDNS over TLS/DTLSの議論が
始まってるけどな。こうなるとDNSSECとは何だったのかということ
になりかねないが

>>9
「パンドラの箱」とはおそれいった。
記事中では新規性が無いという指摘を巧妙に回避するための
レトリックを使っているが、こういう煽り記事を書いて目立たないと
いけない私大の先生も大変だな

毒がいわゆるin-bailiwickルールにマッチしていればDNSキャッシュサーバ
はそれを受け入れる(すでにキャッシュ上に同じデータがあれば
RFC2181 Rankingに従い上書きされる)という従来からある話に過ぎない。
基本的な対策はポートランダマイゼーションというのは6年前から
変わっていない。ポートランダマイゼーションしてないキャッシュサーバが
10%もあることは頭が痛いが。

この人は以前カミンスキー攻撃でDNSに毒は入らない、BIND9のバグに
過ぎないと主張していたが、こういう誤解を生む主張は全く迷惑だ。
カミンスキーの本質はそれではなく、TTLがoff-path攻撃からの保護にならず、
攻撃の成功確率を大きく向上させることができることを示したことだ。
カミンスキー以降、どのような毒が入るか研究が進んで、2010年前後に
にその手の論文や解説がいくつか出ているが、概ね↑で書いたものだ。

33名無しさん@お腹いっぱい。2014/04/30(水) 11:49:17.30
>>32
元文章を理解して書いているとは思えない内容ですが…??

34名無しさん@お腹いっぱい。2014/05/03(土) 16:25:44.67
従来の攻撃法の範疇だしポートランダム化が
緩和策いうのはその通りだけど、攻撃成功した時の影響が
大きいということでしょ。カミンスキーと類似の攻撃で
ポート・TXIDのランダム化を突破できれば、
TLD丸ごと、SLD(co.jp)丸ごと乗っ取れるという話。
TLDをターゲットにした具体的な攻撃法を示したのは
新規と言っていいんじゃないの

この人よほどDNSSEC嫌いなのか知らんけど、ポートランダム化だって
限界があるしDNSSECくらいしか次の現実的な対抗策はなさそう
(NSEC3はOptOpt無しでな)
RFC2181のルールを見直しても穴がありそうだし

35 忍法帖【Lv=40,xxxPT】(1+0:8) 2014/05/03(土) 16:47:25.20
DNSSECが現実的とかw

36名無しさん@お腹いっぱい。2014/05/03(土) 16:53:05.65
DNSSEC難しいことは言われなくてもわかってるよ
でも他に何があるのさ?

37名無しさん@お腹いっぱい。2014/05/06(火) 14:55:47.83
まともに運用できる人がほとんどいない技術じゃ無いのと同じだろ

浸透いうな・大岡山の両氏はDNSはオワコンであきらめろと言っとるよな。

38名無しさん@お腹いっぱい。2014/05/06(火) 15:01:19.60
DNSSECに対応しなくてもサービス提供側は困らない、というのも理由の一つじゃないでしょうか。
むしろDNSSECしたら「お宅だけメールが送れないので、お宅のメールサーバーがおかしいですよ」と言われてorzする。
さすがに今はないか?

39名無しさん@お腹いっぱい。2014/05/07(水) 02:38:26.12
DNSやめて別のにするのとDNSSECやるのとどっちが難しいかという話じゃね
別のを作ってもDNSと同じものができそうw

40名無しさん@お腹いっぱい。2014/05/07(水) 02:54:40.01
今の世界は腐ってるから一度リセットしろなんて聞き飽きた
いい歳して何を言ってんだ、いまどきマンガでもねえよ

41名無しさん@お腹いっぱい。2014/05/07(水) 13:27:32.83
現実的な代替策を提案するでもなく世界は腐ってると叫ぶだけじゃなあ

42名無しさん@お腹いっぱい。2014/05/07(水) 15:20:42.85
別にDNSは今のままでいいんじゃない。
サイト証明したければSSL使えばいい。

43322014/05/07(水) 21:21:45.36
>>34
2008年当時でも、TLDの乗っ取りができないなんて話は誰もしていなくて
ポートランダマイズしてなければあらゆるものが簡単に乗っ取れる
という空気だった。
tss氏が示した毒が、ポート・TXIDのランダマイズをすり抜けられれば
TLDやSLDを乗っ取れるし、それが重大なのもよくわかるけど、
それは2008年当時から状況は変わらない。よくわからないのは、それでなにを
主張したいのかということだ。

ポートランダマイズを無効にする攻撃法を見つけたという主張なのか?
ポートランダマイズではもう不足だと言いたいのか?
ランダマイズしてないのがいっぱいあるのでランダマイズしろよという主張なのか?
カミンスキー的な攻撃は頻繁に行われているがRFC2181 Rankingによって
結構守られていた(今回そうでない毒を見つけた)という主張なのか?
DNSSECでもNSEC3 Opt-Out運用ではinsecure delegationを毒と
して入れることが可能なので、Out-Outはやめろと言いたいのか?
DNSは欠陥だらけで手の施しようがないので、もうやめろということなのか?

非専門家ばかりが騒ぎ、専門家の反応がいまいちなのはそのあたりなんじゃないか。

44名無しさん@お腹いっぱい。2014/05/08(木) 01:48:04.09
化けの皮がはがれるから、はっきり主張できないんだろ
attackerに情報を与えることになるから
詳細は公表しないって逃げるに決まってる

45名無しさん@お腹いっぱい。2014/05/08(木) 12:11:39.36
>>43
ポートランダマイズの効果を薄くする方法はある…っぽいが、
オープンリゾルバで無ければ大丈夫かと思う。

普通のフルリゾルバであれば、とりあえずランダマイズで
対応する、で行くしかないんじゃないかな。

ただ、TXID&ランダマイズを抜けた後の手法がより危なく
なったので、ポイズニングに対する監視は充実させたほうが
よいのかもしれない。

unboundなら、「unwanted-reply-threshold」設定とか、
その他ならば、パケットキャプチャでクエリとレスポンスの
割合とかを見ておくとかかな?他にもあればPLZ.

いずれにせよ、今全てを投げ出すわけにもいかんのだし、
やれることを粛々と頑張るしか無いよね。

46名無しさん@お腹いっぱい。2014/05/08(木) 14:45:25.30
オープンでもクローズでも、基本的な動作原理は変わらないのでは?

それに一口にオープン良くないというけど、そのオープンてどういう定義なの?
オープンは危ないという風評被害もありそう

47名無しさん@お腹いっぱい。2014/05/08(木) 14:59:08.64
>>46
え、オープンリゾルバに定義いくつもあるの?

48名無しさん@お腹いっぱい。2014/05/08(木) 15:18:51.10
ISPのDNSサーバは、ISP加入者全てからのクエリを受けつけるようにしてるのでかなりオープンに近いけどな。ISP加入者がボットに感染してるとか普通にある

49名無しさん@お腹いっぱい。2014/05/08(木) 20:23:34.68
>>46
あまり詳しく書くのははばかられるが、オープンだと
ポートランダマイズの効果を下げる事前作業がやりやすい

>>48
許可NW内のBOTを使えば、同じようなことは出来るので、
許可NWが多いリゾルバとかは危険かもしれない

いずれにせよ、そういうところは監視による警戒を厳
として、危険な兆候が見られたら即対応などを考えて
おいたほうがよいのかもしれない

50名無しさん@お腹いっぱい。2014/05/08(木) 22:44:13.00
もう監視しかないんですかね。それに検知したら出来ることって何でしょう

51名無しさん@お腹いっぱい。2014/05/09(金) 09:10:09.13
GoogleDNSって、たしかUnbound使ってたと思うけど
何か特殊な設定仕込んでるのかなぁ

自前でオープンリゾルバなDNS公開設定しようかと思ってるんだけど・・・

用途は、避けたいサイト(正引き)で127.0.0.1を返すため
スマホとかで自前DNSを利用したい

52名無しさん@お腹いっぱい。2014/05/09(金) 09:47:05.51
>>50
JPRSも書いてたけど、危ないと思ったらキャッシュクリアするとか…

あとは攻撃元IPを見つけたら、BANして通報とかかな。

>>51
GoogleDNSは権威側で動作を見てると、多段で構成されてるっぽい。

フロントはオープンだが単なるフォワーダっぽいリゾルバみたい。

バックエンドはオープンでないフルリゾルバで、フロントからの
問い合わせにだけ答えている模様で、こちらは色々対策している
のでは無いかと思う。

53名無しさん@お腹いっぱい。2014/05/09(金) 09:48:08.69
>>51
> GoogleDNSって、たしかUnbound使ってたと思うけど
それどこ情報?

54名無しさん@お腹いっぱい。2014/05/09(金) 11:36:18.32
「攻撃元IP」が偽装されたJP DNSだったりするからBANできないっしょ

55名無しさん@お腹いっぱい。2014/05/09(金) 14:21:39.02
>>51
それってオープンリゾルバの一種なの?

56名無しさん@お腹いっぱい。2014/05/09(金) 14:45:37.53
Googleのはオープンリゾルバだよ。

57名無しさん@お腹いっぱい。2014/05/09(金) 15:43:11.98
リゾルバは何回もバシバシ叩くことはほとんど無いし
基本的にパケットの分割も無いから
同じ相手にUDPのパケットを返すときに
2つ目以降のパケットは数秒待たせても
問題ないよね?

58名無しさん@お腹いっぱい。2014/05/09(金) 18:40:57.37
フォワーダっぽいリゾルバ ?

自前でオープンリゾルバなDNS公開設定しようかと思ってるんだけど??

59名無しさん@お腹いっぱい。2014/05/09(金) 18:52:03.46
質問を続けるなら名前入れといてくれ。
どれが誰だかわからん。

60名無しさん@お腹いっぱい。2014/05/11(日) 16:28:28.00
>>52
フォワーダっぽいリゾルバって何だ?
VIPで受けて大量のキャッシュDNSサーバへロードバランシングしてるんじゃなくて、
回送専用のDNSサーバで受けて、ドメイン単位で回送したら再起検索専用のDNSサーバで検索…ってこと?
なにそれ怖い。

61名無しさん@お腹いっぱい。2014/05/12(月) 02:39:47.72
TLDごとにその国に近いリゾルバに回送してそこで反復問い合わせさせれば、確かに理論的には速くなるな。

62名無しさん@お腹いっぱい。2014/05/12(月) 10:37:10.36
>>61
aho ?

63名無しさん@お腹いっぱい。2014/05/26(月) 15:45:57.42
やめた、DNSSECやめた。

64名無しさん@お腹いっぱい。2014/05/26(月) 18:53:37.31
急にどうしたんだw
鍵更新をしくじりでもしたのか。

65名無しさん@お腹いっぱい。2014/05/26(月) 19:21:35.87
プロバイダがね、セカンダリがね、DNSSECはね、やってねえだって。

66名無しさん@お腹いっぱい。2014/05/26(月) 20:31:00.57
セカンダリならたいした手間でもないだろうけど、逆にプライマリ提供できないのが浮き彫りになるのが嫌なのかな。

67名無しさん@お腹いっぱい。2014/05/26(月) 21:25:48.90
へー、そんなところもあるのか。

ウチは DNSSEC に関して何もアナウンスしてないけど、問い合わせを受けたら「レジストリへの取次と
セカンダリ運用は承りますが、プライマリの運用はお受け出来ません。ごめんなさい」と回答する予定です。

まだ問い合わせは一度も来たこと無いけどね! (酷いオチ)

68名無しさん@お腹いっぱい。2014/05/27(火) 00:04:20.35
自分とこでDNSを二台たててDNSSECしてたんだけど、プロバイダにセカンダリをやってもらおうと思って。
zone転送の設定まではスイスイと行ったけど dnscheck.jp で見たら、プロバイダ側のDNSSECが×だらけ。
サポートに問い合わせして、「おかしいにゃー、調べてみるんで待ってて」ってことで待ってたら
「やっぱりDNSSECはやってないんで、メンゴ」ってことになった。

69名無しさん@お腹いっぱい。2014/05/27(火) 03:47:55.05
atndやっちゃった?

