X
【DNS】Name Server 総合スレ Part2
■ このスレッドは過去ログ倉庫に格納されています
0037名無しさん@お腹いっぱい。
垢版 |
2014/05/06(火) 14:55:47.83
まともに運用できる人がほとんどいない技術じゃ無いのと同じだろ

浸透いうな・大岡山の両氏はDNSはオワコンであきらめろと言っとるよな。
0038名無しさん@お腹いっぱい。
垢版 |
2014/05/06(火) 15:01:19.60
DNSSECに対応しなくてもサービス提供側は困らない、というのも理由の一つじゃないでしょうか。
むしろDNSSECしたら「お宅だけメールが送れないので、お宅のメールサーバーがおかしいですよ」と言われてorzする。
さすがに今はないか?
0039名無しさん@お腹いっぱい。
垢版 |
2014/05/07(水) 02:38:26.12
DNSやめて別のにするのとDNSSECやるのとどっちが難しいかという話じゃね
別のを作ってもDNSと同じものができそうw
0040名無しさん@お腹いっぱい。
垢版 |
2014/05/07(水) 02:54:40.01
今の世界は腐ってるから一度リセットしろなんて聞き飽きた
いい歳して何を言ってんだ、いまどきマンガでもねえよ
004332
垢版 |
2014/05/07(水) 21:21:45.36
>>34
2008年当時でも、TLDの乗っ取りができないなんて話は誰もしていなくて
ポートランダマイズしてなければあらゆるものが簡単に乗っ取れる
という空気だった。
tss氏が示した毒が、ポート・TXIDのランダマイズをすり抜けられれば
TLDやSLDを乗っ取れるし、それが重大なのもよくわかるけど、
それは2008年当時から状況は変わらない。よくわからないのは、それでなにを
主張したいのかということだ。

ポートランダマイズを無効にする攻撃法を見つけたという主張なのか?
ポートランダマイズではもう不足だと言いたいのか?
ランダマイズしてないのがいっぱいあるのでランダマイズしろよという主張なのか?
カミンスキー的な攻撃は頻繁に行われているがRFC2181 Rankingによって
結構守られていた(今回そうでない毒を見つけた)という主張なのか?
DNSSECでもNSEC3 Opt-Out運用ではinsecure delegationを毒と
して入れることが可能なので、Out-Outはやめろと言いたいのか?
DNSは欠陥だらけで手の施しようがないので、もうやめろということなのか?

非専門家ばかりが騒ぎ、専門家の反応がいまいちなのはそのあたりなんじゃないか。
0044名無しさん@お腹いっぱい。
垢版 |
2014/05/08(木) 01:48:04.09
化けの皮がはがれるから、はっきり主張できないんだろ
attackerに情報を与えることになるから
詳細は公表しないって逃げるに決まってる
0045名無しさん@お腹いっぱい。
垢版 |
2014/05/08(木) 12:11:39.36
>>43
ポートランダマイズの効果を薄くする方法はある…っぽいが、
オープンリゾルバで無ければ大丈夫かと思う。

普通のフルリゾルバであれば、とりあえずランダマイズで
対応する、で行くしかないんじゃないかな。

ただ、TXID&ランダマイズを抜けた後の手法がより危なく
なったので、ポイズニングに対する監視は充実させたほうが
よいのかもしれない。

unboundなら、「unwanted-reply-threshold」設定とか、
その他ならば、パケットキャプチャでクエリとレスポンスの
割合とかを見ておくとかかな?他にもあればPLZ.

いずれにせよ、今全てを投げ出すわけにもいかんのだし、
やれることを粛々と頑張るしか無いよね。
0046名無しさん@お腹いっぱい。
垢版 |
2014/05/08(木) 14:45:25.30
オープンでもクローズでも、基本的な動作原理は変わらないのでは?

