【DNS】Name Server 総合スレ Part2
■ このスレッドは過去ログ倉庫に格納されています
ルーターのWAN側を引っこ抜いた状態にして
そのルーター相手に dig ると refused で戻されます。
上位DNSに問い合わせにいけないせいだと思うので正常なのですが
この状態で unbound 経由で dig ると、SERVFAIL になり、
ルーターの WAN側 が回復して、ルーター相手の dig が成功するようになっても
unbound のほうはサービス再起動するまで二度と回復してくれず、ずっと SERVFAIL のままです。 >>194それはyahoo以外に問い合わせてもservfailされる? PR-500KIだけど不定期にこんなログでるね。
BNE-OpS端末管理部 端末情報登録成功 >>193
unbound.conf (service.conf)に、
infra-host-ttl: 10 と書いてみるとどうかな?
フォワーダ先が1個しかない (かつ時々その1個に到達できないことがある)
環境だとデフォルトの900秒は長すぎるかもしれない 無くてもいいけどある方が便利
場合によっては無いとダメなこともあった気がする 正引きだとドメインごとにDNSサーバーを立てて管理するイメージだが
逆引きだと誰が管理するの?
例えば200.201.202.203の逆引きはどこのサーバーでやるの? >>200
逆順(203.202.201.200.in-addr.arpa)をドメインに見立てて設定するだけで正引きと同じですよ。 >>201
なるほど
で、サーバーはどこに作ると考えたら良いの? >>202
ど素人が横からですが教えてください
>IPアドレスを割り当てられた組織。
ってことは、1IPででも契約したらドメイン持って無くても逆引きサーバを立てる必要がでてくるの? >>204
グローバルIPアドレスの「割り振り」「割り当て」は専門用語だから、まあぐぐって。 >>203
サブドメインの委譲については知っているものとして書きます。
正引きの場合、ルートないし上位のドメイン(com、jp、など)はプロバイダなどなどが管理しているサーバーがあり、
自分のドメイン(例えばexample.com)を自分のサーバーで運用しようと思うなら、該当サブドメインを委譲してもらう。
レジストラなどが運用しているサーバーで運用する場合であっても同様。
逆引きの場合も基本的には同じ。CIDRを考えるとちょっと複雑になるので、ちょうど切りの良いところでIPを割り当てるケースで考える。
200.201.0.0/16をあるプロバイダXが持っているとする。それを /24ごとに、ユーザーに割り当てるとする。
200.201.1.0/24 を株式会社Aに、200.201.2.0/24をB大学に、というふうに。
逆引き用の in-addr.arpa ドメインは comやjpなどと同じようにプロバイダなどなどが管理しており、
そのサブドメインである 201.200.in-addr.arpa をプロバイダXが管理するサーバーに委譲する。
プロバイダXは、顧客の株式会社Aに 1.201.200.in-addr.arpa、B大学に 2.201.200.in-addr.arpaを委譲する。
株式会社AやB大学は、希望するなら自身のDNSサーバーで逆引き用のドメインを運用してもいいし、プロバイダXに任せてもいい。 ふと気になったのですが、
@i.softbank.jp なメールアドレスへのメール送信は、どこのサーバーへ行くのでしょうか
nslookup しても Non-existent domain と怒られてしまいます。
(A/SOA/TXT/MX すべて一緒) 普通に MX が存在してますよ? (それにしても TTL が短いな……)
どのように確認したのか教えていただかないと何とも言えませんが、
おそらく、あなたが参照しているキャッシュサーバの管理者様に
ご確認いただくのがよろしいかと。 失礼しました、i.softbank.ne.jp ってタイプしてしまってました ttp://pbs.twimg.com/media/CGF7njBVIAAkaFV.png 質問です。
とあるアプリケーションがSRVをサポートしており、SRVレコードを設定し使用しているのですが一部のユーザが接続できません。
はじめはそのユーザのPCの設定を疑ったのですが、複数人同じ問題を抱えるユーザが居たので余計原因がわからなくなりました。
SRVレコードに対応していないブロードバンドルータやDNSサーバというのは存在しているのでしょうか。
また、曖昧な情報で申し訳ありませんが原因はわかりますでしょうか。 >>211
その一部のユーザとやらの環境では「アプリに接続できない原因は名前解決が出来ない
という点である」ということは、ちゃんと裏付けが取れていますか?