70名無しさん@お腹いっぱい。2014/05/27(火) 09:57:53.64
atnd 見えないね。権威サーバが何も返してこないんだけど、この時間になっても
復旧してないとは思わなかった。何やってんだ、中の人。

参考

ttp://www.e-ontap.com/blog/20140527.html

71名無しさん@お腹いっぱい。2014/05/27(火) 10:30:47.05
あ、ようやく見えるようになった。だけど TTL が 300 になってるねw
絶賛リカバリ中ってとこなのかな。

72名無しさん@お腹いっぱい。2014/05/27(火) 11:36:48.78
まともに運用できねえやつにかぎってDNSSECとか使いたがるんだよな。

73名無しさん@お腹いっぱい。2014/05/27(火) 12:21:31.25
今回のはそれ以前の問題w

74名無しさん@お腹いっぱい。2014/05/28(水) 17:32:02.96
ん? まだ atnd.org の TTL が 300 のままですね。権威サーバの ns[1-3].x.recruit.co.jp という
ホスト名がいかにも仮のものっぽいけど、しばらくこのままなのかな……

75名無しさん@お腹いっぱい。2014/05/28(水) 23:27:15.17
数年前、名前解決の障害でrecruit.co.jp調べたとき、EDNS未対応だったか、
TCP非対応だったか忘れましたが変なサーバだったのを覚えてます。

76名無しさん@お腹いっぱい。2014/05/28(水) 23:29:54.68
古い上にあやふやな情報だな。

77名無しさん@お腹いっぱい。2014/06/11(水) 15:47:49.51
で?
なぜインフラ予約ドメイン名を定義しないで、ねずみ講のようにドメイン登録をプッシュするんだ?
ARPAとかがあるから、今後は
おれんち.ARPAとかで逃げ始めるバカがわくと思うんだけど

78名無しさん@お腹いっぱい。2014/06/11(水) 15:51:17.74
おう、直接言ってやれ。

79名無しさん@お腹いっぱい。2014/06/11(水) 17:10:36.83
インテリやくざ集団に直接談判とかヤダー
判子屋と組んでうまい汁をすおうとかプレゼンかいてインターネットでシェアするような奴が集まるのがIT業界じゃないですか

80名無しさん@お腹いっぱい。2014/06/11(水) 17:57:30.22
んじゃ状況は変わらんね。

81名無しさん@お腹いっぱい。2014/06/12(木) 16:06:49.91
重複をお許しくださいキター
# まだ7月じゃないのに・・・

82名無しさん@お腹いっぱい。2014/06/12(木) 16:10:17.01
OpenBINDはよ。

83名無しさん@お腹いっぱい。2014/06/12(木) 16:35:50.75
重福

84名無しさん@お腹いっぱい。2014/06/12(木) 19:26:31.46
>>82
???「ANSドゾー」

85名無しさん@お腹いっぱい。2014/06/12(木) 19:33:15.60
でもお高いんでしょう?

86名無しさん@お腹いっぱい。2014/07/02(水) 00:45:55.49
DNSがオワコンなのに、気付いてないヤシが大杉留みたいね
合掌

87名無しさん@お腹いっぱい。2014/07/02(水) 01:05:34.36
みんな気付いてるよ。
気付いてるけどかわりがないから使わざるをえないだけで。

88名無しさん@お腹いっぱい。2014/07/02(水) 01:58:23.78
http://www.dnszone.jp
DNS 進化への渇望

89名無しさん@お腹いっぱい。2014/07/02(水) 10:05:05.79
>>86
DNS使わない派?

90名無しさん@お腹いっぱい。2014/07/02(水) 10:13:31.57
やっぱ NIS+ だよな

91名無しさん@お腹いっぱい。2014/07/02(水) 10:36:40.44
やっぱり僕は、王道を征く、Active Directoryですか

92名無しさん@お腹いっぱい。2014/07/02(水) 10:52:20.06
いやいや、hosts を共有するってのはどう?

93名無しさん@お腹いっぱい。2014/07/02(水) 11:06:03.77
FQDNを所定のハッシュ関数に通すとIPアドレスが一意に決まるようにしておけばいい。

94名無しさん@お腹いっぱい。2014/07/02(水) 11:08:18.42
>>91
DNS抜きでActiveDirectoryを使える?

95名無しさん@お腹いっぱい。2014/07/02(水) 11:10:03.06
>>93
そのハッシュ関数はどのように実装されるのでしょうか?
IPアドレスが変わったら、どうなるのでしょうか?

96名無しさん@お腹いっぱい。2014/07/02(水) 11:12:51.89
>>95
ハッシュ関数はだれかが「これ」と決める。
IPアドレスは変更できない。というか、使いたいIPアドレスになるようなFQDNをハッシュ関数から探して使う。

97名無しさん@お腹いっぱい。2014/07/02(水) 11:24:05.16
>>96
なるほどー
例えば192.168.10.203というIPを使う場合、それに該当するFQDNを採掘するわけですな。
あらかじめ発見しておいて、○.○.○.○に対応するFQDN教えます、という広告をオークションに出しおけばいいのか。
203.10.168.192.in-addr.arpa より分かりやすいものであることを願おう。

98名無しさん@お腹いっぱい。2014/07/02(水) 11:35:26.71
>>94
すいません許してください!なんでもしますから!

99名無しさん@お腹いっぱい。2014/07/02(水) 12:30:40.71
>>98
ならば、これからは私利私欲ではなく、世の人のためにその力を使うのじゃ。

100名無しさん@お腹いっぱい。2014/07/05(土) 04:09:47.39
なんでホモが沸いてるんですかね

101名無しさん@お腹いっぱい。2014/07/07(月) 23:58:34.59
使うコマンドが dig (穴とかを掘る意味から)だからじゃない?

102名無しさん@お腹いっぱい。2014/07/08(火) 03:46:30.63
ISCのBIND祭と言えば、六尺褌一丁のDNS担当者たちが、
namedをアップデートし合う、勇壮な祭りとして、
この地方に知られている。

103名無しさん@お腹いっぱい。2014/07/09(水) 10:00:06.25
BIND兄貴オッスオッス

104名無しさん@お腹いっぱい。2014/07/12(土) 08:31:35.47
Google Public DNS (8.8.8.8) から ようこそワロタ
うっせーよハゲ

105名無しさん@お腹いっぱい。2014/07/12(土) 23:36:55.74
8.8.8.8 でこっパチー

106名無しさん@お腹いっぱい。2014/07/14(月) 09:10:13.56
浸透っていうと育毛剤を連想しちゃうハゲ

107名無しさん@お腹いっぱい。2014/07/14(月) 09:22:00.17
あーじゃあ浸透って言ってる奴には
浸透させなければいけないのは育毛剤です
と返せば良いのかw

108名無しさん@お腹いっぱい。2014/07/14(月) 14:08:45.91
知識が浸透してくれればいいのに…

109名無しさん@お腹いっぱい。2014/07/15(火) 23:25:01.07
夏のbind祭りマダー?

110名無しさん@お腹いっぱい。2014/08/14(木) 20:31:59.50
DNS名前衝突ブロックリストな件
ttp://internet.watch.impress.co.jp/docs/news/newgtld/20140812_661957.html

これ、DNSプリフェッチ機能で問い合わせされたドメインは、除外されてるの?
どうしても登録させたくないドメインを毎日機械的に問い合わせてれば、禁止にできるの?

中の人、あ意外とほっぽい。

111名無しさん@お腹いっぱい。2014/08/14(木) 21:01:54.47
「できる」じゃなくて「できた」だな。

112名無しさん@お腹いっぱい。2014/08/14(木) 21:33:41.85
あれ、この記事、申請拒否されたドメインがプレミアム予約リストに該当してるんなら、
やっぱりレジストラが腹黒ってことになるじゃね?

113名無しさん@お腹いっぱい。2014/08/15(金) 07:50:43.74
>>112
どういうこと?

114名無しさん@お腹いっぱい。2014/09/06(土) 18:21:32.33
>>113
そのページだと軽く流して、直ぐに名前衝突に話が進んでいるが、
付加価値がつく名前はレジストラが先に予約しているって書いてある

.network .dot .inspire .trust
.nt .do .nex .aegis .terra
とかプレミアついて人気レジストラになれそうじゃん

こういうのはレジストラがキープしてねずみ講の親になるから、パンピーにはやらんってことだよ

115名無しさん@お腹いっぱい。2014/09/06(土) 18:27:23.80
今に手数料の上納ルールが作られるだろうしね
仕組み上必ずルートに検索かける通り、上の方は負荷がかかるから保守費払え、インフラただ乗りすんなーってね

116名無しさん@お腹いっぱい。2014/09/06(土) 21:27:46.71
Alternicが法的に禁止されるのかw

117名無しさん@お腹いっぱい。2014/09/09(火) 09:24:15.22
nsdでセカンダリ建ててます。
プライマリのレコードが(SOAも)変更されたとき
セカンダリに転送かかるべきところ、そのタイミングでセカンダリ側のnsdが落ちます。
(プロセスにも残らない)

Sep 9 08:00:48 ubuntu14 nsd[14255]: database corrupted, cannot update
Sep 9 08:00:41 ubuntu14 nsd[1149]: message repeated 54 times: [ wait failed: No child processes]
Sep 9 08:00:48 ubuntu14 nsd[1149]: handle_reload_cmd: reload closed cmd channel
Sep 9 08:00:48 ubuntu14 nsd[1149]: Reload process 14255 failed with status 256, continuing with old database
Sep 9 08:00:48 ubuntu14 nsd[1149]: wait failed: No child processes

※ubuntu14 はホスト名

shutdown -r now で再起動かけると
ちゃんと起動直後にゾーン転送が行われ正常終了します。

プライマリのSOAが変わらないうちは好調に動作しますが、
またゾーン転送がかかると落ちます。

なにか原因として考えられることありますでしょうか。

118名無しさん@お腹いっぱい。2014/09/09(火) 09:40:23.85
database corrupted

119名無しさん@お腹いっぱい。2014/09/09(火) 14:35:11.95
再起動すると正常動作(かつゾーン転送も済んだ状態)になるから
実際にはデータベース壊れてないと思うんだけど・・・

120名無しさん@お腹いっぱい。2014/09/11(木) 17:16:59.20
重複をお許しくださいキター

121名無しさん@お腹いっぱい。2014/09/12(金) 02:00:49.66
>>117
nsdc patch してみてください

122名無しさん@お腹いっぱい。2014/09/12(金) 11:01:55.05
DNS1で名前解決できなかったらDNS2に問い合わせ
という仕組みを構築したいんですが、これって無理ですかね?

DNS1の電源が落ちているとか通信自体ができない場合はDNS2へ問い合わせに行くのですが、
DNS1の応答が「そんなレコードありません」という応答だった場合、
DNS2に見に行かないのです。

おそらく通常の仕様なのはわかっているのですが、何とかなりませんか?

社内向けDNSサーバーで解決できなかったら
クラウド上のDNSサーバーで解決させたいのですが・・・。
同じレコードを持てない理由がありまして・・。

123名無しさん@お腹いっぱい。2014/09/12(金) 11:18:32.48
「同じレコードを持てない」というのをもちっと詳しく書けませんか?

