X
【DNS】Name Server 総合スレ Part2
0002名無しさん@お腹いっぱい。
垢版 |
2014/02/17(月) 00:06:56.25
■関連スレ
djb(4)
http://toro.2ch.net/test/read.cgi/unix/1148064021/
NSD - Name Server Daemon
http://toro.2ch.net/test/read.cgi/unix/1092799781/
▲DHCPスレ
http://toro.2ch.net/test/read.cgi/unix/997686566/
【DNS】DNS (Domain Name System) 総合 Part02
http://pc11.2ch.net/test/read.cgi/network/1264403707/ (dat落)
【設定面倒】BIND 総合スレッド【DNS】
http://engawa.2ch.net/test/read.cgi/mysv/1258628558/
0003名無しさん@お腹いっぱい。
垢版 |
2014/02/17(月) 00:07:55.31
■主なオープンソース
BIND ttp://www.isc.org/software/bind
djbdns ttp://cr.yp.to/djbdns.html
NSD ttp://www.nlnetlabs.nl/projects/nsd/
Unbound ttp://unbound.net/
PowerDNS ttp://www.powerdns.com/

■規格
RFC1034 ttp://www.ietf.org/rfc/rfc1034.txt
RFC1035 ttp://www.ietf.org/rfc/rfc1035.txt

■アプライアンス
Nominum ttp://www.nominum.com/
Infoblox ttp://www.infoblox.jp/

■ついでに
ISC DHCP ttp://www.isc.org/sw/dhcp
Solarisのシステム管理
 (DNS、NIS、LDAP 編) http://docs.oracle.com/cd/E19683-01/817-4911/
 (FNS、NIS+ 編) http://docs.oracle.com/cd/E19683-01/816-6236/

Windows Server のDNSは省略だよもん
0004名無しさん@お腹いっぱい。
垢版 |
2014/02/21(金) 09:52:29.98
                        |:::ハ:.:.:.:.:.:i:.:.:i.:.:i./.:.://メノ  左ォ}::::ノ::ノノ
                    |::::i:::';::::::::l、::i:::ハ:/,ィチ爪'    {ヒチ'!::イイ
                      |ハ::::::ヾ::::ハ 'Vリ ゙´ {、込ソ    ゛″!:::i:.:l
                        |:.::ト、:.:.:ヾ:.ハーi|   ::::::::      〉 ノ::::i::.|
                    {:.:.ト、ヾ.:.:.:ヾハ lト、        _, , イ:.:.:.:i.:ハ
                     ヾ::ヽゞ、\.::.\!! ヽ、.   ´ /!.::!.:.i:.:!:.!:l    >>1乙ぱい
                 , '" ヾ\ \:::::::::k   /` ー ' `メ'リ:.:.ノ.ノ:ノノ
                     /     川   リllVハ. (  i `\ ,イイ// //
                /              |l ̄`ヽ  ノ    `メ、
               ,/            {:}          `ー'- ニ_
             ,/         _∠     |l     \ ,      \
        /        _ ,. イ´:       |l      \      ,λ
       /   -‐‐‐-<´   .!   /    |l       ' ,   _,ィ'ンy}
        〈            \  .ノ`ー斗rェ,,_,_,_|l          ,.ir'彡イy-´ !
        `ヽ、        ` ' <._ {jt=t-t-ミ`^Yーrヘr-彡'水k} !:} .ノ
            ` ー-  .._       ` -ヽ.  l`亠^{:i ̄ {:リ |ハ ノノ/ノ
        _,. -‐ '  ̄ ´ ̄` ー- 、    \{{   {:l   {:i ノ_,ィニ_ン´
      //                  `ヽ 、\ \  {:l  {∠ニァ--'
     / /                 `ヽミニ>ァ┴ '´
   /\V|                          /
  ./   ヾ.、                  ,. ' ´
0009 忍法帖【Lv=40,xxxPT】(1+0:8)
垢版 |
2014/04/15(火) 19:55:03.62
キャッシュポイズニングの開いたパンドラの箱
ttp://www.e-ontap.com/dns/endofdns.html