あと、そこまで状況を分析できるのなら、DNS サーバ側 (キャッシュと権威の両方とも) の
クエリログを確認しようという発想が出てきても良いように思えます。それが出てこない
ということは、まだ何か特殊な事情があるのでは? という気もします。 >>212
レスありがとうございます。
ユーザにログを送信してもらい確認したのですが、ログを見る限りはSRVレコードでの解決を試して
その後失敗した(若しくはSRVレコードが登録されていない)ようならAレコードでの名前解決を試していました。
DNSサーバに関してですが、権威サーバはCloudFlareを使用しており、詳細なクエリログは確認できません…。
また、キャッシュサーバはユーザからISPを聞き出し、同じISPを使用している知人に、そのISPのDNSサーバでの名前解決を試みてもらいましたが
とくに問題もなく名前解決ができてしまいます。
これだけ書くと、ルータかPCが原因のような気もしますがどうなんでしょうか…。 >>213
ユーザの使っているブロードバンドルータがキャッシュサーバになっているケースもあり得ますね。
ユーザのPCのDNS設定はどうなっているか確かめるほうがいいかも。
古いブロードバンドルータだとSRVレコードを扱えないことがあるかもしれないですね。あくまで、かもしれないです。
ユーザのPCでSRVレコードの問い合わせが出来ているかどうか確かめるほうがいいかも。
そもそも、そのアプリはOSのリゾルバを使っているんでしょうか?
原因を切り分けるには、これらも考えてみてはどうですか。 >>214
レスありがとうございます。
ユーザとは主にメール等でしかやり取りできないので、知人や友人に似たような症状が出るか試してもらおうと思います。
該当のアプリがOSのリゾルバを使用しているのかも確認してみます。 接続できないユーザが使ってるIPアドレスに共通項があるようなら、アクセスブロックとか経路とか疑うかな。
同じISPでもIPv4の枯渇からこっち、様々な経路をもつIPアドレスをユーザに払い出したりしてるし。 >>211の問題に該当しているかはわからないけど、
古いファイアウォールやルータ(に内蔵されてるDNSフォワーダー)は、
SRVレコードのクエリをドロップするやつがいる。
特に、古いdnsmasqはSRVクエリをドロップする設定(filterwin2k)が
デフォルトになっていた時期があり、このdnsmasqをDNSフォワーダとして使っている
古い家庭用ブロードバンドルータがSRVレコードを落とすことがわかっている >>217
ブロードバンドルータの DNS キャッシュサーバでは SRV を扱えない製品が存在するかも。
→これは納得できないけど理解できる
ブロードバンドルータの DNS フォワーダでは SRV をドロップする製品が存在する。
→え、マジ!? ブロードバンドルータ怖い…… (さすがに最近の製品には無いと思うけど) >>217
ルータやPCを交換したら接続できなくなったユーザも居ました…。
古いdnsmasqがSRVクエリをドロップするというのはとても興味深い情報です。
調べてみようと思います。 海外に居た時に使ってたBelkinのルータがSRVクエリをドロップしてた。
検索したらNetgearにもそういうのがあるみたい。そんなに古い話ではないようだ
http://www.willglynn.com/2013/11/01/comcast-netgear-routers-eat-srv-records/
国産のはよくわからない。今日本で使ってるAtermは大丈夫っぽいが…… 質問です。
unboundのforward-addrにISPなどの複数のDNSサーバを列記した場合、全てにクエリを送って早く返ってきたものを採用するようですが、
一つ試して返答がなければ次のサーバというように設定できないでしょうか。
よろしくお願いいたします。 上記の方とは別の質問です。教えて偉い人!
とある権威サーバに dig で問い合わせたら、ADDITIONAL SECTION に同一ラベル名の
A レコードが複数返ってきました。これって合法なんでしょうか?
↓
$ dig @dns0.heteml.jp example.co.jp ns +norec
; <<>> DiG 9.9.7 <<>> @dns0.heteml.jp example.co.jp ns +norec
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 227
;; flags: qr aa; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 3
;; QUESTION SECTION:
;example.co.jp. IN NS
;; ANSWER SECTION:
example.co.jp. 259200 IN NS dns0.heteml.jp.
example.co.jp. 259200 IN NS dns1.heteml.jp.