なんとなくzoneとかforwarderとか
そんな感じのことで調べてみるとなんとかなったりするかもしれません。

124名無しさん@お腹いっぱい。2014/09/12(金) 11:32:49.08
DNS2だけ見に行くようにして
DNS2をforwarderにするのがよさそう

125名無しさん@お腹いっぱい。2014/09/12(金) 12:54:40.00
hoge.jpは他者管理



「www.hoge.jp」←インターネット上のhoge.jpの名前解決はDNS2
    |
(インターネット)

「自社:jiya.jp」-(VPN)-「wwwsec.hoge.jp」←VPN上のhoge.jpの名前解決はDNS1


VPN上はセキュアなネットワークというポリシーらしく、
DNS1-DNS2間の通信はできない

126122・1252014/09/12(金) 12:58:58.60
hoge.jpという同名のドメイン名が
VPN上とインターネット上 両方にあるのが問題かなーっと
でも他者なので口を挟めない。

自社にDNSサーバーにwww.sec.hoge.jpの問い合わせが来たら
DNS1へフォワードするってのが簡単に思いついた事だけど、
hoge.jpのサーバーが増えたりするたぶに手で修正すうのは面倒・・・。
DNS1レコードがなかったらDNS2へ追い合わせ汁!っていう形とれないかな?

127名無しさん@お腹いっぱい。2014/09/12(金) 13:21:53.95
/etc/hostsに書いちゃえば

128名無しさん@お腹いっぱい。2014/09/12(金) 13:22:52.21
実在のドメイン名を例示に使うな。

129名無しさん@お腹いっぱい。2014/09/12(金) 13:29:22.97
hoge.jpに勤務してる人じゃないの?

130名無しさん@お腹いっぱい。2014/09/12(金) 13:31:59.13
あそこは勤務とかそういうとこじゃないよ。

131名無しさん@お腹いっぱい。2014/09/12(金) 14:07:12.00
hoge.comの日本法人かと思った

132名無しさん@お腹いっぱい。2014/09/12(金) 14:31:42.18
hoge はあれなんで example.jp で話すけど
example.jp は他者が管理していて、そのサブドメイン sec.example.jp を
自分のところの中でだけ存在させたい、ってことかな。

もし、そうなら自分のところDNS(DNS1なのか?)に勝手に sec.example.jp のドメインを持たせてしまえばいいんじゃないか?
example.jp のDNSで委譲してもらわなくても、クライアントがDNS1に問い合わせるようにしとけば
sec.example.jp については名前解決できる。

サブドメインじゃないよ、ホスト名だよって場合でも、ホスト毎にzoneを作ることは可能。

133名無しさん@お腹いっぱい。2014/09/13(土) 01:14:12.33
localhostのサブドメインでやればいいだよ好き放題作っていいんだから

134名無しさん@お腹いっぱい。2014/09/13(土) 05:28:05.27
>>122
そういう名前解決をしてくれるDNS3を用意したいけどどのDNSサーバだと実現できるんだろうって話?
>>132
RFC2606で予約されてるのは、.test、.example、.invalid、.localhost、example.com、example.net、example.org
example.jpは予約されてませんよ、という野暮なツッコミ

135名無しさん@お腹いっぱい。2014/09/13(土) 07:25:27.99
example.jpは実在するレジストリサービスが例示用だと言ってなかった?

136名無しさん@お腹いっぱい。2014/09/13(土) 08:22:11.95
RFC2606がすべてではないという話だな

137名無しさん@お腹いっぱい。2014/09/14(日) 04:48:39.91
VPSで逆引きホスト名って1つ設定できるようになっているけど
xxx.jp か www.xxx.jp にするべきか

138名無しさん@お腹いっぱい。2014/09/14(日) 06:11:08.89
実在のドメイン名を例示に使うな。

139名無しさん@お腹いっぱい。2014/09/15(月) 03:53:00.45
example厨が沸いてきた

140名無しさん@お腹いっぱい。2014/09/15(月) 20:27:04.84
>>133
これは気持ち悪い。

141名無しさん@お腹いっぱい。2014/09/15(月) 20:32:35.85
例示にはアスタリスクとか、あり得ない文字使えばええんちゃいますの?
www.***.jp とか。

142名無しさん@お腹いっぱい。2014/09/15(月) 21:03:05.46
実在するワイルドカードとの見分けがつかなくなる

143名無しさん@お腹いっぱい。2014/09/16(火) 13:56:35.37
perlのバージョン違いのテスト用に
p516.localhost
p518.localhost
p520.localhost
とか
vmに振るなら
deb.localhost debian
net.localhost netbsd
ubu.localhost ubuntu

144名無しさん@お腹いっぱい。2014/09/16(火) 13:58:51.14
アスタリスクってドメインに使えますのん?

145名無しさん@お腹いっぱい。2014/09/17(水) 01:30:20.52
アスタリスクかぁ
使い方としたら、こんな感じ?
zone "localhost" { type master; file "localhost.db"; }

@ IN SOA localhost. mail.localhost. ( 1 2 3 4 5 )
IN NS localhost.
@ IN A 127.0.0.1
* IN A 127.0.0.1

かなり遊んだ設定だけど。

146名無しさん@お腹いっぱい。2014/09/17(水) 19:11:45.77
DNSの仕様上は、名前に*という文字が含まれていても問題ない。
アプリケーションがそういう文字を含む名前を扱えるかどうかはそれとは別問題。

むかし、*.cnというAレコードが実際に存在してたことがあるよ。
ワイルドカードを作るつもりで間違ってそうなっちゃったのか、
意図してそうしたのか、cnのやることだからわからん。

147名無しさん@お腹いっぱい。2014/09/17(水) 20:54:05.97
>>146
> DNSの仕様上は、名前に*という文字が含まれていても問題ない。
その根拠は。

148名無しさん@お腹いっぱい。2014/09/17(水) 23:41:09.29
横から失礼するけど、DNSの仕様ってどの範囲までを言うのかよーわからん
RRのフォーマットまでが仕様っぽいように見えるけど、そんなんネームサーバの
実装ごとに違っても別にいいじゃんって思うし。

149名無しさん@お腹いっぱい。2014/09/18(木) 00:49:43.98
仕様っていったら、当然 RFC に書かれた文章そのままだろうに…
古いホテルの様な拡張につぐ拡張で、わかりにくいけどな。

いいんだぜ。 hosts に記載された内容を応答する named を作っても。

150名無しさん@お腹いっぱい。2014/09/18(木) 01:18:30.56
>>149
*を使っていいってどのRFCに書いてんのよ。

151名無しさん@お腹いっぱい。2014/09/18(木) 01:19:54.77
>>147
きっと大元は RFC2181 なんだろうけど、ラベル名の定義が他の RFC で
アップデートされてるのかどうかが、よくわからん。これを読めば DNS の
仕様が一通り把握できる便利な RFC とか、ポータルなサイトとか無いのかな?

Information on RFC 2181
ttp://www.rfc-editor.org/info/rfc2181

152名無しさん@お腹いっぱい。2014/09/18(木) 03:06:52.51
ドメイン名の管理を代行する企業であってすら、
設定ミスを浸透と呼んで誤魔化すのが日常だし…
そんな便利なもんがあったらこんな状況にはならん気が

153名無しさん@お腹いっぱい。2014/09/18(木) 10:53:54.77
使えるのはアルファベットと数字とハイフンだけじゃなかったっけ。
ソースは RFC952 の 1.、RFC1035 の 2.3.1. あたり。ついでに RFC1123 の 2.1.も。
情報古いかな?

>>151
> きっと大元は RFC2181 なんだろうけど、
* 使っていいってどこに書いてある?

154名無しさん@お腹いっぱい。2014/09/18(木) 11:40:17.69
*に関してはRFC1034の4.3.2., 4.3.3.かな?

155名無しさん@お腹いっぱい。2014/09/18(木) 11:44:11.50
>>154
それは>>146とは別の話でしょう。

156名無しさん@お腹いっぱい。2014/09/18(木) 11:44:23.94
例示にはドットを使えばいい。

www.....jp

157名無しさん@お腹いっぱい。2014/09/18(木) 12:15:23.61
>>153
孫引きばかりで申し訳ないけど、以下のような解説を複数見かけました。
それで RFC 2181 が「DNSの仕様上は、名前に*という文字が含まれて
いても問題ない」の根拠なのかな、と。

# それにしてもあやふやだよな〜とは思う

> BIND 9 はドメイン名に使われる文字集合について制限しない。 RFC2181 の第11章にしたがい、
> 完全に 8 ビットクリーンである。DNS で広報されるホスト名は RFC952 の規則に従うことが強く
> 推奨されるが、 BIND 9 ではそれを強制しない。
(ttp://d.hatena.ne.jp/S_a_k_U/touch/20130612 より引用)

> RFC2181 #11 によると、DNS のラベルに使える文字に制限はない。バイナリ値でもかまわない
> (「日本語.jp」を punycode で符号化せずに Shift JIS で登録したって、DNS の仕様上は
> 違反ではない。JPRS が却下するけど)。ラベルの制限は長さだけ。
(ttp://ya.maya.st/d/200605c.html#s20060529_2 より引用)

> RFC1034 #3.5 や RFC1035 #3.1 にはアンスコがマズいと受けとれるような記述があるが、
> これは DNS でそういう文字を使うのが禁止という意味ではなく、アプリ側の都合でそういう
> 文字を使うことができないかもしれないから注意しろ、という意味である。
(同上)

158名無しさん@お腹いっぱい。2014/09/18(木) 12:25:18.23
>>157
分散データベースとしての DNS システムは
使える文字に制限はない、ってことか。
なるほど。

159名無しさん@お腹いっぱい。2014/09/26(金) 22:14:16.05
3com.comが登場したとき
数字で始まるのはAUTOだろ、と
誰かがfjで議論してた記憶があるのだが

アスタリスクはもっとだめだろ

それはともかく例示のexample厨はタヒね

160名無しさん@お腹いっぱい。2014/10/08(水) 04:21:38.92
DNSの仕様上使える文字=レコード定義に使っていい文字、ではないし、
BINDなどの各DNS実装で実際に定義できる文字=レコード定義に使っていい文字、でもない

ホスト名、ドメイン名、リソースレコード名、メールドメイン名などなど、
それぞれのRFCで使っていい文字、長さなどが規定されている

でも

hoge.example.com

これはホスト名?(サブ)ドメイン名?リソースレコード名?メールドメイン名?
適用されるべきRFCは何番?
そんなの区別つかんやろ? そもそも排他でもないし。

それをデフォルトで安全側に倒してチェックしていたのが BIND 8 まで、
自分で勉強して正しく定義しろや、となったのが BIND 9

161名無しさん@お腹いっぱい。2014/12/09(火) 13:05:35.63
最近は静かだと思ってたら、こんなんが来るのか。DNS は罪深いのう。

(緊急)複数のDNSソフトウェアにおける脆弱性(システム資源の過度な消費)について(2014年12月9日公開)
- BIND 9では権威DNSサーバーにも限定的に影響、バージョンアップを強く推奨 -
ttp://jprs.jp/tech/security/2014-12-09-multiple-impl-vuln-delegation-limit.html

162名無しさん@お腹いっぱい。2014/12/09(火) 18:23:08.37
とっくにNSD/Unboundに切り替えました

163名無しさん@お腹いっぱい。2014/12/09(火) 18:25:59.92
Unboundも対象だよ

164名無しさん@お腹いっぱい。2014/12/09(火) 20:24:54.59
▽対象となる実装/サービス・バージョン

現時点において判明している、本脆弱性が影響を及ぼすDNSソフトウェアは
以下の通りです。

・すべてのバージョンのBIND 9

・すべてのバージョンのUnbound

・すべてのバージョンのPowerDNS Recursor

165名無しさん@お腹いっぱい。2014/12/09(火) 20:30:05.72
某氏の後出しじゃんけん…w

166名無しさん@お腹いっぱい。2014/12/10(水) 03:00:33.42
dnsmasqのことは書かれてないな、どうなの?