それに一口にオープン良くないというけど、そのオープンてどういう定義なの?
オープンは危ないという風評被害もありそう
0048名無しさん@お腹いっぱい。
垢版 |
2014/05/08(木) 15:18:51.10
ISPのDNSサーバは、ISP加入者全てからのクエリを受けつけるようにしてるのでかなりオープンに近いけどな。ISP加入者がボットに感染してるとか普通にある
0049名無しさん@お腹いっぱい。
垢版 |
2014/05/08(木) 20:23:34.68
>>46
あまり詳しく書くのははばかられるが、オープンだと
ポートランダマイズの効果を下げる事前作業がやりやすい

>>48
許可NW内のBOTを使えば、同じようなことは出来るので、
許可NWが多いリゾルバとかは危険かもしれない

いずれにせよ、そういうところは監視による警戒を厳
として、危険な兆候が見られたら即対応などを考えて
おいたほうがよいのかもしれない
0051名無しさん@お腹いっぱい。
垢版 |
2014/05/09(金) 09:10:09.13
GoogleDNSって、たしかUnbound使ってたと思うけど
何か特殊な設定仕込んでるのかなぁ

自前でオープンリゾルバなDNS公開設定しようかと思ってるんだけど・・・

用途は、避けたいサイト(正引き)で127.0.0.1を返すため
スマホとかで自前DNSを利用したい
0052名無しさん@お腹いっぱい。
垢版 |
2014/05/09(金) 09:47:05.51
>>50
JPRSも書いてたけど、危ないと思ったらキャッシュクリアするとか…

あとは攻撃元IPを見つけたら、BANして通報とかかな。

>>51
GoogleDNSは権威側で動作を見てると、多段で構成されてるっぽい。

フロントはオープンだが単なるフォワーダっぽいリゾルバみたい。

バックエンドはオープンでないフルリゾルバで、フロントからの
問い合わせにだけ答えている模様で、こちらは色々対策している
のでは無いかと思う。
0057名無しさん@お腹いっぱい。
垢版 |
2014/05/09(金) 15:43:11.98
リゾルバは何回もバシバシ叩くことはほとんど無いし
基本的にパケットの分割も無いから
同じ相手にUDPのパケットを返すときに
2つ目以降のパケットは数秒待たせても
問題ないよね?
0060名無しさん@お腹いっぱい。
垢版 |
2014/05/11(日) 16:28:28.00
>>52
フォワーダっぽいリゾルバって何だ?
VIPで受けて大量のキャッシュDNSサーバへロードバランシングしてるんじゃなくて、
回送専用のDNSサーバで受けて、ドメイン単位で回送したら再起検索専用のDNSサーバで検索…ってこと?
なにそれ怖い。
0061名無しさん@お腹いっぱい。
垢版 |
2014/05/12(月) 02:39:47.72
TLDごとにその国に近いリゾルバに回送してそこで反復問い合わせさせれば、確かに理論的には速くなるな。
0066名無しさん@お腹いっぱい。
垢版 |
2014/05/26(月) 20:31:00.57
セカンダリならたいした手間でもないだろうけど、逆にプライマリ提供できないのが浮き彫りになるのが嫌なのかな。
0067名無しさん@お腹いっぱい。
垢版 |
2014/05/26(月) 21:25:48.90
へー、そんなところもあるのか。

ウチは DNSSEC に関して何もアナウンスしてないけど、問い合わせを受けたら「レジストリへの取次と
セカンダリ運用は承りますが、プライマリの運用はお受け出来ません。ごめんなさい」と回答する予定です。

まだ問い合わせは一度も来たこと無いけどね! (酷いオチ)
0068名無しさん@お腹いっぱい。
垢版 |
2014/05/27(火) 00:04:20.35
自分とこでDNSを二台たててDNSSECしてたんだけど、プロバイダにセカンダリをやってもらおうと思って。
zone転送の設定まではスイスイと行ったけど dnscheck.jp で見たら、プロバイダ側のDNSSECが×だらけ。
サポートに問い合わせして、「おかしいにゃー、調べてみるんで待ってて」ってことで待ってたら
「やっぱりDNSSECはやってないんで、メンゴ」ってことになった。
0070名無しさん@お腹いっぱい。
垢版 |
2014/05/27(火) 09:57:53.64
atnd 見えないね。権威サーバが何も返してこないんだけど、この時間になっても
復旧してないとは思わなかった。何やってんだ、中の人。

