@IT:キャッシュ/逆引きDNSの構築と運用(2-2)
逆引きの仕組みと逆引きDNSの運用 おろそかにされがちな逆引きサーバですが、その効果は意外に大きいものです。WebサーバにしてもFTPサーバにしても、そのサーバの運用者の意図次第で、接続元のIPからドメイン名を検索してログファイルに記録したり、場合によっては逆引きしたドメイン名からIPアドレスを正引きし、同一性を確認する場合があります。 こうした機能はクライアントだけでなく、サービスを提供するサーバやネットワーク側にも多くのコストを要求します。運用側も十分に承知しており、こうした同一性の確認およびIPアドレスの逆引き結果をログファイルに記録するなどの行為は、多くのサイトでは行われていません。それでも接続元の身元を確実にとらえておきたいと意図する運営者や、ログファイルにはホスト名を残したいと思う管理者は少なからず存在します。そのようなサイトにアクセスした場合は、逆引きの効果が大きく左右します
DNS in Ubuntu 12.04 | Stéphane Graber's website
Anyone who’s been using 12.04 over the past month or so may have noticed some pretty significant changes in the way we do DNS resolving in Ubuntu. This is the result of the implementation of: foundations-p-dns-resolving Here is a description of the two big changes that happened: Switch to resolvconf for /etc/resolv.conf management resolvconf is a set of script and hooks managing DNS resolution. Th
技術解説:「DNS Reflector Attacks(DNSリフレクター攻撃)」について
--------------------------------------------------------------------- ■技術解説:「DNS Reflector Attacks(DNSリフレクター攻撃)」について 株式会社日本レジストリサービス(JPRS) 初版作成 2013/04/18(Thu) --------------------------------------------------------------------- ▼はじめに 2013年3月16日(協定世界時)[CISCO2013]から3月下旬にかけ、迷惑メール 対策の活動を進めている国際組織The Spamhaus Projectに対する攻撃に端を 発する、大規模かつ長期間にわたる分散サービス不能(DDoS)攻撃が発生し ました。 今回の攻撃ではこれまでで最大規模となる300Gbps以上のトラフィ
livedoor Techブログ : CNAMEの間違った使い方
情報環境技術研究室の永井です。 今日はDNSのCNAMEの間違った使い方のお話です。 その間違った使い方がうちのサービスで使用されているかもっ!? DNSって? Domain Name System(ドメイン ネーム システム、DNS)はインターネットを使った階層的な分散型データベースシステムである。 1983年に情報科学研究所 (ISI) のポール・モカペトリスとジョン・ポステルにより開発された。 Wikipediaより一部抜粋 http://ja.wikipedia.org/wiki/Domain_Name_System 例えば、ライブドアのポータルサイトといえば「http://www.livedoor.com/」ですが、実際には「http://125.6.172.15/」というIPアドレスがインターネット上の住所になります。でも、こんな数字の羅列を一々覚えていられないので、DNSとい
DNSSECの役割と動作の概要
DNSSECが提供するもの 第1回で説明したとおり、DNSSEC(Domain Name System Security Extensions:DNSセキュリティ拡張)を導入すれば、DNSの応答が「本当に正しい」ことを検証できる。 「本当に正しい」とは、どういう状態を意味するのだろうか? 正しいことを検証するには、以下の2つの事項を検証できればよい。 ・データの出自認証(Data origin authentication) →ゾーンの管理者が登録したとおりの内容であること ・データの完全性(Data integrity) →通信途中で応答が書き換えられたり、応答の一部が損失したりしていないこと DNSSECの機能は、従来のDNSの仕組みを拡張する形で実装しており、従来のDNSと上位互換性を保っている。具体的な仕組みは後述するが、DNSSECに対応した権威DNSサーバおよびゾーンの検証は、
脅かされるDNSの安全性
