【DNS】Name Server 総合スレ Part2
■ このスレッドは過去ログ倉庫に格納されています
回答1
host.example.com A 192.168.0.111
回答2
301リダイレクト >>268
DNS の話じゃなくね
1はApacheとかwebサーバ側の設定
2は無理 みんな嘘ばっかしだな。301やリバースプロキシだと?普通のプロキシで十分だよ。 Apacheならmod_rewriteでいいじゃん
DNS関係ないけどさ >Apacheならmod_rewrite
旧サイトのurl表示出来るの? まぁなんにせよスレ違いだから適切なスレに移動してくれ www.example.com/site1/
の内、DNSが関係するのは www.example.com まで。
なので www.example.com/site1/とwww.example.com/site2/ は
DNSで区別はできない。
Webサーバで何とかしてください。 これマジなの? KDDI 管轄下のキャッシュサーバが注入されたの?
RIBBON.TO TOPICS
ttp://ribbon.to/topic.html
2015/12/17
14日頃よりKDDI様管轄のDNSにてribbon.toドメイン関連が広告サイトに誘導される事象が発生しております。
DNSキャッシュポイズニングの対策は行っておりますが、同脆弱性による問題と認識しておりますので、
現在対策を検討しております。誠に申し訳ございません。 対策って何だ?
to ドメインって DNSSEC 対応してたっけ?
自分管轄の権威サーバーならともかく
KDDIのキャッシュサーバーが汚染されないように(ドメイン所有者ができる)対策なんてあるの? 今は設定が直っててほとんど痕跡残ってないけど、
ribbon.to側の設定誤りが原因だよ。KDDIのキャッシュは、
権威サーバ側の設定の通りキャッシュして、その影響がまだ残ってるだけ。
ribbon.toのNSのうち、1つのドメインが放棄されたが、
別の業者に取られて広告サイトにリダイレクトされてたみたい。
こういう広告サイトは意図的にAレコードのTTLを長くしているから
消えるまで時間かかるだろうね
キャッシュサーバ側の対策はcache-max-ttl を小さくする
くらいかなぁ。長いTTLのRRSetを拾っても影響時間を短くできる。
BIND9のデフォルトの7日間は長すぎると思う。
権威サーバ側は、NSレコードのドメイン名は極力 in-bailiwickな
NSで構成するか、自分のコントロールの及ぶ範囲のドメイン名だけに
することだ。 >>285
ありがとう! (実験目的以外の状況で) ポイズニングに成功したという話が俄には
信じ難かったので、そういう話を聞きたかったんだ。
権威サーバ側の設定ミス (or 運用ミス) は良く聞く話だけど、なんで KDDI が
名指しで指摘されているんだろう。もしかして、その放棄された NS が KDDI で
ホスティングされていたからとか? だとしたら、とばっちりもいいところですね。酷い話だ。 >DNSキャッシュポイズニングの対策は行っておりますが、同脆弱性による問題と認識しておりますので、
それじゃぁこの1行は嘘?
これ読んだら普通はKDDIのBINDの脆弱性を突いたかDNS仕様の16ビットしかないカウンタ問題を
突いてKDDIのキャッシュサーバーへの攻撃に成功したように取るぞ 仮にribbon.to側の運用ミスだというのが本当の話だとしたら、KDDIへの風評被害だよね。
KDDIの中の人はブチ切れていいと思う。もし俺だったら激怒してribbon.toにクレーム入れるよ。
#もしや、キャッシュポイズニングという言葉が本来とは異なる意味で使われ始めてしまうのか? たまたま大きなISPのKDDIのキャッシュが拾ってしまって被害が
目立ってるだけかもしれない。他のISPでも発生しているのかもしれない
KDDIはキャッシュクリアして cache-max-ttl を小さくすることだな
感覚的には3600〜10800くらいが適正値かと >>290
>たまたま大きなISPのKDDIのキャッシュが拾ってしまって被害が
>目立ってるだけかもしれない。他のISPでも発生しているのかもしれない
設定や運用をしくじった権威サーバのコンテンツが各所のキャッシュサーバに
キャッシュされてしまったという事例なら、そりゃ今までにもあちこちで発生して
いるだろうよ。それはわかる。だけどさ、こういう事例のことを「キャッシュポイズ
ニング」とは呼ばないだろって話なんじゃないの。
>KDDIはキャッシュクリアして cache-max-ttl を小さくすることだな
権威サーバ側でしくじったのが原因なら、KDDI側はそこまで対応する義理は
無いよね。
>感覚的には3600?10800くらいが適正値かと
それはKDDIじゃなくて権威サーバ側に言えよ。 >>290
3600って・・・DNSサーバの負荷なめんなよ >>285 本来の意味での毒入れだと、TTL短くするとキャッシュがしょっちゅう
クエリをかけるようになるから、かえって毒入れの危険性は増すのでは?
ttp://jprs.jp/tech/material/iw2006-DNS-DAY-minda-04.pdf dig axfr をしたら、SOAレコードが2つ表示されるんですけどなぜでしょうか?