参考

ttp://www.e-ontap.com/blog/20140527.html
0071名無しさん@お腹いっぱい。
垢版 |
2014/05/27(火) 10:30:47.05
あ、ようやく見えるようになった。だけど TTL が 300 になってるねw
絶賛リカバリ中ってとこなのかな。
0074名無しさん@お腹いっぱい。
垢版 |
2014/05/28(水) 17:32:02.96
ん? まだ atnd.org の TTL が 300 のままですね。権威サーバの ns[1-3].x.recruit.co.jp という
ホスト名がいかにも仮のものっぽいけど、しばらくこのままなのかな……
0075名無しさん@お腹いっぱい。
垢版 |
2014/05/28(水) 23:27:15.17
数年前、名前解決の障害でrecruit.co.jp調べたとき、EDNS未対応だったか、
TCP非対応だったか忘れましたが変なサーバだったのを覚えてます。
0077名無しさん@お腹いっぱい。
垢版 |
2014/06/11(水) 15:47:49.51
で?
なぜインフラ予約ドメイン名を定義しないで、ねずみ講のようにドメイン登録をプッシュするんだ?
ARPAとかがあるから、今後は
おれんち.ARPAとかで逃げ始めるバカがわくと思うんだけど
0079名無しさん@お腹いっぱい。
垢版 |
2014/06/11(水) 17:10:36.83
インテリやくざ集団に直接談判とかヤダー
判子屋と組んでうまい汁をすおうとかプレゼンかいてインターネットでシェアするような奴が集まるのがIT業界じゃないですか
0096名無しさん@お腹いっぱい。
垢版 |
2014/07/02(水) 11:12:51.89
>>95
ハッシュ関数はだれかが「これ」と決める。
IPアドレスは変更できない。というか、使いたいIPアドレスになるようなFQDNをハッシュ関数から探して使う。
0097名無しさん@お腹いっぱい。
垢版 |
2014/07/02(水) 11:24:05.16
>>96
なるほどー
例えば192.168.10.203というIPを使う場合、それに該当するFQDNを採掘するわけですな。
あらかじめ発見しておいて、○.○.○.○に対応するFQDN教えます、という広告をオークションに出しおけばいいのか。
203.10.168.192.in-addr.arpa より分かりやすいものであることを願おう。
0102名無しさん@お腹いっぱい。
垢版 |
2014/07/08(火) 03:46:30.63
ISCのBIND祭と言えば、六尺褌一丁のDNS担当者たちが、
namedをアップデートし合う、勇壮な祭りとして、
この地方に知られている。
0110名無しさん@お腹いっぱい。
垢版 |
2014/08/14(木) 20:31:59.50
DNS名前衝突ブロックリストな件
ttp://internet.watch.impress.co.jp/docs/news/newgtld/20140812_661957.html

これ、DNSプリフェッチ機能で問い合わせされたドメインは、除外されてるの?
どうしても登録させたくないドメインを毎日機械的に問い合わせてれば、禁止にできるの?

中の人、あ意外とほっぽい。
0112名無しさん@お腹いっぱい。
垢版 |
2014/08/14(木) 21:33:41.85
あれ、この記事、申請拒否されたドメインがプレミアム予約リストに該当してるんなら、
やっぱりレジストラが腹黒ってことになるじゃね?
0114名無しさん@お腹いっぱい。
垢版 |
2014/09/06(土) 18:21:32.33
>>113
そのページだと軽く流して、直ぐに名前衝突に話が進んでいるが、
付加価値がつく名前はレジストラが先に予約しているって書いてある

.network .dot .inspire .trust
.nt .do .nex .aegis .terra
とかプレミアついて人気レジストラになれそうじゃん

こういうのはレジストラがキープしてねずみ講の親になるから、パンピーにはやらんってことだよ
0115名無しさん@お腹いっぱい。
垢版 |
2014/09/06(土) 18:27:23.80
今に手数料の上納ルールが作られるだろうしね
仕組み上必ずルートに検索かける通り、上の方は負荷がかかるから保守費払え、インフラただ乗りすんなーってね
0117名無しさん@お腹いっぱい。
垢版 |
2014/09/09(火) 09:24:15.22
nsdでセカンダリ建ててます。
プライマリのレコードが(SOAも)変更されたとき
セカンダリに転送かかるべきところ、そのタイミングでセカンダリ側のnsdが落ちます。
(プロセスにも残らない)

Sep 9 08:00:48 ubuntu14 nsd[14255]: database corrupted, cannot update
Sep 9 08:00:41 ubuntu14 nsd[1149]: message repeated 54 times: [ wait failed: No child processes]
Sep 9 08:00:48 ubuntu14 nsd[1149]: handle_reload_cmd: reload closed cmd channel
Sep 9 08:00:48 ubuntu14 nsd[1149]: Reload process 14255 failed with status 256, continuing with old database
Sep 9 08:00:48 ubuntu14 nsd[1149]: wait failed: No child processes