167名無しさん@お腹いっぱい。2014/12/10(水) 06:49:58.58
djb()笑

168名無しさん@お腹いっぱい。2014/12/10(水) 08:44:19.42
そういやBIND10はどうなったんだ?
開発諦めたの

169名無しさん@お腹いっぱい。2014/12/10(水) 08:54:26.31
Bundy(笑)

170名無しさん@お腹いっぱい。2014/12/10(水) 09:42:54.27
うちはBIND8だから(震え声)

171名無しさん@お腹いっぱい。2014/12/10(水) 23:15:41.59
10は鬼門だな。
Sendmail Xなんてのもあったね。

172名無しさん@お腹いっぱい。2014/12/11(木) 08:45:48.07
この案内を見てパッチ当てようと思ったら、まだyumで提供されていないんだが?
サポート料金は言い訳しか言わないテレクラ料金か?
と思っているけど恐くて口に出せませんです

173名無しさん@お腹いっぱい。2014/12/11(木) 09:49:40.56
そういうのはLinux板へ。

174名無しさん@お腹いっぱい。2014/12/12(金) 16:18:12.96
unbound.conf ですけど

 forward-zone:
  name: "."
  forward-addr: 192.168.1.1

の行が無視されてしまってます。
192.168.1.1に問い合わせに行かず、rootへ聞いてるるみたいでして。
ちなみにこの3行を削除しても dig に成功してしまいます。

どうなってるんでしょうか。

175名無しさん@お腹いっぱい。2014/12/12(金) 17:27:39.69
BIND「フヒヒwサーセンww」

176名無しさん@お腹いっぱい。2014/12/12(金) 19:22:54.51
>>174
まったく検証せずにテキトーなこと言ってみるけど、それは本当に root に
問い合わせがされているのか、どうやって確認しましたか?

root hint が関係している予感がします。

177名無しさん@お腹いっぱい。2014/12/12(金) 21:17:15.20
bindのforward only相当の設定が必要ってこと?

178名無しさん@そうだ選挙に行こう2014/12/13(土) 19:34:55.84
>>174ancher-keyなんちゃらってのをコメントアウト
あとはunboundのDNSSECの無効化参照。

179名無しさん@そうだ選挙に行こう2014/12/13(土) 21:33:16.94
>>174
基本的には、それで 192.168.1.1にforwardされるはず。
Unboundのforward-zoneは、デフォルトで
BINDのforward-only yes相当だしなぁ。確認するポイント:

1. unbound-control list_forwards で、
Unboundが認識している設定として forward先が 192.168.1.1になってるか
確認。なってるなら「. IN forward: 192.168.1.1」という表示になるはず。
 → OS付属やパッケージのUnboundの場合、起動スクリプトやresolvconfが、
Unbound起動後に勝手にforward先を変えることがある

2. 対象のUnboundに digできてるか確認。dig @127.0.0.1 www.google.com
のようにIPを指定して digしているか?

180名無しさん@お腹いっぱい。2015/02/19(木) 14:09:15.18
また重複をお許しくださいが来ましたね。いつもの通り BIND が対象ですが、今回は
DNSSEC 検証が有効になっていなければ影響を受けないそうで……

正直なところウチの会社は有効にしてないんだけど、有効にしていることろって
結構多いんですかね? 一般コンシューマ向けにサービスしているキャッシュサーバでは
有効になっているところの方が多いのかなあ。

181名無しさん@お腹いっぱい。2015/02/19(木) 14:12:09.66
なんでBINDのDNSSECはこんなに穴が出るんだろうな
根本的に作りがおかしいんじゃないのか?

182名無しさん@お腹いっぱい。2015/02/19(木) 18:41:10.66
iscのソフトウェアは必要なら再発明するようにして全て排除すべきだよ

183名無しさん@お腹いっぱい。2015/02/19(木) 18:49:20.21
OpenSSLのような?

184名無しさん@お腹いっぱい。2015/02/19(木) 19:46:18.32
>>180
権威サーバーがヘマこいてるのにこっちのリゾルバの障害だなんだとディスられるんじゃ割に合わんだろ。
NASAですらやらかすのに。

某ISPとか、キーマンらしき中の人抜けたけど無事に回せてるのかな。

185名無しさん@お腹いっぱい。2015/02/19(木) 20:34:06.31
こんなDNSSECにまじになっちゃってどうするの

186名無しさん@お腹いっぱい。2015/02/21(土) 22:43:52.73
国内のキャッシュサーバーは「有害サイト」をブロックするために勝手に虚偽の応答を返すし

気休めかもしれんがDNSSEC標準化にはちょっとだけ期待している

187名無しさん@お腹いっぱい。2015/02/21(土) 23:43:40.43
>>181
BIND9ってNominumに委託して作り直したんじゃなかったっけ?
にしても痛いバグ大杉だね

188名無しさん@お腹いっぱい。2015/02/22(日) 02:50:40.28
>>187
そんな話あったの?
Infobloxにお願いしたほうが早そうだよね。
Cricket LiuさんやJimmeiさんいるし。

189名無しさん@お腹いっぱい。2015/02/22(日) 03:22:38.18
>>188
「BIND9 Nominum」でググると出てくるよー。
Wikipediaにも書いてある。
http://en.wikipedia.org/wiki/BIND
>Version 9 was developed by Nominum, Inc. under an ISC outsourcing contract,

190名無しさん@お腹いっぱい。2015/03/31(火) 12:59:42.21
nscdがttlを設定できるのでLinuxで使おうと思っていますが、
キャッシュできていないようです。

resolv.confがヒントかなと思って、127.0.0.1とルータのアドレスを書いて、networkもnscdも再起動しましたが、
nscd -gの結果は0になっています。

リゾルバがnscdを読みに行っていない気がするんですがご教示願いたく質問いたします。

191名無しさん@お腹いっぱい。2015/03/31(火) 13:14:50.87
すいません。キャッシュを読みに行った形跡がありましたが、また0になりました。
もう少し様子を見てみます。

192名無しさん@お腹いっぱい。2015/03/31(火) 13:28:10.12
nscd -gが何種類も出力してました。serviceの項しかみていませんでした。
失礼しました。nscdはうまく動いています。

193名無しさん@お腹いっぱい。2015/04/01(水) 10:42:02.29
Unboundで

forward-zone:
  name "."
  forward-addr: 192.168.1.1

※192.168.1.1はルーター(さらにISPのDNSに転送)

とやってます。
普段はいいのですが、ルーターを再起動するなどして上位への名前解決に失敗してる状態が数分間つづくと変になります。

1.試しにルーターOFF
2.dig www.yahoo.co.jp @127.0.0.1

最初のうちは
;; connection timed out; no servers could be reached
を返すんですが、数分(3〜5分)、ルーターを回復させないでおくと

;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 18870
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

になってしまいます。
ただし、unbound の中で local-data 書いたものに対しては、ちゃんと応答が帰ってきます。
(上位DNSを使って解決しないといけないものだけが SERVFAIL になる)

いったんこうなると、service unbound restart しないと回復しません。
なにか解決方法ないでしょうか。

1941932015/04/01(水) 12:32:54.32
ルーターのWAN側を引っこ抜いた状態にして
そのルーター相手に dig ると refused で戻されます。

上位DNSに問い合わせにいけないせいだと思うので正常なのですが
この状態で unbound 経由で dig ると、SERVFAIL になり、
ルーターの WAN側 が回復して、ルーター相手の dig が成功するようになっても
unbound のほうはサービス再起動するまで二度と回復してくれず、ずっと SERVFAIL のままです。

195名無しさん@お腹いっぱい。2015/04/02(木) 19:31:32.31
>>194それはyahoo以外に問い合わせてもservfailされる?

196名無しさん@お腹いっぱい。2015/04/03(金) 04:34:59.92
PR-500KIだけど不定期にこんなログでるね。
BNE-OpS端末管理部 端末情報登録成功

197sage2015/04/07(火) 03:04:22.46
>>193
unbound.conf (service.conf)に、
infra-host-ttl: 10 と書いてみるとどうかな?
フォワーダ先が1個しかない (かつ時々その1個に到達できないことがある)
環境だとデフォルトの900秒は長すぎるかもしれない

198名無しさん@お腹いっぱい。2015/04/22(水) 14:39:38.43
逆引きって必要なの?

199名無しさん@お腹いっぱい。2015/04/22(水) 18:16:46.44
無くてもいいけどある方が便利
場合によっては無いとダメなこともあった気がする

200名無しさん@お腹いっぱい。2015/04/22(水) 19:38:02.34
正引きだとドメインごとにDNSサーバーを立てて管理するイメージだが
逆引きだと誰が管理するの?
例えば200.201.202.203の逆引きはどこのサーバーでやるの?

201名無しさん@お腹いっぱい。2015/04/22(水) 21:36:08.71
>>200
逆順(203.202.201.200.in-addr.arpa)をドメインに見立てて設定するだけで正引きと同じですよ。

202名無しさん@お腹いっぱい。2015/04/22(水) 22:26:17.32
>>200
IPアドレスを割り当てられた組織。

203名無しさん@お腹いっぱい。2015/04/22(水) 23:28:09.74
>>201
なるほど
で、サーバーはどこに作ると考えたら良いの?

204名無しさん@お腹いっぱい。2015/04/23(木) 00:03:03.11
>>202
ど素人が横からですが教えてください

>IPアドレスを割り当てられた組織。

ってことは、1IPででも契約したらドメイン持って無くても逆引きサーバを立てる必要がでてくるの?

205名無しさん@お腹いっぱい。2015/04/23(木) 00:48:54.36
>>204
グローバルIPアドレスの「割り振り」「割り当て」は専門用語だから、まあぐぐって。

206名無しさん@お腹いっぱい。2015/04/23(木) 00:48:55.70
>>203

サブドメインの委譲については知っているものとして書きます。
正引きの場合、ルートないし上位のドメイン(com、jp、など)はプロバイダなどなどが管理しているサーバーがあり、
自分のドメイン(例えばexample.com)を自分のサーバーで運用しようと思うなら、該当サブドメインを委譲してもらう。
レジストラなどが運用しているサーバーで運用する場合であっても同様。

逆引きの場合も基本的には同じ。CIDRを考えるとちょっと複雑になるので、ちょうど切りの良いところでIPを割り当てるケースで考える。
200.201.0.0/16をあるプロバイダXが持っているとする。それを /24ごとに、ユーザーに割り当てるとする。
200.201.1.0/24 を株式会社Aに、200.201.2.0/24をB大学に、というふうに。
逆引き用の in-addr.arpa ドメインは comやjpなどと同じようにプロバイダなどなどが管理しており、
そのサブドメインである 201.200.in-addr.arpa をプロバイダXが管理するサーバーに委譲する。
プロバイダXは、顧客の株式会社Aに 1.201.200.in-addr.arpa、B大学に 2.201.200.in-addr.arpaを委譲する。
株式会社AやB大学は、希望するなら自身のDNSサーバーで逆引き用のドメインを運用してもいいし、プロバイダXに任せてもいい。

207名無しさん@お腹いっぱい。2015/05/19(火) 11:41:33.79
ふと気になったのですが、
@i.softbank.jp なメールアドレスへのメール送信は、どこのサーバーへ行くのでしょうか

nslookup しても Non-existent domain と怒られてしまいます。
(A/SOA/TXT/MX すべて一緒)

208名無しさん@お腹いっぱい。2015/05/19(火) 13:59:13.49
普通に MX が存在してますよ? (それにしても TTL が短いな……)

どのように確認したのか教えていただかないと何とも言えませんが、
おそらく、あなたが参照しているキャッシュサーバの管理者様に
ご確認いただくのがよろしいかと。

209名無しさん@お腹いっぱい。2015/05/19(火) 14:05:00.39
失礼しました、i.softbank.ne.jp ってタイプしてしまってました

210名無しさん@お腹いっぱい。2015/05/29(金) 14:16:41.97
ttp://pbs.twimg.com/media/CGF7njBVIAAkaFV.png

211名無しさん@お腹いっぱい。2015/06/02(火) 18:04:01.08
質問です。
とあるアプリケーションがSRVをサポートしており、SRVレコードを設定し使用しているのですが一部のユーザが接続できません。
はじめはそのユーザのPCの設定を疑ったのですが、複数人同じ問題を抱えるユーザが居たので余計原因がわからなくなりました。

SRVレコードに対応していないブロードバンドルータやDNSサーバというのは存在しているのでしょうか。
また、曖昧な情報で申し訳ありませんが原因はわかりますでしょうか。

212名無しさん@お腹いっぱい。2015/06/02(火) 19:17:54.33
>>211
その一部のユーザとやらの環境では「アプリに接続できない原因は名前解決が出来ない
という点である」ということは、ちゃんと裏付けが取れていますか?