インターネットの重要な基盤技術の1つであるDNSに対して新たな攻撃手法が公開され、その安全性が脅かされている。DNSにセキュリティ機能を提供するための技術であり、普及が進んでいるDNSSECについて、仕組みと運用方法を紹介する。(編集部) インターネットを支えるDNSとは インターネット上では、通信するコンピュータを特定するためにIPアドレスを使用する。しかし、数字のみで構成されるIPアドレスは人間にとって扱いづらいため、覚えやすいように名前を付ける方法が考案された。 このとき、人間が使用する名前(ドメイン名)とコンピュータが使用するIPアドレスを対応付ける仕組みが必要になる。この役割を担うのが、ご存じDNS(Domain Name System)である。 DNSSEC導入の背景——カミンスキー型攻撃 DNSは、インターネットの爆発的な普及に伴うドメイン名利用の急速な拡大にも対応し、インタ
なぜ「DNSの浸透」は問題視されるのか:Geekなぺーじ
「DNSの浸透」という表現が結構よく使われています。 DNSに設定された情報を更新したけれど、その結果がなかなか反映されずに誰かに相談すると「DNSの浸透には時間がかかります」と説明されて納得してしまうという事例が多いようです。 しかし、うまく準備を行えば、実際の切り替え処理は、いつ完了するのかが不明な「DNSの浸透」を待つのではなく、事前に計画した時間通りに完了させることが可能です。 さらに、本来であればDNS情報の設定者(ゾーン情報の設定者)は、いつまでに世界中のキャッシュが更新されるかを知ることができる環境にあり、それ以降も更新がされていなければ「何かがおかしい」とわかるはずです。 DNSにおける設定内容(DNSのリソースレコード)には、その情報をキャッシュとして保持し続けても良い期間であるTTL(Time To Live)という要素がありますが、TTLはDNS情報設定者が自分で設定
@IT:DNS Tips:サブドメインを委任するには
サブドメインの委任を行うには、委任元と委任先の間でネームサーバに関する設定をきちんと行う必要があります。具体的には上位のドメインを管理するネームサーバに読み込ませるゾーンファイル中に、委任するゾーンを管理するネームサーバを正しく記述します。 図1の例ではexample.jpドメイン(上位のゾーンファイル)の中でsub.example.jpドメイン(下位のゾーンファイル)を委任しており、委任先のネームサーバはns1.sub.example.jpになります。 このように委任先のネームサーバ(ns1.sub.example.jp)が、委任するサブドメイン(sub.example.jp)に属する場合は、NS(Name Server)レコードとして委任先のネームサーバの名前を指定するだけでなく、A(Address)レコードとしてそのネームサーバのIPアドレスも一緒に記述します。 ns1.sub.ex
@IT:DNS Tips:逆引きの設定方法とは
逆引きを設定する前に、DNSツリーにおける逆引きというゾーンがどのような位置にあるのかを知っておく必要があります。 IPアドレスの表記は 202.11.16.1 のように、1オクテットごとに「.」(ピリオド)で区切られています。そこで逆引きでは、この1オクテットをDNSにおける1つのサブドメイン名とし、IPアドレスとは反対の順番に並べ(1.16.11.202)、先頭に逆引きのゾーンを表すサブドメイン名(in-addr.arpa)を付けて表記します。 リスト1:DNSにおける逆引きの表記とDNSツリー IPアドレス 逆引きにおける表記 202.11.16.1 1.16.11.202.in-addr.arpa. このように逆引きは、見た目は反対に並べているように見えますが、DNSツリー的には上から順番にたどっていくことで、正引きと同じように名前解決をすることが可能になります。 では実際にBIN
DNSキャッシュポイズニング対策:IPA 独立行政法人 情報処理推進機構
本資料は、「DNSキャッシュポイズニングの脆弱性」の対策を更に促進することを目的としており、DNSキャッシュポイズニング対策の検査ツールの使用方法や、DNSの適切な設定方法に関する情報等をまとめています。 第1章では、DNSの役割とその仕組み、DNSキャッシュポイズニングの実現手法とその脅威を解説しています。 第2章では、DNSの問合せ動作を概説し、その動作の理解を深めて頂くための関連ツールとしてwhoisサービスやnslookupコマンドの使い方を説明しています。 第3章では、DNSキャッシュポイズニング対策の検査ツールとして活用できるCross-Pollination CheckツールとDNS-OARC Randomness Testツールの使い方と注意点をまとめてあります。 第4章では、BIND DNSサーバとWindows DNSサーバの適切な設定に関して具体的に記述してあります。
インターネットを支えるDNS
前回は、DNSの基本的な考え方や動作について説明した。今回は、DNSという巨大な分散システムが、インターネットの中で実際にどのように運用されているのかを見てみよう。 ドメインの種類ドメインの種類 前回説明したように、ドメイン名(FQDN)とは「ドメイン・ツリー」と呼ばれるDNSの根幹そのものの書式を示している。 ところで、このトップ・レベル・ドメイン(TLD:Top Level Domain)やセカンド・レベル・ドメイン(SLD:Second Level Domain)は、だれがどのように決めて管理しているのだろうか? TLDなどを決定・運営しているのがICANN(Internet Corporation for Assigned Names and Numbers)で、ドメイン名のほか、IPアドレス/ポート番号管理などを指揮する国際的な非営利法人団体である*1。すなわち、ルート・ネーム・