キャッシュポイズニングの開いたパンドラの箱 -2-
ttp://www.e-ontap.com/dns/endofdns2.html
0011名無しさん@お腹いっぱい。
垢版 |
2014/04/15(火) 22:57:22.65
DNSSECしてますか?
先ごろプロバイダにDNSのセカンダリーを依頼したんですが
プロバイダのDNSがDNSSECしてませんでした。orz
0013名無しさん@お腹いっぱい。
垢版 |
2014/04/16(水) 19:26:38.97
DSレコード登録させてくれたらそれでいいのにな
でも利用者が少ないのは確実だから改修したくないんだろうね
0017名無しさん@お腹いっぱい。
垢版 |
2014/04/17(木) 14:01:21.07
自分のドメイン example.jp があって、プロバイダのドメインが example.com とします。
自前のDNS(dns1.example.jp)のIPアドレスは a.b.c.d、プロバイダのDNS(dns1.example.com)のIPアドレスは w.x.y.zとします。
プロバイダのDNSにセカンダリーを依頼しています。

example.jp NS dns1.example.jp
example.jp NS dns1.example.com
dns1.example.jp A a.b.c.d

としているあるのですが、これを

example.jp NS dns1.example.jp
example.jp NS dns2.example.jp
dns1.example.jp A a.b.c.d
dns2.example.jp A w.x.y.z

とするのは宜しくない設定でしょうか。
w.x.y.z は変更される場合は置いといて。
0018名無しさん@お腹いっぱい。
垢版 |
2014/04/17(木) 14:17:27.36
なぜ宜しくないかもしれないと思ったのか教えてください。
うーむ・・・どの部分がひっかかっているのでしょう? w.x.y.z の逆引きが dns2.example.jp
ではない、とかじゃないですよね?
001917
垢版 |
2014/04/17(木) 14:28:51.54
何かと問われると、自分では気が付いていない宜しくないことがあるのかもしれないという不安です。
002117
垢版 |
2014/04/17(木) 14:52:32.34
プロバイダのDNSはDNSSECしてないので
dns1.example.com A w.x.y.z
は署名がありません。

dns2.example.jp A w.x.y.z
にすれば、自分のドメインなので署名できます。
0022名無しさん@お腹いっぱい。
垢版 |
2014/04/17(木) 15:31:25.09
内部名にするのはいいことだ、と言われてる。
が、DNSホスティング業者がサーバのIPアドレスを変更したら名前解決できなくなる。
そしてたいていの場合、アドレス変更は予告なくおこなわれる。
アドレスは金輪際変えないよ、と明言してるのであればいいかもしれんけど。
0023名無しさん@お腹いっぱい。
垢版 |
2014/04/17(木) 16:26:46.76
セカンダリ引き受けサービスをして貰うくらいなら、
ゾーン転送許可用にサーバIPを連絡されているのでは?

それなら、IP変更前に連絡はくるんじゃないか?
0024名無しさん@お腹いっぱい。
垢版 |
2014/04/17(木) 17:17:57.18
ゾーン転送のソースのIPアドレスは指定されています。
whoisに登録するDNSはホスト名で指定されています。
現状、これらのホスト名とIPアドレスは一致しています。

ゾーン転送のソースとセカンダリDNSのサービスIPが
この先も一致しているとは限りません。一致させない
理由は特に考えられませんが。
dns2.example.jp A w.x.y.z
と設定する w.x.y.z が急に使われなくなるのは、まあいいとしても
w.x.y.z が突如キャッシュサーバーに変身することがあると
困るかもしれません。
0025名無しさん@お腹いっぱい。
垢版 |
2014/04/17(木) 19:04:08.97
なるほど。DNSSEC 署名するため、自ドメイン名で外部ネームサーバを
登録したいということですね。その気持ちは理解できる気がします。
それに >>22 さんの言うように、内部名の方が好ましいとする考え方も
ありますしね。