あと、そこまで状況を分析できるのなら、DNS サーバ側 (キャッシュと権威の両方とも) の
クエリログを確認しようという発想が出てきても良いように思えます。それが出てこない
ということは、まだ何か特殊な事情があるのでは? という気もします。

213名無しさん@お腹いっぱい。2015/06/03(水) 20:56:04.92
>>212
レスありがとうございます。
ユーザにログを送信してもらい確認したのですが、ログを見る限りはSRVレコードでの解決を試して
その後失敗した(若しくはSRVレコードが登録されていない)ようならAレコードでの名前解決を試していました。

DNSサーバに関してですが、権威サーバはCloudFlareを使用しており、詳細なクエリログは確認できません…。
また、キャッシュサーバはユーザからISPを聞き出し、同じISPを使用している知人に、そのISPのDNSサーバでの名前解決を試みてもらいましたが
とくに問題もなく名前解決ができてしまいます。

これだけ書くと、ルータかPCが原因のような気もしますがどうなんでしょうか…。

214名無しさん@お腹いっぱい。2015/06/03(水) 22:37:43.16
>>213
ユーザの使っているブロードバンドルータがキャッシュサーバになっているケースもあり得ますね。
ユーザのPCのDNS設定はどうなっているか確かめるほうがいいかも。
古いブロードバンドルータだとSRVレコードを扱えないことがあるかもしれないですね。あくまで、かもしれないです。
ユーザのPCでSRVレコードの問い合わせが出来ているかどうか確かめるほうがいいかも。
そもそも、そのアプリはOSのリゾルバを使っているんでしょうか?
原因を切り分けるには、これらも考えてみてはどうですか。

215名無しさん@お腹いっぱい。2015/06/03(水) 22:53:43.15
>>214
レスありがとうございます。
ユーザとは主にメール等でしかやり取りできないので、知人や友人に似たような症状が出るか試してもらおうと思います。
該当のアプリがOSのリゾルバを使用しているのかも確認してみます。

216名無しさん@お腹いっぱい。2015/06/03(水) 23:22:07.22
接続できないユーザが使ってるIPアドレスに共通項があるようなら、アクセスブロックとか経路とか疑うかな。
同じISPでもIPv4の枯渇からこっち、様々な経路をもつIPアドレスをユーザに払い出したりしてるし。

217名無しさん@お腹いっぱい。2015/06/04(木) 00:21:46.98
>>211の問題に該当しているかはわからないけど、
古いファイアウォールやルータ(に内蔵されてるDNSフォワーダー)は、
SRVレコードのクエリをドロップするやつがいる。

特に、古いdnsmasqはSRVクエリをドロップする設定(filterwin2k)が
デフォルトになっていた時期があり、このdnsmasqをDNSフォワーダとして使っている
古い家庭用ブロードバンドルータがSRVレコードを落とすことがわかっている

218名無しさん@お腹いっぱい。2015/06/04(木) 10:30:09.81
>>217
ブロードバンドルータの DNS キャッシュサーバでは SRV を扱えない製品が存在するかも。
→これは納得できないけど理解できる

ブロードバンドルータの DNS フォワーダでは SRV をドロップする製品が存在する。
→え、マジ!? ブロードバンドルータ怖い…… (さすがに最近の製品には無いと思うけど)

219名無しさん@お腹いっぱい。2015/06/04(木) 11:17:52.19
>>217
マジか
たとえばどの機種?

220名無しさん@お腹いっぱい。2015/06/04(木) 18:00:17.97
>>217
ルータやPCを交換したら接続できなくなったユーザも居ました…。
古いdnsmasqがSRVクエリをドロップするというのはとても興味深い情報です。
調べてみようと思います。

2212172015/06/04(木) 23:04:33.74
海外に居た時に使ってたBelkinのルータがSRVクエリをドロップしてた。
検索したらNetgearにもそういうのがあるみたい。そんなに古い話ではないようだ
http://www.willglynn.com/2013/11/01/comcast-netgear-routers-eat-srv-records/

国産のはよくわからない。今日本で使ってるAtermは大丈夫っぽいが……

222名無しさん@お腹いっぱい。2015/06/16(火) 19:24:47.81
質問です。
unboundのforward-addrにISPなどの複数のDNSサーバを列記した場合、全てにクエリを送って早く返ってきたものを採用するようですが、
一つ試して返答がなければ次のサーバというように設定できないでしょうか。

よろしくお願いいたします。

223名無しさん@お腹いっぱい。2015/06/17(水) 13:17:12.36
上記の方とは別の質問です。教えて偉い人!
とある権威サーバに dig で問い合わせたら、ADDITIONAL SECTION に同一ラベル名の
A レコードが複数返ってきました。これって合法なんでしょうか?

$ dig @dns0.heteml.jp example.co.jp ns +norec

; <<>> DiG 9.9.7 <<>> @dns0.heteml.jp example.co.jp ns +norec
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 227
;; flags: qr aa; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 3

;; QUESTION SECTION:
;example.co.jp. IN NS

;; ANSWER SECTION:
example.co.jp. 259200 IN NS dns0.heteml.jp.
example.co.jp. 259200 IN NS dns1.heteml.jp.

;; ADDITIONAL SECTION:
dns0.heteml.jp. 86400 IN A 210.188.214.228
dns1.heteml.jp. 86400 IN A 210.188.214.229
dns1.heteml.jp. 259200 IN A 210.188.214.229

;; Query time: 19 msec
;; SERVER: 210.188.214.228#53(210.188.214.228)
;; WHEN: 水 6月 17 09:22:03 JST 2015
;; MSG SIZE rcvd: 129

224名無しさん@お腹いっぱい。2015/06/17(水) 13:25:16.48
上記の方とは別の者です。

そういうネタはいいです

225名無しさん@お腹いっぱい。2015/06/17(水) 18:44:28.45
ん? ネタじゃなくて本当にそういう応答が返ってくるね。
だけど偉い人じゃないんで合法かどうかは分からん。すまん。
どういう設定をするとこうなるのか、という点には興味あるな。

226名無しさん@お腹いっぱい。2015/06/18(木) 03:37:35.37
少なくとも言えるのは、いくつかの特徴から
dns0.heteml.jp はBIND9でもNSDでもNominumでも
無いってことですな。権威サーバは実装が簡単な分、
種類が多くて間違った実装が多いから、
こういう怪しい動きをするサーバがいてもあまり驚くことではない

重複する{owner,class,type,rdata}の組は
DNSプロトコルとしては違法だが、これを
拒否するリゾルバはたぶん無いんじゃないかな

227名無しさん@お腹いっぱい。2015/06/18(木) 03:49:33.30
>>222
> 複数のDNSサーバを列記した場合、全てにクエリを送って
> 早く返ってきたものを採用するようですが

全てにクエリを送るではなく、
「基本はランダムに送信するが、ある一定のRTTより
 長いやつや応答しないやつは避ける」
といったほうが正しい

> 一つ試して返答がなければ次のサーバ

Unboundの設定だけでは出来ないんだけど、
なぜそうしたいんだろう
基本的にはISPのDNSサーバ使いたいが、
ISPのDNSが障害になったら8.8.8.8に
切替えたいとかそういうことかな

228名無しさん@お腹いっぱい。2015/06/18(木) 14:37:20.07
>>227 dnsmasqだとstrict-orderという設定で一つがだめならもう一つを試すってやりかたで、
パケット量を減らせるんですよね。
unboundがいいのは、min-ttlを設定できるところです。

ランダムで送るのならこのまま使います。
パケット量を減らしたかったのでした。
ありがとうございました。

229名無しさん@お腹いっぱい。2015/06/18(木) 14:39:38.92
>>227 最後の2行の目的もありました。

230名無しさん@お腹いっぱい。2015/06/19(金) 11:33:21.55
>>226
偉い人ステキ!

それはともかく、権威サーバってそんなにいろいろあるんですか。
拒否するリゾルバが存在したら、こういう権威サーバが修正される助けになるのに……
無駄に厳密な解釈をするリゾルバが存在していたら、チェック用途としても面白いかもですね。

231名無しさん@お腹いっぱい。2015/06/19(金) 22:41:35.60
>>230
GSLBとかへんてこなFWで設定ミスったり仕様が腐ってたりして
おかしなことが起こることもあるよ。

232名無しさん@お腹いっぱい。2015/07/08(水) 09:36:15.54
security fix キター(・∀・)

233名無しさん@お腹いっぱい。2015/07/08(水) 11:45:22.40
またDNSSEC関連かよ……こんなのがいつまで続くのはよくわからん状況では、
とてもじゃないけどユーザ向けにはDNSSEC検証を提供する気にならんなあ。

もしもユーザからの要望が高まるのなら多少のリスクは承知の上で提供することを
検証してやらんでもないが、そんな要望が来るとは到底思えないし。DNSSECは
どこに向かっていくんだろうね。

234名無しさん@お腹いっぱい。2015/07/08(水) 14:51:45.44
  ∩∩ ぼ く ら の 春 は こ れ か ら だ !  V∩
  (7ヌ)                              (/ /
 / /                 ∧_∧            ||
/ /  ∧_∧     ∧_∧  _(´∀` )   ∧_∧   ||
\ \( ´∀`)―--( ´∀` ) ̄      ⌒ヽ(´∀` ) //
  \       /⌒   ⌒ ̄ヽ、 Σ  /~⌒    ⌒ /
   |      |ー、      / ̄|    //`i DNSSEC/
    | IPv6 .| | OSI  / (ミ   ミ)  |    |
   |    | |     | /      \ |    |
   |    |  )    /   /\   \|       ヽ
   /   ノ | /  ヽ ヽ、_/)  (\    ) ゝ  |
   |  |  | /   /|   / レ   \`ー ' |  |  /

235名無しさん@お腹いっぱい。2015/07/09(木) 17:52:21.10
完全にあの世に旅立ってるヤツが混じってるぞw

236名無しさん@お腹いっぱい。2015/07/09(木) 21:19:19.41
ほんとな。
有効にするだけでCPUリソースを喰うし、脆弱性もまた発見されたし、生ける屍だな。

237名無しさん@お腹いっぱい。2015/07/09(木) 22:04:30.11
>>235
足がないね…幽霊?