;; ADDITIONAL SECTION:
dns0.heteml.jp. 86400 IN A 210.188.214.228
dns1.heteml.jp. 86400 IN A 210.188.214.229
dns1.heteml.jp. 259200 IN A 210.188.214.229
;; Query time: 19 msec
;; SERVER: 210.188.214.228#53(210.188.214.228)
;; WHEN: 水 6月 17 09:22:03 JST 2015
;; MSG SIZE rcvd: 129 ん? ネタじゃなくて本当にそういう応答が返ってくるね。
だけど偉い人じゃないんで合法かどうかは分からん。すまん。
どういう設定をするとこうなるのか、という点には興味あるな。 少なくとも言えるのは、いくつかの特徴から
dns0.heteml.jp はBIND9でもNSDでもNominumでも
無いってことですな。権威サーバは実装が簡単な分、
種類が多くて間違った実装が多いから、
こういう怪しい動きをするサーバがいてもあまり驚くことではない
重複する{owner,class,type,rdata}の組は
DNSプロトコルとしては違法だが、これを
拒否するリゾルバはたぶん無いんじゃないかな >>222
> 複数のDNSサーバを列記した場合、全てにクエリを送って
> 早く返ってきたものを採用するようですが
全てにクエリを送るではなく、
「基本はランダムに送信するが、ある一定のRTTより
長いやつや応答しないやつは避ける」
といったほうが正しい
> 一つ試して返答がなければ次のサーバ
Unboundの設定だけでは出来ないんだけど、
なぜそうしたいんだろう
基本的にはISPのDNSサーバ使いたいが、
ISPのDNSが障害になったら8.8.8.8に
切替えたいとかそういうことかな >>227 dnsmasqだとstrict-orderという設定で一つがだめならもう一つを試すってやりかたで、
パケット量を減らせるんですよね。
unboundがいいのは、min-ttlを設定できるところです。
ランダムで送るのならこのまま使います。
パケット量を減らしたかったのでした。
ありがとうございました。 >>226
偉い人ステキ!
それはともかく、権威サーバってそんなにいろいろあるんですか。
拒否するリゾルバが存在したら、こういう権威サーバが修正される助けになるのに……
無駄に厳密な解釈をするリゾルバが存在していたら、チェック用途としても面白いかもですね。 >>230
GSLBとかへんてこなFWで設定ミスったり仕様が腐ってたりして
おかしなことが起こることもあるよ。 またDNSSEC関連かよ……こんなのがいつまで続くのはよくわからん状況では、
とてもじゃないけどユーザ向けにはDNSSEC検証を提供する気にならんなあ。
もしもユーザからの要望が高まるのなら多少のリスクは承知の上で提供することを
検証してやらんでもないが、そんな要望が来るとは到底思えないし。DNSSECは
どこに向かっていくんだろうね。 ∩∩ ぼ く ら の 春 は こ れ か ら だ ! V∩
(7ヌ) (/ /
/ / ∧_∧ ||
/ / ∧_∧ ∧_∧ _(´∀` ) ∧_∧ ||
\ \( ´∀`)―--( ´∀` ) ̄ ⌒ヽ(´∀` ) //
\ /⌒ ⌒ ̄ヽ、 Σ /~⌒ ⌒ /
| |ー、 / ̄| //`i DNSSEC/
| IPv6 .| | OSI / (ミ ミ) | |
| | | | / \ | |
| | ) / /\ \| ヽ
/ ノ | / ヽ ヽ、_/) (\ ) ゝ |
| | | / /| / レ \`ー ' | | / ほんとな。
有効にするだけでCPUリソースを喰うし、脆弱性もまた発見されたし、生ける屍だな。 国内のDNSサーバーが「有害サイトの遮断」という口実で
虚偽のレスポンス返しまくってる現状に何の危機感も持ってないの? 不都合なサイトを有害としてアクセスできなくする権力に対して エグいのキタコレ
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(2015年7月29日公開)
ttp://jprs.jp/tech/security/2015-07-29-bind9-vuln-tkey.html
全てのバージョンの権威サーバも対象で、かつワークアラウンドも無いとか。
マジ勘弁してくださいよ…… あの、DNS初心者なのですが、ものすごく基本的な質問なのですが、
レンタルサーバー借りてグローバルなIPアドレス
1.23.456.789 (例)
を取得しました。一方、ドメイン名を
domain1.com (例)
domain2.jp (例)
domain3.net (例)
みたいに複数のドメイン名を取得した場合、
DNSの設定をうまく行えばこの三つのドメインに対して上記の一つのIPアドレスで
三つのサイトを構築することは技術的には可能ですか?