んで本題の「宜しくないのか」という点ですが、IP アドレスの変更に気を
付ける必要があるというのは既出ですが、DNS 的には問題ないように
思えます。やってみてもいいんじゃない?
002617
垢版 |
2014/04/18(金) 17:31:11.69
やってみましたのですが、プロバイダのDNSが
dnssec-enable no;
になってるような…。bindなのかどうか分かりませんが
bindなら、そうなってるような。

dig @(プロバイダのDNS) (自分のドメイン) +dnssec
でRRSIGが表示されません。
DNSSECに対応しているかどうか、問い合わせ中です。
0027sage
垢版 |
2014/04/19(土) 21:57:27.26
dnssec-enable no相当の設定してるとこは結構あるぞ
昔DNSSEC機能まわりでBIND9の脆弱性が出たときにdnssec-enable no
とすればワークアラウンドになることがあって、その時の設定が
そのまま入ってるとこが沢山ある。
あと、ブロードバンドルータの類がDNSSECというかEDNS0に
対応してるのはほとんどない。
こんなんじゃDNSSEC普及に何年かかるのやら
0028名無しさん@お腹いっぱい。
垢版 |
2014/04/20(日) 12:32:40.94
DNSSECはDSレコードが自動更新可能になるまで普及しないでしょ。
年2回程度でも鍵の定期更新に人手が必要になるとかコストが高すぎる。

IETFではCDS/CSYNCを使って自動的にDSレコードを吸い上げる案が出てるけど、
まだ、時間が掛かりそうな感じ。
http://tools.ietf.org/html/draft-hardaker-dnsop-csync-02
http://tools.ietf.org/html/draft-ietf-dnsop-delegation-trust-maintainance-11
0030名無しさん@お腹いっぱい。
垢版 |
2014/04/20(日) 22:21:53.68
上位にDSをアップロードするプロトコルができても、
そもそもDSを含む鍵更新の手順が複雑すぎて、ふつうのオペレータ
には対応不可能というのが問題。これ自動化されても問題の本質は変わらない。
何かがおかしくなったときに人手でちゃんと修正できるようになって
初めて実用になるが、たかがDNSをセキュアにするためだけに
全てのオペレータにプロトコルとPKIを精緻に理解することを要求する
DNSSECは人的コストがかかりすぎる
(さもなくば運用ミスは直ちにbogusになって引けなくなり、
 さらにキャッシュのため修正しても回復に時間がかかる)
IETFとかのDNSSECやってる連中は想像できないかもしれないが、
オペレータにはDNS以外にもやらなきゃならないことは沢山あるのだ
003130
垢版 |
2014/04/20(日) 22:30:35.03
まぁこれはDNSSECだけじゃなくて、DNSCurveとかにも同じことは
言えるけどな DNSCurve・DNSSECそれぞれ固有の難しさがあるが、
難易度は大きくは変わらないだろう
0032名無しさん@お腹いっぱい。
垢版 |
2014/04/29(火) 02:13:00.05
IETFではプライバシー保護の観点でのDNS over TLS/DTLSの議論が
始まってるけどな。こうなるとDNSSECとは何だったのかということ
になりかねないが

>>9
「パンドラの箱」とはおそれいった。
記事中では新規性が無いという指摘を巧妙に回避するための
レトリックを使っているが、こういう煽り記事を書いて目立たないと
いけない私大の先生も大変だな

毒がいわゆるin-bailiwickルールにマッチしていればDNSキャッシュサーバ
はそれを受け入れる(すでにキャッシュ上に同じデータがあれば
RFC2181 Rankingに従い上書きされる)という従来からある話に過ぎない。
基本的な対策はポートランダマイゼーションというのは6年前から
変わっていない。ポートランダマイゼーションしてないキャッシュサーバが
10%もあることは頭が痛いが。