238名無しさん@お腹いっぱい。2015/07/12(日) 01:04:28.01
国内のDNSサーバーが「有害サイトの遮断」という口実で
虚偽のレスポンス返しまくってる現状に何の危機感も持ってないの?

239名無しさん@お腹いっぱい。2015/07/19(日) 15:36:08.69
何の危機感を持てばいいの?

240名無しさん@お腹いっぱい。2015/07/19(日) 22:33:44.02
不都合なサイトを有害としてアクセスできなくする権力に対して

241名無しさん@お腹いっぱい。2015/07/29(水) 13:18:17.08
エグいのキタコレ

(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(2015年7月29日公開)
ttp://jprs.jp/tech/security/2015-07-29-bind9-vuln-tkey.html

全てのバージョンの権威サーバも対象で、かつワークアラウンドも無いとか。
マジ勘弁してくださいよ……

242名無しさん@お腹いっぱい。2015/08/02(日) 00:07:13.71

243名無しさん@お腹いっぱい。2015/08/02(日) 06:49:57.41
exploitはもう何種類か出回ってるね

244名無しさん@お腹いっぱい。2015/08/03(月) 06:29:54.94
あの、DNS初心者なのですが、ものすごく基本的な質問なのですが、
レンタルサーバー借りてグローバルなIPアドレス
 1.23.456.789 (例)
を取得しました。一方、ドメイン名を
 domain1.com (例)
 domain2.jp  (例)
 domain3.net (例)
みたいに複数のドメイン名を取得した場合、
DNSの設定をうまく行えばこの三つのドメインに対して上記の一つのIPアドレスで
三つのサイトを構築することは技術的には可能ですか?
いや、そんなことは原理的に出来ないとか、アドバイスお願いします。

245名無しさん@お腹いっぱい。2015/08/03(月) 08:07:36.02
>>244
できるかどうかは、レンタルサーバ業者に聞いてください

仕組みとしては、「aレコード 複数」とかnamevirtualhostとかsniでググってね

246名無しさん@お腹いっぱい。2015/08/03(月) 08:21:54.44
>>245
レスありがとうございました。
原理的というか技術的というか、可能なのですね。
もしDNSの仕様上、不可能だったら調べても無駄かと思ったのですが、
出来るのならやり方を調べてみます。
ちなみに専用のIISサーバーです。

247名無しさん@お腹いっぱい。2015/08/03(月) 09:43:01.40
だったらそもそも板違いでは

248名無しさん@お腹いっぱい。2015/08/03(月) 11:46:01.99
>>244
DNSにaレコードでもcnameでも同じipを登録する事は可能
web鯖でvhost使えば切り分け可能

後はその設定が許されてるかどうか
って事で板違いだ

249名無しさん@お腹いっぱい。2015/08/03(月) 11:49:32.63
>>248
そのサーバーは自分で管理してますからDNSサーバー機能を追加したらいいんですね?やってみます。

250名無しさん@お腹いっぱい。2015/10/01(木) 12:32:14.62
>>238
効率よくて大変よろしい

251名無しさん@お腹いっぱい。2015/10/31(土) 01:08:41.39
本当に脆弱だと思ってるんならドマイナーな国内のMLで管を巻いてないで、英語圏のコミュニティで問題提起すればいいと思うんだ。。。

252名無しさん@お腹いっぱい。2015/10/31(土) 09:03:37.93
なんであんなにガンスルーされてんの?

253名無しさん@お腹いっぱい。2015/10/31(土) 10:40:51.82
実際のところポイズニング被害ってどのくらい出てるもんなんすかね

254名無しさん@お腹いっぱい。2015/11/04(水) 22:14:39.98
>>251
英語圏のMLで話は出してて、
何人かはちゃんと興味を持って詳細の説明を求めたけど
謎めいたレスばかりしてて議論にならなかった。何やりたいんだろうねこの人
ttps://lists.dns-oarc.net/pipermail/dns-operations/2014-May/011633.html

255名無しさん@お腹いっぱい。2015/11/05(木) 09:38:38.69
いろいろと何となくそれっぽいイチャモンは付けるけど、はっきりしたことは言わない。
どこのジャンルにもいるよね、こういう人。面倒なだけだから誰も積極的には相手しないんじゃない?

256名無しさん@お腹いっぱい。2015/11/05(木) 09:40:32.68
ああ、間違ってあげてしまった。すまない。

P.S.
自社でのDNS運用をやめてGoogle Cloud DNSへの移行を検討しています。
卒業おめでとう、俺。

257名無しさん@お腹いっぱい。2015/11/05(木) 10:14:57.89
>>253
それ、先日参加した某セミナーで質問している人がいたな。某オレンジさんが回答してたけど、
やっぱり分かりやすい事例は無いみたい。脆弱性を理屈としては認識しているけど、事例とか
被害の状況とかが無いと人には説明しにくいよね。

258名無しさん@お腹いっぱい。2015/11/05(木) 23:26:55.88
DNSを教えると言って若者に呼びかけて泊まりがけで
自説を広める会までやってるみたいだ。ガン無視どころか
参加するやつがそれなりにいるらしいよ

259名無しさん@お腹いっぱい。2015/11/06(金) 01:08:40.37
>>257
例えるなら、暗号化強度が2bit分だけ弱まったブロック暗号みたいなもんかね。。。

260名無しさん@お腹いっぱい。2015/11/06(金) 11:39:43.63
>>259
例えを持ち出すと話の焦点がボケてしまいそうだけど、「危険だと言われつつも
何となく使い続けてしまっている」というのなら、SHA-1のSSL証明書あたりが
似たよう状況だと思う。あれ、実際に破られた事案てまだ無いよね?

261名無しさん@お腹いっぱい。2015/11/06(金) 13:32:16.11
あれは実害出る前にやめる流れになってきてるね

262名無しさん@お腹いっぱい。2015/11/07(土) 00:38:55.31
無限に試行すればいつかは必ず当たりが出るのが現代暗号の常なんだから、
定量的にこのぐらい確率が高まるって言わないと駄目か。

263名無しさん@お腹いっぱい。2015/11/07(土) 23:41:10.50
実害出てから移行しましょうじゃ遅いから
たとえば総当りの計算量よりはるかに少ない計算量で解読できるような方法が
発見された時点で以降を始めるんでしょうが

264名無しさん@お腹いっぱい。2015/11/08(日) 02:24:27.46
この人まだやってんのか。もうIETFやISCも、DNSSECだけじゃなくて、
少なくともブラインド攻撃によるパケットインジェクション
(移転インジェクションとかいうのも含む)
を防ぐプロトコル改良や実装の作業してる。周回遅れもいいところだ。

265名無しさん@お腹いっぱい。2015/11/08(日) 14:17:03.55
ニコ動やらかした?

266名無しさん@お腹いっぱい。2015/11/08(日) 15:38:30.49
>>265
何があった?

267名無しさん@お腹いっぱい。2015/11/27(金) 10:51:24.74
DNSの専門家の皆様、一つ教えて下さい。
現在、
A社でドメイン契約: example.com (例です、以下同じ)
B社でサーバー契約: 192.168.0.111
して
www.example.com/site1/
www.example.com/site2/
などのサイトを運営中です。
この状態で、
C社でサーバー契約: 192.168.0.222 (ホスト名 host.example.jp)マルチドメイン、サブドメイン可能
したので、
www.example.com/site1/
のみC社のサーバーに引っ越したいのです。

268名無しさん@お腹いっぱい。2015/11/27(金) 10:51:58.63
質問1
www.example.com/site1/*
でアクセスした場合に
host.example.jp/site1/*
が開くようにする設定はどこでやれば良いのでしょうか?
具体的なDNS設定のヒントをお教えください。
現状はA社の設定画面で
www.example.com A 192.168.0.111
などの設定をしているだけです。

質問2
うまく設定できたとして、
host.example.jp/site1/*
が開いた場合に、ブラウザーのアドレス表示の部分は、出来れば旧サイトの
www.example.com/site1/*
のまま表示させたいのですが、そういう事は可能でしょうか?
出来る場合、どこで設定するのでしょうか?

ご指導よろしくお願いします。

269名無しさん@お腹いっぱい。2015/11/27(金) 10:54:55.77
回答1
host.example.com A 192.168.0.111

回答2
301リダイレクト

270名無しさん@お腹いっぱい。2015/11/27(金) 11:08:35.88
>>268
DNS の話じゃなくね
1はApacheとかwebサーバ側の設定
2は無理

271名無しさん@お腹いっぱい。2015/11/27(金) 11:09:17.61
逆プロキシ使う手はあるか
まぁスレ違い

272名無しさん@お腹いっぱい。2015/11/27(金) 14:29:25.22
みんな嘘ばっかしだな。301やリバースプロキシだと?普通のプロキシで十分だよ。

273名無しさん@お腹いっぱい。2015/11/27(金) 14:42:52.47
Apacheならmod_rewriteでいいじゃん
DNS関係ないけどさ

274名無しさん@お腹いっぱい。2015/11/27(金) 14:47:37.54
>Apacheならmod_rewrite
旧サイトのurl表示出来るの?

275名無しさん@お腹いっぱい。2015/11/27(金) 14:49:40.33
旧サイトに仕掛けておくんでしょ

276名無しさん@お腹いっぱい。2015/11/27(金) 15:20:54.02
答えになってない

277名無しさん@お腹いっぱい。2015/11/27(金) 15:21:22.16
まぁなんにせよスレ違いだから適切なスレに移動してくれ

278名無しさん@お腹いっぱい。2015/11/27(金) 15:32:14.07
ドンスのすれっどあったのかぁ

279名無しさん@お腹いっぱい。2015/11/27(金) 16:06:36.78
www.example.com/site1/
の内、DNSが関係するのは www.example.com まで。
なので www.example.com/site1/とwww.example.com/site2/ は
DNSで区別はできない。
Webサーバで何とかしてください。

280名無しさん@お腹いっぱい。2015/11/27(金) 20:54:52.25
>>279
君が正解

281名無しさん@お腹いっぱい。2015/12/16(水) 10:38:33.37
fix 来ましたね。

282名無しさん@お腹いっぱい。2015/12/17(木) 01:09:11.78
これマジなの? KDDI 管轄下のキャッシュサーバが注入されたの?

RIBBON.TO TOPICS
ttp://ribbon.to/topic.html

2015/12/17
14日頃よりKDDI様管轄のDNSにてribbon.toドメイン関連が広告サイトに誘導される事象が発生しております。
DNSキャッシュポイズニングの対策は行っておりますが、同脆弱性による問題と認識しておりますので、
現在対策を検討しております。誠に申し訳ございません。

283名無しさん@お腹いっぱい。2015/12/17(木) 01:49:47.31
>>282
NSレコードをCNAMEで書くなァ!

284名無しさん@お腹いっぱい。2015/12/22(火) 00:36:28.30
対策って何だ?
to ドメインって DNSSEC 対応してたっけ?
自分管轄の権威サーバーならともかく
KDDIのキャッシュサーバーが汚染されないように(ドメイン所有者ができる)対策なんてあるの?