いや、そんなことは原理的に出来ないとか、アドバイスお願いします。 >>244
できるかどうかは、レンタルサーバ業者に聞いてください
仕組みとしては、「aレコード 複数」とかnamevirtualhostとかsniでググってね >>245
レスありがとうございました。
原理的というか技術的というか、可能なのですね。
もしDNSの仕様上、不可能だったら調べても無駄かと思ったのですが、
出来るのならやり方を調べてみます。
ちなみに専用のIISサーバーです。 >>244
DNSにaレコードでもcnameでも同じipを登録する事は可能
web鯖でvhost使えば切り分け可能
後はその設定が許されてるかどうか
って事で板違いだ >>248
そのサーバーは自分で管理してますからDNSサーバー機能を追加したらいいんですね?やってみます。 本当に脆弱だと思ってるんならドマイナーな国内のMLで管を巻いてないで、英語圏のコミュニティで問題提起すればいいと思うんだ。。。 実際のところポイズニング被害ってどのくらい出てるもんなんすかね >>251
英語圏のMLで話は出してて、
何人かはちゃんと興味を持って詳細の説明を求めたけど
謎めいたレスばかりしてて議論にならなかった。何やりたいんだろうねこの人
ttps://lists.dns-oarc.net/pipermail/dns-operations/2014-May/011633.html いろいろと何となくそれっぽいイチャモンは付けるけど、はっきりしたことは言わない。
どこのジャンルにもいるよね、こういう人。面倒なだけだから誰も積極的には相手しないんじゃない? ああ、間違ってあげてしまった。すまない。
P.S.
自社でのDNS運用をやめてGoogle Cloud DNSへの移行を検討しています。
卒業おめでとう、俺。 >>253
それ、先日参加した某セミナーで質問している人がいたな。某オレンジさんが回答してたけど、
やっぱり分かりやすい事例は無いみたい。脆弱性を理屈としては認識しているけど、事例とか
被害の状況とかが無いと人には説明しにくいよね。 DNSを教えると言って若者に呼びかけて泊まりがけで
自説を広める会までやってるみたいだ。ガン無視どころか
参加するやつがそれなりにいるらしいよ >>257
例えるなら、暗号化強度が2bit分だけ弱まったブロック暗号みたいなもんかね。。。 >>259
例えを持ち出すと話の焦点がボケてしまいそうだけど、「危険だと言われつつも
何となく使い続けてしまっている」というのなら、SHA-1のSSL証明書あたりが
似たよう状況だと思う。あれ、実際に破られた事案てまだ無いよね? 無限に試行すればいつかは必ず当たりが出るのが現代暗号の常なんだから、
定量的にこのぐらい確率が高まるって言わないと駄目か。 実害出てから移行しましょうじゃ遅いから
たとえば総当りの計算量よりはるかに少ない計算量で解読できるような方法が
発見された時点で以降を始めるんでしょうが この人まだやってんのか。もうIETFやISCも、DNSSECだけじゃなくて、
少なくともブラインド攻撃によるパケットインジェクション
(移転インジェクションとかいうのも含む)
を防ぐプロトコル改良や実装の作業してる。周回遅れもいいところだ。 DNSの専門家の皆様、一つ教えて下さい。
現在、
A社でドメイン契約: example.com (例です、以下同じ)
B社でサーバー契約: 192.168.0.111
して
www.example.com/site1/
www.example.com/site2/
などのサイトを運営中です。
この状態で、
C社でサーバー契約: 192.168.0.222 (ホスト名 host.example.jp)マルチドメイン、サブドメイン可能
したので、
www.example.com/site1/
のみC社のサーバーに引っ越したいのです。 質問1
www.example.com/site1/*
でアクセスした場合に
host.example.jp/site1/*
が開くようにする設定はどこでやれば良いのでしょうか?
具体的なDNS設定のヒントをお教えください。
現状はA社の設定画面で
www.example.com A 192.168.0.111
などの設定をしているだけです。
質問2
うまく設定できたとして、
host.example.jp/site1/*
が開いた場合に、ブラウザーのアドレス表示の部分は、出来れば旧サイトの
www.example.com/site1/*
のまま表示させたいのですが、そういう事は可能でしょうか?
出来る場合、どこで設定するのでしょうか?
ご指導よろしくお願いします。 回答1
host.example.com A 192.168.0.111
回答2
301リダイレクト >>268
DNS の話じゃなくね
1はApacheとかwebサーバ側の設定
2は無理 みんな嘘ばっかしだな。301やリバースプロキシだと?普通のプロキシで十分だよ。 Apacheならmod_rewriteでいいじゃん
DNS関係ないけどさ >Apacheならmod_rewrite
旧サイトのurl表示出来るの? まぁなんにせよスレ違いだから適切なスレに移動してくれ www.example.com/site1/
の内、DNSが関係するのは www.example.com まで。
なので www.example.com/site1/とwww.example.com/site2/ は
DNSで区別はできない。
Webサーバで何とかしてください。 これマジなの? KDDI 管轄下のキャッシュサーバが注入されたの?