この人は以前カミンスキー攻撃でDNSに毒は入らない、BIND9のバグに
過ぎないと主張していたが、こういう誤解を生む主張は全く迷惑だ。
カミンスキーの本質はそれではなく、TTLがoff-path攻撃からの保護にならず、
攻撃の成功確率を大きく向上させることができることを示したことだ。
カミンスキー以降、どのような毒が入るか研究が進んで、2010年前後に
にその手の論文や解説がいくつか出ているが、概ね↑で書いたものだ。
0034名無しさん@お腹いっぱい。
垢版 |
2014/05/03(土) 16:25:44.67
従来の攻撃法の範疇だしポートランダム化が
緩和策いうのはその通りだけど、攻撃成功した時の影響が
大きいということでしょ。カミンスキーと類似の攻撃で
ポート・TXIDのランダム化を突破できれば、
TLD丸ごと、SLD(co.jp)丸ごと乗っ取れるという話。
TLDをターゲットにした具体的な攻撃法を示したのは
新規と言っていいんじゃないの

この人よほどDNSSEC嫌いなのか知らんけど、ポートランダム化だって
限界があるしDNSSECくらいしか次の現実的な対抗策はなさそう
(NSEC3はOptOpt無しでな)
RFC2181のルールを見直しても穴がありそうだし
0037名無しさん@お腹いっぱい。
垢版 |
2014/05/06(火) 14:55:47.83
まともに運用できる人がほとんどいない技術じゃ無いのと同じだろ

浸透いうな・大岡山の両氏はDNSはオワコンであきらめろと言っとるよな。
0038名無しさん@お腹いっぱい。
垢版 |
2014/05/06(火) 15:01:19.60
DNSSECに対応しなくてもサービス提供側は困らない、というのも理由の一つじゃないでしょうか。
むしろDNSSECしたら「お宅だけメールが送れないので、お宅のメールサーバーがおかしいですよ」と言われてorzする。
さすがに今はないか?
0039名無しさん@お腹いっぱい。
垢版 |
2014/05/07(水) 02:38:26.12
DNSやめて別のにするのとDNSSECやるのとどっちが難しいかという話じゃね
別のを作ってもDNSと同じものができそうw
0040名無しさん@お腹いっぱい。
垢版 |
2014/05/07(水) 02:54:40.01
今の世界は腐ってるから一度リセットしろなんて聞き飽きた
いい歳して何を言ってんだ、いまどきマンガでもねえよ
004332
垢版 |
2014/05/07(水) 21:21:45.36
>>34
2008年当時でも、TLDの乗っ取りができないなんて話は誰もしていなくて
ポートランダマイズしてなければあらゆるものが簡単に乗っ取れる
という空気だった。
tss氏が示した毒が、ポート・TXIDのランダマイズをすり抜けられれば
TLDやSLDを乗っ取れるし、それが重大なのもよくわかるけど、
それは2008年当時から状況は変わらない。よくわからないのは、それでなにを
主張したいのかということだ。

ポートランダマイズを無効にする攻撃法を見つけたという主張なのか?
ポートランダマイズではもう不足だと言いたいのか?
ランダマイズしてないのがいっぱいあるのでランダマイズしろよという主張なのか?
カミンスキー的な攻撃は頻繁に行われているがRFC2181 Rankingによって
結構守られていた(今回そうでない毒を見つけた)という主張なのか?
DNSSECでもNSEC3 Opt-Out運用ではinsecure delegationを毒と
して入れることが可能なので、Out-Outはやめろと言いたいのか?
DNSは欠陥だらけで手の施しようがないので、もうやめろということなのか?

