EPIC2014 Google Public DNS (8.8.8.8, 8.8.4.4) 経由では本サイトにアクセスできないよう措置させていただいております。 Firefox の名前解決キャッシュの動作が不可解だったので色々調べてみました。 「ISPのDNSキャッシュサーバはTTLを越えてキャッシュを保持するか?」の実験で用いている a.t.e-ontap.com は 5分毎に A レコードが切り替わるようになっています。 この http://a.t.e-ontap.com/ を Firefox 28.0 でリロードしながら観察するとおかしなことに気づきます。まず普通にリロードを行っても DNS 権威サーバ側で A レコードが切り替わっているのに、まるで HTTP の接続先が切り替わりません。さらにパケットダンプしてみると、DNSキャッシュサーバへ問合せを送り新しい A レコードを得てい
キャッシュサーバを権威サーバと兼用すると危ない ~ 分離してキャッシュサーバはアクセス制限しましょう ~ 兼用していると、、、 毒を入れられやすい 理由: 存在が公開されているので狙われやすい/往々にしてオープンリゾルバである(オープンでなくとも毒いれする方法はある)。 さらに、誰でも任意のゾーンが登録できるという恐ろしいサービスをしていると毒は入れ放題である。(そういうサービスは実在する) ...参考 DDoS(DNS amplification attack)の踏み台になりやすい 理由: 存在が公開されているので狙われやすい/往々にしてオープンリゾルバである。 アクセス制限をしづらい/忘れる/失敗する 理由: 権威サーバは世界に公開しないといけないので、ファイアウォールで守るのが困難。BINDだと仕様がよく変わり、ある日から中途半端なアクセス制限のような状態になったりする。 キャッシュ
検査項目: NSの一貫性(lame delegation/stealth server) 応答の有無と権威(AA) キャッシュの兼用(RA) ...こちらで詳しく検査できます ハイジャック可能性(NSの存在確認) 注: ちゃんと読んでください! IDNには対応していません(Punycodeでどうぞ) TLDから直接委譲されているドメインを想定しています (サブドメインは正しく診断されません. WWWとかも付けないで!) 逆引きはin-addr.arpa直下のみ対応しています (JPNIC管理下のゾーンならこちらがいいでしょう) ごく普通のDNS問い合わせによる検査です。検査自体に害はありません 1つのNSにAレコードが複数あっても1つしか検査しません AAAAのNSがある場合(特にAAAAのみ)の検査結果は信用しないでください (IPv6に対応していません. そもそも正しい設定がどういうも
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く