検索するとどこも、最初と最後に同じSOAレコードが
2つ表示されているようです。 >>294
AXFRとはそういうものだから
RFC 5936 2.2. AXFR Response
.... the first message MUST begin with the
SOA resource record of the zone, and the last message MUST conclude
with the same SOA resource record. Intermediate messages MUST NOT
contain the SOA resource record. またパッチかよ。余計な仕事増やさないでくれよ(´・ω・`) BINDからPowerDNSにしようと思って検証しているんだけど、ちょっと理解できない
動きをするので教えて下さい。
CentOS6に、EPELからPowerDNS 3.3.3をインストール。
バックエンドは、mysqlを使用。
同時に、PowerAdmin 2.1.7をセットアップ。
BINDのゾーンをzone2sqlで変換しインポート。
@・・・a-a.hoge.com
PowerAdminでAレコード登録(AとB)
A・・・a-b.hoge.com
B・・・ab.hoge.com
@は、問題なく名前解決できるのですが、AはNXDOMAINが返ってきて
名前解決ができません。Aの後に、Bをすぐ登録したらBは名前解決が出来ました。
PowerAdminの問題な気もしますが、ハイフン入りのホスト名を登録するのに
何か注意点があるのでしょうか? バックエンドが mysql なら直でSQL叩いてDB調べてみれば?
それもしないで想像だけで丸投げすんなks 重複をお許しくださいキター
今回のは結構レベル高いやつだな、これ。とほほ……
■(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-1285)
- フルリゾルバー(キャッシュDNSサーバー)/権威DNSサーバーの双方が対象、バージョンアップを強く推奨 -
<https://jprs.jp/tech/security/2016-03-10-bind9-vuln-controlchannel.html>
■(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-1286)
- DNSSEC検証を実施していない場合も対象、バージョンアップを強く推奨 -
<https://jprs.jp/tech/security/2016-03-10-bind9-vuln-rrsig.html>
■BIND 9.10.xの脆弱性(DNSサービスの停止)について(CVE-2016-2088)
- DNS cookie機能を有効にしている場合のみ対象、バージョンアップを強く推奨 -
<https://jprs.jp/tech/security/2016-03-10-bind9-vuln-dnscookie.html> PowerDNS recursorで教えて下さい。
forward-zones-recurse=.=IPSのDNS
上記設定をし、digをすると、キャッシュをしないのか応答時間が常に10msecを超えます。
forward-zones-recurse=.=ローカルの権威サーバ(BINDやPowerDNS)
この設定の場合は、digをすると1回目は時間がかかりますが、それ以降はキャッシュされ
0msecで返ってきます。
これは、相手がキャッシュサーバなのでこちらはキャッシュしないという事なのでしょうか?
ローカルの権威サーバを外部通信させたくないので、recursorでキャッシュさせたいのですが
なにか手はありますでしょうか? IPv6をdisableしてみるといかがでしょうか? unboundで問い合わせが失敗したら次のサーバに順送りで問い合わせというようにできますでしょうか。 >>302 unboundでは複数のサーバへの問い合わせは均等に割り振ってるみたいなのでまぁいいです。
失礼しました。 自前でDNSサーバー持つ時って世界中の編み付けされた全IP取得するんですか? このスレ、以前よりも過疎ってるね? 10月のBIND祭りの時も何も書き込まれなかったし……
というわけで新ネタが来てるよ! 今回は権威サーバは対象じゃないので、中ボスくらいな印象。
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-8864)
ttps://jprs.jp/tech/security/2016-11-02-bind9-vuln-dname.html 普段は unbound だけど、
今日は一日 BIND 9.10.4-P4 三昧でいきますw ウチはキャッシュサーバを全てunboundに切り替えたところ、想像以上に平穏な日々を満喫しております。
「重複をお許しください」のメッセージを見ても身構えなくなりましたw BINDが糞なのはわかってるけど(コードも開発体制も)
同じIPアドレス・ポートで recursive と authoritative こなせるDNS鯖って他にある?