非専門家ばかりが騒ぎ、専門家の反応がいまいちなのはそのあたりなんじゃないか。
0044名無しさん@お腹いっぱい。
垢版 |
2014/05/08(木) 01:48:04.09
化けの皮がはがれるから、はっきり主張できないんだろ
attackerに情報を与えることになるから
詳細は公表しないって逃げるに決まってる
0045名無しさん@お腹いっぱい。
垢版 |
2014/05/08(木) 12:11:39.36
>>43
ポートランダマイズの効果を薄くする方法はある…っぽいが、
オープンリゾルバで無ければ大丈夫かと思う。

普通のフルリゾルバであれば、とりあえずランダマイズで
対応する、で行くしかないんじゃないかな。

ただ、TXID&ランダマイズを抜けた後の手法がより危なく
なったので、ポイズニングに対する監視は充実させたほうが
よいのかもしれない。

unboundなら、「unwanted-reply-threshold」設定とか、
その他ならば、パケットキャプチャでクエリとレスポンスの
割合とかを見ておくとかかな?他にもあればPLZ.

いずれにせよ、今全てを投げ出すわけにもいかんのだし、
やれることを粛々と頑張るしか無いよね。
0046名無しさん@お腹いっぱい。
垢版 |
2014/05/08(木) 14:45:25.30
オープンでもクローズでも、基本的な動作原理は変わらないのでは?

それに一口にオープン良くないというけど、そのオープンてどういう定義なの?
オープンは危ないという風評被害もありそう
0048名無しさん@お腹いっぱい。
垢版 |
2014/05/08(木) 15:18:51.10
ISPのDNSサーバは、ISP加入者全てからのクエリを受けつけるようにしてるのでかなりオープンに近いけどな。ISP加入者がボットに感染してるとか普通にある
0049名無しさん@お腹いっぱい。
垢版 |
2014/05/08(木) 20:23:34.68
>>46
あまり詳しく書くのははばかられるが、オープンだと
ポートランダマイズの効果を下げる事前作業がやりやすい

>>48
許可NW内のBOTを使えば、同じようなことは出来るので、
許可NWが多いリゾルバとかは危険かもしれない

いずれにせよ、そういうところは監視による警戒を厳
として、危険な兆候が見られたら即対応などを考えて
おいたほうがよいのかもしれない
0051名無しさん@お腹いっぱい。
垢版 |
2014/05/09(金) 09:10:09.13
GoogleDNSって、たしかUnbound使ってたと思うけど
何か特殊な設定仕込んでるのかなぁ

自前でオープンリゾルバなDNS公開設定しようかと思ってるんだけど・・・

用途は、避けたいサイト(正引き)で127.0.0.1を返すため
スマホとかで自前DNSを利用したい
0052名無しさん@お腹いっぱい。
垢版 |
2014/05/09(金) 09:47:05.51
>>50
JPRSも書いてたけど、危ないと思ったらキャッシュクリアするとか…

あとは攻撃元IPを見つけたら、BANして通報とかかな。

>>51
GoogleDNSは権威側で動作を見てると、多段で構成されてるっぽい。

フロントはオープンだが単なるフォワーダっぽいリゾルバみたい。

バックエンドはオープンでないフルリゾルバで、フロントからの
問い合わせにだけ答えている模様で、こちらは色々対策している
のでは無いかと思う。
0057名無しさん@お腹いっぱい。
垢版 |
2014/05/09(金) 15:43:11.98
リゾルバは何回もバシバシ叩くことはほとんど無いし
基本的にパケットの分割も無いから
同じ相手にUDPのパケットを返すときに
2つ目以降のパケットは数秒待たせても
問題ないよね?
0060名無しさん@お腹いっぱい。
垢版 |
2014/05/11(日) 16:28:28.00
>>52
フォワーダっぽいリゾルバって何だ?
VIPで受けて大量のキャッシュDNSサーバへロードバランシングしてるんじゃなくて、
回送専用のDNSサーバで受けて、ドメイン単位で回送したら再起検索専用のDNSサーバで検索…ってこと?
なにそれ怖い。
0061名無しさん@お腹いっぱい。
垢版 |
2014/05/12(月) 02:39:47.72
TLDごとにその国に近いリゾルバに回送してそこで反復問い合わせさせれば、確かに理論的には速くなるな。
0066名無しさん@お腹いっぱい。
垢版 |
2014/05/26(月) 20:31:00.57
セカンダリならたいした手間でもないだろうけど、逆にプライマリ提供できないのが浮き彫りになるのが嫌なのかな。
0067名無しさん@お腹いっぱい。
垢版 |
2014/05/26(月) 21:25:48.90
へー、そんなところもあるのか。