※ubuntu14 はホスト名

shutdown -r now で再起動かけると
ちゃんと起動直後にゾーン転送が行われ正常終了します。

プライマリのSOAが変わらないうちは好調に動作しますが、
またゾーン転送がかかると落ちます。

なにか原因として考えられることありますでしょうか。
0119名無しさん@お腹いっぱい。
垢版 |
2014/09/09(火) 14:35:11.95
再起動すると正常動作(かつゾーン転送も済んだ状態)になるから
実際にはデータベース壊れてないと思うんだけど・・・
0121名無しさん@お腹いっぱい。
垢版 |
2014/09/12(金) 02:00:49.66
>>117
nsdc patch してみてください
0122名無しさん@お腹いっぱい。
垢版 |
2014/09/12(金) 11:01:55.05
DNS1で名前解決できなかったらDNS2に問い合わせ
という仕組みを構築したいんですが、これって無理ですかね?

DNS1の電源が落ちているとか通信自体ができない場合はDNS2へ問い合わせに行くのですが、
DNS1の応答が「そんなレコードありません」という応答だった場合、
DNS2に見に行かないのです。

おそらく通常の仕様なのはわかっているのですが、何とかなりませんか?

社内向けDNSサーバーで解決できなかったら
クラウド上のDNSサーバーで解決させたいのですが・・・。
同じレコードを持てない理由がありまして・・。
0123名無しさん@お腹いっぱい。
垢版 |
2014/09/12(金) 11:18:32.48
「同じレコードを持てない」というのをもちっと詳しく書けませんか?

なんとなくzoneとかforwarderとか
そんな感じのことで調べてみるとなんとかなったりするかもしれません。
0125名無しさん@お腹いっぱい。
垢版 |
2014/09/12(金) 12:54:40.00
hoge.jpは他者管理



「www.hoge.jp」←インターネット上のhoge.jpの名前解決はDNS2
    |
(インターネット)

「自社:jiya.jp」-(VPN)-「wwwsec.hoge.jp」←VPN上のhoge.jpの名前解決はDNS1


VPN上はセキュアなネットワークというポリシーらしく、
DNS1-DNS2間の通信はできない
0126122・125
垢版 |
2014/09/12(金) 12:58:58.60
hoge.jpという同名のドメイン名が
VPN上とインターネット上 両方にあるのが問題かなーっと
でも他者なので口を挟めない。

自社にDNSサーバーにwww.sec.hoge.jpの問い合わせが来たら
DNS1へフォワードするってのが簡単に思いついた事だけど、
hoge.jpのサーバーが増えたりするたぶに手で修正すうのは面倒・・・。
DNS1レコードがなかったらDNS2へ追い合わせ汁!っていう形とれないかな?
0132名無しさん@お腹いっぱい。
垢版 |
2014/09/12(金) 14:31:42.18
hoge はあれなんで example.jp で話すけど
example.jp は他者が管理していて、そのサブドメイン sec.example.jp を
自分のところの中でだけ存在させたい、ってことかな。

もし、そうなら自分のところDNS(DNS1なのか?)に勝手に sec.example.jp のドメインを持たせてしまえばいいんじゃないか?
example.jp のDNSで委譲してもらわなくても、クライアントがDNS1に問い合わせるようにしとけば
sec.example.jp については名前解決できる。

サブドメインじゃないよ、ホスト名だよって場合でも、ホスト毎にzoneを作ることは可能。
0133名無しさん@お腹いっぱい。
垢版 |
2014/09/13(土) 01:14:12.33
localhostのサブドメインでやればいいだよ好き放題作っていいんだから
0134名無しさん@お腹いっぱい。
垢版 |
2014/09/13(土) 05:28:05.27
>>122
そういう名前解決をしてくれるDNS3を用意したいけどどのDNSサーバだと実現できるんだろうって話?
>>132
RFC2606で予約されてるのは、.test、.example、.invalid、.localhost、example.com、example.net、example.org
example.jpは予約されてませんよ、という野暮なツッコミ
■ このスレッドは過去ログ倉庫に格納されています
ニューススポーツなんでも実況