すべての基礎、マスター・ゾーンサーバの設定
すべての基礎、マスター・ゾーンサーバの設定:実用 BIND 9で作るDNSサーバ(2)(2/3 ページ) ゾーンファイルの作成 次に、/var/named下に/etc/named.confで記述したすべてのゾーンファイルを作成します。 named.ca キャッシュサーバとして動作するためには、ルートサーバがどこにあるのかを正しく知っておく必要があります。そのためのゾーンファイルをftp://ftp.rs.internic.net/domain/named.rootから入手し、/var/named/named.caとして保存します。 ルートサーバは不変であると思われがちですが、頻繁でないにしろ更新されることがあります。2002年11月にはDoS攻撃への対策から、5年ぶりにルートサーバに変更が加えられました。BINDはnamed起動時にルートサーバに接続し、自動的に最新のルートサーバ一覧情報に
主なDNSレコードの種類- @IT
ゾーン(ドメイン)情報を記載する。以下のようなデータを保持する ・ドメインのDNSサーバ名 ・ドメイン管理者のメール・アドレス ・シリアル番号―ゾーン転送時に情報が更新されているかどうか判断に用いられる(本連載の第3回参照)。数値が大きくなっていれば更新済みという意味だ。番号は任意だが、管理しやすいように通常は「年月日+連番」などの書式が多く用いられている ・更新間隔(refresh)―このゾーン情報のゾーン転送間隔時間を秒で指定する ・転送再試行時間(retry)―ゾーン転送に失敗した場合の再試行までの猶予時間を秒で指定する ・レコード有効時間(expire)―ゾーン情報を最新と確認できない場合の有効時間を秒で指定する ・キャッシュ有効時間(TTL)―このゾーン情報をキャッシュする場合の有効時間を秒で指定する @ IN SOA dns.example.com. root.example.
いますぐ実践! Linuxシステム管理
「いますぐ実践! Linux システム管理」はこちらです。 メルマガの解除、バックナンバーなども、以下からどうぞ。 https://www.usupi.org/sysad/ (まぐまぐ ID:149633) その他、作者に関するページは、概ね以下にございます。 https://www.usupi.org/kuri/ (まぐまぐ ID:126454) http://usupi.seesaa.net/ (栗日記ブログ) https://twitter.com/kuriking/ (twitter) https://facebook.com/kuriking3 (facebook) https://jp.pinterest.com/kuriking/pinterest) https://www.instagram.com/kuri_king_/ (instagram) [バックナンバーのトップへ
BINDの設定 - ゾーンファイルの記述方法
ここでは named.conf の各 zone の部分の "file=" で指定したパスに 作成するゾーンファイルの作り方を説明します。 このソーンファイルにはIPアドレスを得たり、メールの転送先を調べたり するためのリソース(情報資源)を記述します。 正引きとMXのためのゾーンファイル 正引きとはアドレスからIPアドレスへの変換のためにDNS情報を 取り出すことを言います。例えば www.fc-lab.com というホスト名 から 210.191.124.94 への変換がそうです。さらに fc-lab.com のネームサーバにはメールが届くようにするために、MXレコードを 設定します。これはメールアドレスから、届けるべきホストへの 変換をするために必要です。 以下に例をあげます。named.confで $TTL 3600 @ IN SOA panda.fc-lab.com. root.p
小悪魔女子大生のサーバエンジニア日記 » DNSって何?
今日はこあくまブログ、怒濤の更新です^ω^ DNSとはDomain Name Systemの略です。 Domain Name(ドメイン名)はネットワーク上のコンピューターの住所でしたよね。 また、これはコンピュータがわかりやすいように数字でかかれたネットワーク上のコンピュータの住所、IPアドレスを、人間にわかりやすいようにしたものでしたよね。 わたしたちがホームページを見るとき、ドメイン名とその他もろもろ(前回参照)をかいたURLを使いますよね。 しかしこのドメイン名、0と1しかわからないコンピュータにはわかりにくい。 じゃぁドメイン名をIPアドレスになおしてコンピュータにわかりやすくしてあげましょう! その仕事をするのがDNSです!!! そして、そのシステムを行うコンピュータやサーバーソフトウェアをDNSサーバーと呼びます。 そしてドメイン名とIPアドレスを対応付けするこの仕事のことを名
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
DNS トラブルシューティング
http://www.nlnetlabs.nl/downloads/publications/report-rrl-dekoning-rozekrans.pdf