ウチは DNSSEC に関して何もアナウンスしてないけど、問い合わせを受けたら「レジストリへの取次と
セカンダリ運用は承りますが、プライマリの運用はお受け出来ません。ごめんなさい」と回答する予定です。

まだ問い合わせは一度も来たこと無いけどね! (酷いオチ)
0068名無しさん@お腹いっぱい。
垢版 |
2014/05/27(火) 00:04:20.35
自分とこでDNSを二台たててDNSSECしてたんだけど、プロバイダにセカンダリをやってもらおうと思って。
zone転送の設定まではスイスイと行ったけど dnscheck.jp で見たら、プロバイダ側のDNSSECが×だらけ。
サポートに問い合わせして、「おかしいにゃー、調べてみるんで待ってて」ってことで待ってたら
「やっぱりDNSSECはやってないんで、メンゴ」ってことになった。
0070名無しさん@お腹いっぱい。
垢版 |
2014/05/27(火) 09:57:53.64
atnd 見えないね。権威サーバが何も返してこないんだけど、この時間になっても
復旧してないとは思わなかった。何やってんだ、中の人。

参考

ttp://www.e-ontap.com/blog/20140527.html
0071名無しさん@お腹いっぱい。
垢版 |
2014/05/27(火) 10:30:47.05
あ、ようやく見えるようになった。だけど TTL が 300 になってるねw
絶賛リカバリ中ってとこなのかな。
0074名無しさん@お腹いっぱい。
垢版 |
2014/05/28(水) 17:32:02.96
ん? まだ atnd.org の TTL が 300 のままですね。権威サーバの ns[1-3].x.recruit.co.jp という
ホスト名がいかにも仮のものっぽいけど、しばらくこのままなのかな……
0075名無しさん@お腹いっぱい。
垢版 |
2014/05/28(水) 23:27:15.17
数年前、名前解決の障害でrecruit.co.jp調べたとき、EDNS未対応だったか、
TCP非対応だったか忘れましたが変なサーバだったのを覚えてます。
0077名無しさん@お腹いっぱい。
垢版 |
2014/06/11(水) 15:47:49.51
で?
なぜインフラ予約ドメイン名を定義しないで、ねずみ講のようにドメイン登録をプッシュするんだ?
ARPAとかがあるから、今後は
おれんち.ARPAとかで逃げ始めるバカがわくと思うんだけど
0079名無しさん@お腹いっぱい。
垢版 |
2014/06/11(水) 17:10:36.83
インテリやくざ集団に直接談判とかヤダー
判子屋と組んでうまい汁をすおうとかプレゼンかいてインターネットでシェアするような奴が集まるのがIT業界じゃないですか
0096名無しさん@お腹いっぱい。
垢版 |
2014/07/02(水) 11:12:51.89
>>95
ハッシュ関数はだれかが「これ」と決める。
IPアドレスは変更できない。というか、使いたいIPアドレスになるようなFQDNをハッシュ関数から探して使う。
0097名無しさん@お腹いっぱい。
垢版 |
2014/07/02(水) 11:24:05.16
>>96
なるほどー
例えば192.168.10.203というIPを使う場合、それに該当するFQDNを採掘するわけですな。
あらかじめ発見しておいて、○.○.○.○に対応するFQDN教えます、という広告をオークションに出しおけばいいのか。
203.10.168.192.in-addr.arpa より分かりやすいものであることを願おう。
新着レスの表示
レスを投稿する

ニューススポーツなんでも実況