unbound も PowerDNSも recursive と auth は別アドレスで運転するよね。
それがbest practiceなのはわかってるけどさ >>312
PowerDNSはRecursiveサーバーにリクエストをブリッジできるので、ひとつのポート、アドレスで両方こなせる 「OracleがDNSサーバー管理代行サービスなどを手がける米Dynを買収(中略)
今年10月にはDynが大規模な攻撃を受け」
OracleがDynを買収 | スラド IT
https://it.srad.jp/story/16/11/24/0641237/
2016年11月24日 17時17分 重複をお許しください。
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-9131)
https://jprs.jp/tech/security/2017-01-12-bind9-vuln-malformed-any.html
久し振りに来よったで。と思ったら権威サーバへの影響は限定的みたいなんで、それほどでもないかな。 自分が利用しているサービス周辺で幾つか障害が発生したみたい。今回の脆弱性が関係してるのかなあ?
# いずれにせよ、お疲れ様です>中の人
メンテナンス・障害情報・機能追加|さくらインターネット公式サポートサイト
http://support.sakura.ad.jp/mainte/mainteentry.php?id=20971
Uptime Robot on Twitter: "The server provider we're using is currently experiencing a DNS-based issue & site is not reachable for some users. Will be updating back."
https://twitter.com/uptimerobot/status/819475124118241280 👀
Rock54: Caution(BBR-MD5:0dc23c366b23c59a9fe320a62dd69b5a) 社員向け公開サーバをサブドメインとしてDNSに登録する意味あるのかな
モバイルアクセスするのにドメインのが設定はしやすいけど、
DNS情報は参照されちゃうからいかにもなDNS名つけると
無駄なリスク背負うことになるよね リスクはたいして変わらないんじゃね
DNS名なくてもIPアドレスなめて攻撃は来るよ いかにもな名前というと www とか、blogとか、owncloudとか?
そういうんじゃなくて、普通の単語(nightsplitterとか)なら気にするほどリスクは高くないと思う。
通常、zone転送は不許可になってるだろうし。 「DNSに登録するとリスクが増える」ってより
「DNSに登録しなくてもリスクは減らない」と考えるべき
そんなことで安心してないでまじめにセキュリティ対策とっとけ ActiveDirectoryでDNS使うことも知らない人ばかりなのか >>324
privateとかshareとかfileserverとかsecretとか役員共有とか ジェットストリームアタック (違
緊急レベルのやつの再現条件が今一つ分からないんだけど、これは簡単に再現できるから、あえてハッキリ記載していないってことかな?
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3137)
https://jprs.jp/tech/security/2017-04-13-bind9-vuln-cname-dname.html
BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3136)
https://jprs.jp/tech/security/2017-04-13-bind9-vuln-dns64.html
BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2017-3138)
https://jprs.jp/tech/security/2017-04-13-bind9-vuln-control-channel.html KSK更新て
managed-keysで運用してれば
特に何もしなくていいのかな dig +bufsize=4096 +short rs.dns-oarc.net txt
でチェックできるのは、特定の経路だけと考えてよいのですか?
DNSSEC無効にしないと酷い目にあいそう。 >>348
釘バットの角に頭をぶつけて逝ってよし! ttp://www.asahi.com/sp/articles/ASK7P5FYBK7PULFA011.html このデマのせいでSIerはどれだけ儲けたんだろう。
JPRSの某山師は雹が頭に落ちてきて死んで欲しい。 たいへんだ!
うちのかいしゃもねっとがつかえなくなっちゃうぞ! インタビュー&トーク - DNS運用者は10月11日に備えよう:ITpro
itpro.nikkeibp.co.jp/atcl/interview/14/262522/091300346/
ルートゾーンKSKのロールオーバー - ICANN
www.icann.org/resources/pages/ksk-rollover-2017-05-31-ja KSK Rollover Postponed - ICANN
www.icann.org/news/announcement-2017-09-27-en 誰でも簡単にパソコン1台で稼げる方法など
参考までに、
⇒ 『宮本のゴウリエセレレ』 というブログで見ることができるらしいです。
グーグル検索⇒『宮本のゴウリエセレレ』
19MH67R8CT 島本町民以外の皆さん
大阪府三島郡島本町では
「いじめはいじめられた本人が悪い」ということですよ ☆ 日本の、改憲をしましょう。現在、衆議員と参議院の両院で、
改憲議員が3分の2を超えております。『憲法改正国民投票法』、
でググってみてください。国会の発議はすでに可能です。
平和は勝ち取るものです。お願い致します。☆☆ ■ このスレッドは過去ログ倉庫に格納されています