RIBBON.TO TOPICS
ttp://ribbon.to/topic.html
2015/12/17
14日頃よりKDDI様管轄のDNSにてribbon.toドメイン関連が広告サイトに誘導される事象が発生しております。
DNSキャッシュポイズニングの対策は行っておりますが、同脆弱性による問題と認識しておりますので、
現在対策を検討しております。誠に申し訳ございません。 対策って何だ?
to ドメインって DNSSEC 対応してたっけ?
自分管轄の権威サーバーならともかく
KDDIのキャッシュサーバーが汚染されないように(ドメイン所有者ができる)対策なんてあるの? 今は設定が直っててほとんど痕跡残ってないけど、
ribbon.to側の設定誤りが原因だよ。KDDIのキャッシュは、
権威サーバ側の設定の通りキャッシュして、その影響がまだ残ってるだけ。
ribbon.toのNSのうち、1つのドメインが放棄されたが、
別の業者に取られて広告サイトにリダイレクトされてたみたい。
こういう広告サイトは意図的にAレコードのTTLを長くしているから
消えるまで時間かかるだろうね
キャッシュサーバ側の対策はcache-max-ttl を小さくする
くらいかなぁ。長いTTLのRRSetを拾っても影響時間を短くできる。
BIND9のデフォルトの7日間は長すぎると思う。
権威サーバ側は、NSレコードのドメイン名は極力 in-bailiwickな
NSで構成するか、自分のコントロールの及ぶ範囲のドメイン名だけに
することだ。 >>285
ありがとう! (実験目的以外の状況で) ポイズニングに成功したという話が俄には
信じ難かったので、そういう話を聞きたかったんだ。
権威サーバ側の設定ミス (or 運用ミス) は良く聞く話だけど、なんで KDDI が
名指しで指摘されているんだろう。もしかして、その放棄された NS が KDDI で
ホスティングされていたからとか? だとしたら、とばっちりもいいところですね。酷い話だ。 >DNSキャッシュポイズニングの対策は行っておりますが、同脆弱性による問題と認識しておりますので、
それじゃぁこの1行は嘘?
これ読んだら普通はKDDIのBINDの脆弱性を突いたかDNS仕様の16ビットしかないカウンタ問題を
突いてKDDIのキャッシュサーバーへの攻撃に成功したように取るぞ 仮にribbon.to側の運用ミスだというのが本当の話だとしたら、KDDIへの風評被害だよね。
KDDIの中の人はブチ切れていいと思う。もし俺だったら激怒してribbon.toにクレーム入れるよ。
#もしや、キャッシュポイズニングという言葉が本来とは異なる意味で使われ始めてしまうのか? たまたま大きなISPのKDDIのキャッシュが拾ってしまって被害が
目立ってるだけかもしれない。他のISPでも発生しているのかもしれない
KDDIはキャッシュクリアして cache-max-ttl を小さくすることだな
感覚的には3600〜10800くらいが適正値かと >>290
>たまたま大きなISPのKDDIのキャッシュが拾ってしまって被害が
>目立ってるだけかもしれない。他のISPでも発生しているのかもしれない
設定や運用をしくじった権威サーバのコンテンツが各所のキャッシュサーバに
キャッシュされてしまったという事例なら、そりゃ今までにもあちこちで発生して
いるだろうよ。それはわかる。だけどさ、こういう事例のことを「キャッシュポイズ
ニング」とは呼ばないだろって話なんじゃないの。
>KDDIはキャッシュクリアして cache-max-ttl を小さくすることだな
権威サーバ側でしくじったのが原因なら、KDDI側はそこまで対応する義理は
無いよね。
>感覚的には3600?10800くらいが適正値かと
それはKDDIじゃなくて権威サーバ側に言えよ。 >>290
3600って・・・DNSサーバの負荷なめんなよ >>285 本来の意味での毒入れだと、TTL短くするとキャッシュがしょっちゅう
クエリをかけるようになるから、かえって毒入れの危険性は増すのでは?
ttp://jprs.jp/tech/material/iw2006-DNS-DAY-minda-04.pdf ■ このスレッドは過去ログ倉庫に格納されています