285名無しさん@お腹いっぱい。2015/12/22(火) 01:01:07.43
今は設定が直っててほとんど痕跡残ってないけど、
ribbon.to側の設定誤りが原因だよ。KDDIのキャッシュは、
権威サーバ側の設定の通りキャッシュして、その影響がまだ残ってるだけ。

ribbon.toのNSのうち、1つのドメインが放棄されたが、
別の業者に取られて広告サイトにリダイレクトされてたみたい。
こういう広告サイトは意図的にAレコードのTTLを長くしているから
消えるまで時間かかるだろうね

キャッシュサーバ側の対策はcache-max-ttl を小さくする
くらいかなぁ。長いTTLのRRSetを拾っても影響時間を短くできる。
BIND9のデフォルトの7日間は長すぎると思う。

権威サーバ側は、NSレコードのドメイン名は極力 in-bailiwickな
NSで構成するか、自分のコントロールの及ぶ範囲のドメイン名だけに
することだ。

286名無しさん@お腹いっぱい。2015/12/22(火) 08:29:43.11
濡れ衣か

287名無しさん@お腹いっぱい。2015/12/22(火) 10:17:13.23
>>285
ありがとう! (実験目的以外の状況で) ポイズニングに成功したという話が俄には
信じ難かったので、そういう話を聞きたかったんだ。

権威サーバ側の設定ミス (or 運用ミス) は良く聞く話だけど、なんで KDDI が
名指しで指摘されているんだろう。もしかして、その放棄された NS が KDDI で
ホスティングされていたからとか? だとしたら、とばっちりもいいところですね。酷い話だ。

288名無しさん@お腹いっぱい。2015/12/22(火) 16:18:51.61
>DNSキャッシュポイズニングの対策は行っておりますが、同脆弱性による問題と認識しておりますので、

それじゃぁこの1行は嘘?
これ読んだら普通はKDDIのBINDの脆弱性を突いたかDNS仕様の16ビットしかないカウンタ問題を
突いてKDDIのキャッシュサーバーへの攻撃に成功したように取るぞ

289名無しさん@お腹いっぱい。2015/12/22(火) 16:36:34.07
仮にribbon.to側の運用ミスだというのが本当の話だとしたら、KDDIへの風評被害だよね。
KDDIの中の人はブチ切れていいと思う。もし俺だったら激怒してribbon.toにクレーム入れるよ。

#もしや、キャッシュポイズニングという言葉が本来とは異なる意味で使われ始めてしまうのか?

290名無しさん@お腹いっぱい。2015/12/22(火) 23:50:34.17
たまたま大きなISPのKDDIのキャッシュが拾ってしまって被害が
目立ってるだけかもしれない。他のISPでも発生しているのかもしれない

KDDIはキャッシュクリアして cache-max-ttl を小さくすることだな
感覚的には3600&#12316;10800くらいが適正値かと

291名無しさん@お腹いっぱい。2015/12/23(水) 11:19:37.94
>>290
>たまたま大きなISPのKDDIのキャッシュが拾ってしまって被害が
>目立ってるだけかもしれない。他のISPでも発生しているのかもしれない

設定や運用をしくじった権威サーバのコンテンツが各所のキャッシュサーバに
キャッシュされてしまったという事例なら、そりゃ今までにもあちこちで発生して
いるだろうよ。それはわかる。だけどさ、こういう事例のことを「キャッシュポイズ
ニング」とは呼ばないだろって話なんじゃないの。

>KDDIはキャッシュクリアして cache-max-ttl を小さくすることだな

権威サーバ側でしくじったのが原因なら、KDDI側はそこまで対応する義理は
無いよね。

>感覚的には3600?10800くらいが適正値かと

それはKDDIじゃなくて権威サーバ側に言えよ。

292名無しさん@お腹いっぱい。2015/12/25(金) 18:13:18.24
>>290
3600って・・・DNSサーバの負荷なめんなよ

293名無しさん@お腹いっぱい。2015/12/26(土) 21:08:40.97
>>285 本来の意味での毒入れだと、TTL短くするとキャッシュがしょっちゅう
クエリをかけるようになるから、かえって毒入れの危険性は増すのでは?
ttp://jprs.jp/tech/material/iw2006-DNS-DAY-minda-04.pdf

294名無しさん@お腹いっぱい。2015/12/28(月) 02:38:44.37
dig axfr をしたら、SOAレコードが2つ表示されるんですけどなぜでしょうか?

検索するとどこも、最初と最後に同じSOAレコードが
2つ表示されているようです。

295名無しさん@お腹いっぱい。2015/12/28(月) 06:33:42.13
>>294
AXFRとはそういうものだから

RFC 5936 2.2. AXFR Response

.... the first message MUST begin with the
SOA resource record of the zone, and the last message MUST conclude
with the same SOA resource record. Intermediate messages MUST NOT
contain the SOA resource record.

296名無しさん@お腹いっぱい。2016/01/24(日) 11:56:25.46
またパッチかよ。余計な仕事増やさないでくれよ(´・ω・`)

297名無しさん@お腹いっぱい。2016/02/08(月) 20:41:03.56
BINDからPowerDNSにしようと思って検証しているんだけど、ちょっと理解できない
動きをするので教えて下さい。

CentOS6に、EPELからPowerDNS 3.3.3をインストール。
バックエンドは、mysqlを使用。
同時に、PowerAdmin 2.1.7をセットアップ。

BINDのゾーンをzone2sqlで変換しインポート。

@・・・a-a.hoge.com

PowerAdminでAレコード登録(AとB)

A・・・a-b.hoge.com
B・・・ab.hoge.com

@は、問題なく名前解決できるのですが、AはNXDOMAINが返ってきて
名前解決ができません。Aの後に、Bをすぐ登録したらBは名前解決が出来ました。

PowerAdminの問題な気もしますが、ハイフン入りのホスト名を登録するのに
何か注意点があるのでしょうか?

298名無しさん@お腹いっぱい。2016/02/09(火) 17:40:32.79
バックエンドが mysql なら直でSQL叩いてDB調べてみれば?
それもしないで想像だけで丸投げすんなks

299名無しさん@お腹いっぱい。2016/03/10(木) 12:09:36.15
重複をお許しくださいキター
今回のは結構レベル高いやつだな、これ。とほほ……

■(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-1285)
- フルリゾルバー(キャッシュDNSサーバー)/権威DNSサーバーの双方が対象、バージョンアップを強く推奨 -
<https://jprs.jp/tech/security/2016-03-10-bind9-vuln-controlchannel.html>

■(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-1286)
- DNSSEC検証を実施していない場合も対象、バージョンアップを強く推奨 -
<https://jprs.jp/tech/security/2016-03-10-bind9-vuln-rrsig.html>

■BIND 9.10.xの脆弱性(DNSサービスの停止)について(CVE-2016-2088)
- DNS cookie機能を有効にしている場合のみ対象、バージョンアップを強く推奨 -
<https://jprs.jp/tech/security/2016-03-10-bind9-vuln-dnscookie.html>

300名無しさん@お腹いっぱい。2016/03/10(木) 17:24:31.55
PowerDNS recursorで教えて下さい。

forward-zones-recurse=.=IPSのDNS
上記設定をし、digをすると、キャッシュをしないのか応答時間が常に10msecを超えます。

forward-zones-recurse=.=ローカルの権威サーバ(BINDやPowerDNS)
この設定の場合は、digをすると1回目は時間がかかりますが、それ以降はキャッシュされ
0msecで返ってきます。

これは、相手がキャッシュサーバなのでこちらはキャッシュしないという事なのでしょうか?
ローカルの権威サーバを外部通信させたくないので、recursorでキャッシュさせたいのですが
なにか手はありますでしょうか?

301名無しさん@お腹いっぱい。2016/04/09(土) 16:59:00.23
IPv6をdisableしてみるといかがでしょうか?

302名無しさん@お腹いっぱい。2016/08/17(水) 14:36:09.77
unboundで問い合わせが失敗したら次のサーバに順送りで問い合わせというようにできますでしょうか。

303名無しさん@お腹いっぱい。2016/08/17(水) 15:05:46.24
>>302 unboundでは複数のサーバへの問い合わせは均等に割り振ってるみたいなのでまぁいいです。
失礼しました。

304名無しさん@お腹いっぱい。2016/09/14(水) 04:12:58.41
自前でDNSサーバー持つ時って世界中の編み付けされた全IP取得するんですか?

305名無しさん@お腹いっぱい。2016/09/14(水) 10:19:23.50
>>304
必要な分だけ

306名無しさん@お腹いっぱい。2016/09/27(火) 21:16:57.24
Unbound 1.5.10

307名無しさん@お腹いっぱい。2016/11/02(水) 12:55:42.98
このスレ、以前よりも過疎ってるね? 10月のBIND祭りの時も何も書き込まれなかったし……
というわけで新ネタが来てるよ! 今回は権威サーバは対象じゃないので、中ボスくらいな印象。

(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-8864)
ttps://jprs.jp/tech/security/2016-11-02-bind9-vuln-dname.html

308名無しさん@お腹いっぱい。2016/11/02(水) 14:43:29.70
普段は unbound だけど、
今日は一日 BIND 9.10.4-P4 三昧でいきますw

309名無しさん@お腹いっぱい。2016/11/02(水) 17:21:51.12
ウチはキャッシュサーバを全てunboundに切り替えたところ、想像以上に平穏な日々を満喫しております。
「重複をお許しください」のメッセージを見ても身構えなくなりましたw

310名無しさん@お腹いっぱい。2016/11/02(水) 18:26:24.34
うちも次からはunboundにしよう・・・

311名無しさん@お腹いっぱい。2016/11/03(木) 11:58:39.86
>>307
またかよ
うんざり

312名無しさん@お腹いっぱい。2016/11/06(日) 13:39:49.78
BINDが糞なのはわかってるけど(コードも開発体制も)
同じIPアドレス・ポートで recursive と authoritative こなせるDNS鯖って他にある?
unbound も PowerDNSも recursive と auth は別アドレスで運転するよね。
それがbest practiceなのはわかってるけどさ

313名無しさん@お腹いっぱい。2016/11/06(日) 19:13:55.04
>>312
PowerDNSはRecursiveサーバーにリクエストをブリッジできるので、ひとつのポート、アドレスで両方こなせる

314名無しさん@お腹いっぱい。2016/11/10(木) 14:25:49.00
RFC8020きてんね

315名無しさん@お腹いっぱい。2016/11/25(金) 10:37:06.05
「OracleがDNSサーバー管理代行サービスなどを手がける米Dynを買収(中略)
今年10月にはDynが大規模な攻撃を受け」

OracleがDynを買収 | スラド IT
https://it.srad.jp/story/16/11/24/0641237/
2016年11月24日 17時17分

316名無しさん@お腹いっぱい。2016/11/30(水) 16:49:38.22
Dynは運営方針変えてから誰も相手にしなくなった

317名無しさん@お腹いっぱい。2016/12/01(木) 04:56:49.44
>>316
昔のダイナミックDNSの話?

318名無しさん@お腹いっぱい。2016/12/01(木) 09:17:59.76
>>317
今ないの?

319名無しさん@お腹いっぱい。2017/01/12(木) 12:35:49.42
重複をお許しください。

(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-9131)
https://jprs.jp/tech/security/2017-01-12-bind9-vuln-malformed-any.html

久し振りに来よったで。と思ったら権威サーバへの影響は限定的みたいなんで、それほどでもないかな。

320名無しさん@お腹いっぱい。2017/01/12(木) 18:40:26.21
自分が利用しているサービス周辺で幾つか障害が発生したみたい。今回の脆弱性が関係してるのかなあ?
# いずれにせよ、お疲れ様です>中の人

メンテナンス・障害情報・機能追加|さくらインターネット公式サポートサイト
http://support.sakura.ad.jp/mainte/mainteentry.php?id=20971

Uptime Robot on Twitter: "The server provider we're using is currently experiencing a DNS-based issue & site is not reachable for some users. Will be updating back."
https://twitter.com/uptimerobot/status/819475124118241280 👀
Rock54: Caution(BBR-MD5:0dc23c366b23c59a9fe320a62dd69b5a)

321名無しさん@お腹いっぱい。2017/02/09(木) 07:46:50.88
BIND update

322名無しさん@お腹いっぱい。2017/03/15(水) 05:36:28.98
社員向け公開サーバをサブドメインとしてDNSに登録する意味あるのかな
モバイルアクセスするのにドメインのが設定はしやすいけど、
DNS情報は参照されちゃうからいかにもなDNS名つけると
無駄なリスク背負うことになるよね

323名無しさん@お腹いっぱい。2017/03/15(水) 20:24:29.79
リスクはたいして変わらないんじゃね
DNS名なくてもIPアドレスなめて攻撃は来るよ

324名無しさん@お腹いっぱい。2017/03/16(木) 14:58:37.16
いかにもな名前というと www とか、blogとか、owncloudとか?
そういうんじゃなくて、普通の単語(nightsplitterとか)なら気にするほどリスクは高くないと思う。
通常、zone転送は不許可になってるだろうし。

325名無しさん@お腹いっぱい。2017/03/16(木) 19:26:31.00
ADをインターネット上に展開できますか?

326名無しさん@お腹いっぱい。2017/03/16(木) 20:00:29.98
Azure ADのことか?

327名無しさん@お腹いっぱい。2017/03/16(木) 21:07:06.34
AD アシスタントディレクター

328名無しさん@お腹いっぱい。2017/03/16(木) 21:17:25.57
ad.jp ドメインのことかな?

329名無しさん@お腹いっぱい。2017/03/16(木) 21:18:38.66
広告ならGoogleに聞いて。

330名無しさん@お腹いっぱい。2017/03/16(木) 21:25:44.27
「DNSに登録するとリスクが増える」ってより
「DNSに登録しなくてもリスクは減らない」と考えるべき
そんなことで安心してないでまじめにセキュリティ対策とっとけ

331名無しさん@お腹いっぱい。2017/03/16(木) 21:33:30.03
Active Directory ?

332名無しさん@お腹いっぱい。2017/03/17(金) 06:02:57.31
ActiveDirectoryでDNS使うことも知らない人ばかりなのか

333名無しさん@お腹いっぱい。2017/03/17(金) 08:00:19.30
なぜ知らないと思った?

334名無しさん@お腹いっぱい。2017/03/17(金) 13:40:28.33
ADだと2017か。

335名無しさん@お腹いっぱい。2017/03/17(金) 19:49:51.28
>>324
privateとかshareとかfileserverとかsecretとか役員共有とか

336名無しさん@お腹いっぱい。2017/03/18(土) 00:45:18.94
あ、それを逆引き登録したらさすがにアホよ。

337名無しさん@お腹いっぱい。2017/03/18(土) 01:09:28.87
なんで?

338名無しさん@お腹いっぱい。2017/04/13(木) 12:28:11.88
ジェットストリームアタック (違
緊急レベルのやつの再現条件が今一つ分からないんだけど、これは簡単に再現できるから、あえてハッキリ記載していないってことかな?

(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3137)
https://jprs.jp/tech/security/2017-04-13-bind9-vuln-cname-dname.html

BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3136)
https://jprs.jp/tech/security/2017-04-13-bind9-vuln-dns64.html

BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3138)
https://jprs.jp/tech/security/2017-04-13-bind9-vuln-control-channel.html

339名無しさん@お腹いっぱい。2017/04/17(月) 19:06:23.15
はよrpm出せよ赤帽

340名無しさん@お腹いっぱい。2017/04/20(木) 10:34:57.68
9.10.5 試用中

341名無しさん@お腹いっぱい。2017/06/15(木) 12:39:10.63
9.10.5P1 試用中

342名無しさん@お腹いっぱい。2017/06/20(火) 20:41:43.12
Unbound 1.6.4rc1

343名無しさん@お腹いっぱい。2017/06/27(火) 20:02:16.38
Unbound 1.6.4

344名無しさん@お腹いっぱい。2017/06/30(金) 06:56:18.96
9.10.5P2 試用中

345名無しさん@お腹いっぱい。2017/07/15(土) 10:33:37.69
9.10.6rc1 試用中

346名無しさん@お腹いっぱい。2017/07/24(月) 01:51:05.57
KSK更新て
managed-keysで運用してれば
特に何もしなくていいのかな

347名無しさん@お腹いっぱい。2017/07/26(水) 00:34:36.30
dig +bufsize=4096 +short rs.dns-oarc.net txt
でチェックできるのは、特定の経路だけと考えてよいのですか?
DNSSEC無効にしないと酷い目にあいそう。

348名無しさん@お腹いっぱい。2017/07/29(土) 00:23:22.59
ネットが使えなくなるらしいですがほんとですか?

349名無しさん@お腹いっぱい。2017/07/29(土) 01:11:58.45
>>348
何の話?

350名無しさん@お腹いっぱい。2017/07/29(土) 02:09:35.67
>>348
釘バットの角に頭をぶつけて逝ってよし!

351名無しさん@お腹いっぱい。2017/07/29(土) 08:07:21.81
ttp://www.asahi.com/sp/articles/ASK7P5FYBK7PULFA011.html

352名無しさん@お腹いっぱい。2017/07/30(日) 12:58:48.28
このデマのせいでSIerはどれだけ儲けたんだろう。
JPRSの某山師は雹が頭に落ちてきて死んで欲しい。

353名無しさん@お腹いっぱい。2017/07/30(日) 16:30:48.21
たいへんだ!
うちのかいしゃもねっとがつかえなくなっちゃうぞ!

354名無しさん@お腹いっぱい。2017/08/21(月) 19:34:57.56
Unbound 1.6.5

355名無しさん@お腹いっぱい。2017/09/18(月) 11:52:44.24
2017年9月19日にネットが使えなる件
ここで自分が大丈夫かあらかじめ確認できるとのこと
http://keysizetest.verisignlabs.com/
うちは大丈夫だった
詳細はここ
http://internet.watch.impress.co.jp/docs/special/1066659.html

356名無しさん@お腹いっぱい。2017/09/18(月) 14:41:25.59
インタビュー&トーク - DNS運用者は10月11日に備えよう:ITpro
itpro.nikkeibp.co.jp/atcl/interview/14/262522/091300346/

ルートゾーンKSKのロールオーバー - ICANN
www.icann.org/resources/pages/ksk-rollover-2017-05-31-ja

357名無しさん@お腹いっぱい。2017/09/30(土) 12:18:45.30
KSK Rollover Postponed - ICANN
www.icann.org/news/announcement-2017-09-27-en

358名無しさん@お腹いっぱい。2017/10/01(日) 12:57:16.31
KSKが減速した

359名無しさん@お腹いっぱい。2017/10/01(日) 20:07:01.83
gnsk

360名無しさん@お腹いっぱい。2017/10/01(日) 23:12:22.24
♪K〜S〜K〜

361名無しさん@お腹いっぱい。2017/12/20(水) 15:32:11.82
やるやる詐欺w

ICANNがルートゾーンKSKロールオーバーに関するアップデートを公開(2017年12月20日)
https://jprs.jp/tech/notice/2017-12-20-rootzonekskrollover-update.html

362名無しさん@お腹いっぱい。2017/12/21(木) 06:54:07.49
多少強引でもやっちまえばいいのにな

363名無しさん@お腹いっぱい。2017/12/29(金) 06:47:21.06
誰でも簡単にパソコン1台で稼げる方法など
参考までに、
⇒ 『宮本のゴウリエセレレ』 というブログで見ることができるらしいです。

グーグル検索⇒『宮本のゴウリエセレレ』

19MH67R8CT

364名無しさん@お腹いっぱい。2018/01/17(水) 12:25:46.66
あけおめ!w

(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3145)
https://jprs.jp/tech/security/2018-01-17-bind9-vuln-improperly-sequencing-cleanup.html

365名無しさん@お腹いっぱい。2018/01/17(水) 18:35:51.02
DJB「アハハハハハハハハハ!!!」

366名無しさん@お腹いっぱい。2018/01/20(土) 12:10:57.08
djbdnsってDNSSEC対応してたっけ?

367名無しさん@お腹いっぱい。2018/01/20(土) 15:48:22.68
島本町民以外の皆さん
大阪府三島郡島本町では
「いじめはいじめられた本人が悪い」ということですよ

368名無しさん@お腹いっぱい。2018/02/14(水) 09:45:41.91
☆ 日本の、改憲をしましょう。現在、衆議員と参議院の両院で、
改憲議員が3分の2を超えております。『憲法改正国民投票法』、
でググってみてください。国会の発議はすでに可能です。
平和は勝ち取るものです。お願い致します。☆☆

369名無しさん@お腹いっぱい。2018/04/02(月) 15:35:19.46
CloudFlare、新DNSサービス「1.1.1.1」を提供開始
https://japanese.engadget.com/2018/04/02/cloudflare-dns-1-1-1-1/

370名無しさん@お腹いっぱい。2018/04/02(月) 18:17:02.37
別にいいけど、もう少しマシなサイトの URL を貼ってもバチは当たらないんじゃなかろうか。

IPアドレスを保存しない高速パブリックDNSサービス「1.1.1.1」、APNICとCloudflareが無料提供 - INTERNET Watch
https://internet.watch.impress.co.jp/docs/news/1114805.html

ちなみに公式のアナウンスはこちら。

Announcing 1.1.1.1: the fastest, privacy-first consumer DNS service
https://blog.cloudflare.com/announcing-1111/

とある方のご意見。whois では未だに APNIC となっているのは、俺もキモいと思った。

どさにっき - 2018年3月30日(金) - ■ 1.1.1.1
http://ya.maya.st/d/201803c.html#s20180330_1

どさにっき - 2018年4月1日(日) - ■ 1.1.1.1 つづき
http://ya.maya.st/d/201804a.html#s20180401_1

371名無しさん@お腹いっぱい。2018/05/22(火) 02:48:07.85
知り合いから教えてもらったパソコン一台でお金持ちになれるやり方
時間がある方はみてもいいかもしれません
グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』

6EZEN

372名無しさん@お腹いっぱい。2018/09/30(日) 09:03:41.90

373名無しさん@お腹いっぱい。2018/10/01(月) 16:01:49.25
ksk

374名無しさん@お腹いっぱい。2018/10/05(金) 20:28:15.57
Unboundって、ルートネームサーバーとかバイナリに含まれてるんだよな
なんで設定ファイル無しで動くのか疑問だったが、バイナリに含まれてるとは想定外

375名無しさん@お腹いっぱい。2018/10/06(土) 12:41:49.49
【3日、茅ヶ崎市長、死亡、57歳】 サリンまいた奴が死刑なら、放射能まいてる奴も死刑にするべきだ
http://rosie.5ch.net/test/read.cgi/liveplus/1538706566/l50

376名無しさん@お腹いっぱい。2018/10/10(水) 09:10:45.92
2018年9月16日に開催されたICANN理事会において、KSKロールオーバーの最終的な実施可否について審議が行われ、 予定通り2018年10月11日の実施が決定しました。
協定世界時(UTC)では10月11日の午後4時、日本時間では10月12日の午前1時にロールオーバーが実施されます。
https://www.nic.ad.jp/ja/dns/ksk-rollover/

377名無しさん@お腹いっぱい。2018/10/12(金) 01:22:06.36
ksk関連ここですか

378名無しさん@お腹いっぱい。2018/10/12(金) 15:21:22.95
>>377
俺の周囲では何も起きてなかったけど、少しトラブっていたところもあるみたいだね。

Status of the KSK Rollover - ICANN
https://www.icann.org/ksk-rollover-status

> 2200 UTC, 11 October: In the first six hours after the rollover, there were a few reports of problems that were mostly fixed quickly.

新着レスの表示
レスを投稿する