強烈なDNSキャッシュポイズニング手法が公開される:Geekなぺーじ
本日、JPRSが緊急の注意喚起を公表しました。 緊急)キャッシュポイズニング攻撃の危険性増加に伴うDNSサーバーの設定再確認について(2014年4月15日公開)- 問い合わせUDPポートのランダム化の速やかな確認・対応を強く推奨 それに対して、2月中旬に脆弱性を発見してJPRSへと報告していた鈴木氏(脆弱性は前野氏との共同発見)が、JPRSの注意喚起では「危険性をよく理解して対策をとるにあたって十分な情報が含まれているとはいえません」として、以下の情報を公開しています。 開いたパンドラの箱 - 長年放置されてきたDNSの恐るべき欠陥が明らかに キャッシュポイズニングの開いたパンドラの箱 キャッシュポイズニングの開いたパンドラの箱 - 2 - 本来であれば、より上位からの正規の回答が優先されなければならないはずなのに、下位側が優先される仕様になっているので、偽装されたデータが優先されてしまう
スノーデン事件の裏で起きていたSSL秘密鍵を巡る戦い:Geekなぺーじ
今月7日から9日にアリゾナ州で開催されたNANOG 59で、Ladar Levison氏がFBIにサービス全体のSSL秘密鍵を要求された話が公開されていました。 Ladar Levison氏が運営していた、Lavabitという電子メールサービスはスノーデン事件に関連して突如8月8日に閉鎖されています。 閉鎖時には詳細が書かれておらず、様々な憶測が語られていましたが、世界中から多数のネットワークエンジニアが集まるNANOGで、その一部始終が語られました。 この発表は、NANOG 59が開始される前の週に、裁判所が調査対象の氏名以外を機密解除したことによって実現しています。 インターネット上で提供されているサービス事業者にSSL秘密鍵を提出させ、かつ、その事実の公表が違法行為となるようにされてしまっている一方で、こういった内容を公的に語れるように裁判所で戦って、実際にそれを勝ち取るというのは凄
「DNSが攻撃されてる!助けて!」→「いえいえ、アナタも攻撃に加担してます」:Geekなぺーじ
DNS Summer Days 2013の初日最後のセッションで面白い話が公表されていました。 JPCERT/CCに対して「うちのDNSが攻撃されています。助けて下さい」という問い合わせが来ることがあるらしいのですが、調べてみるとその大半がDDoSの踏み台として使われているのであって、実際は攻撃に加担してしまっているというものでした。 他者を攻撃するトラフィックを生成することで、自身の回線やサーバに負荷がかかってしまっている状態が凄くよくあるそうです。 「助けて!」と言っている人が、意図せずに誰でも使えるオープンリゾルバとして設定されており、攻撃者の踏み台にされているというものです。 キャッシュDNSサーバの設定を変更し、オープンリゾルバをやめると問題が解決することが多いとのことでした。 今年に入ってから、オープンリゾルバがDDoS攻撃の踏み台にされる話がインターネット通信業界で話題です。
Interop ShowNetトポロジ図が公開されてた:Geekなぺーじ
40GとL4以上が図の要素に追加 今年のトポロジ図には、「L4以上」を意味すると思われるオレンジのオブジェクトと、40G回線が新たな要素として登場しています。 「L4以上」の部分としては、CGNや、PeerAppとARA Networksによるコンテンツキャッシュ、Procera NetworksとA10 NetworksのDPIによるトラフィックトラフィック制御システムが入っているように思えます。 あと、LifeセグメントのところにSilver Peak Systemsの装置があるようです。 なお、私は図を見て予想しているだけなので実際のところは会期が始まらないとわかりません。 色々なエリア DataCenter #1 とDataCenter #2 というのが左右にあります。 #1と#2の両データセンターの間にはL3が入っています。 二つのデータセンターがどのような方式で接続されるのかが
GoogleがAAAA非表示リストを公開:Geekなぺーじ
日本の件数が圧倒的ではありますが、個人的な感想としては予想よりもむしろ割合が少なかったような気もしています。 これまでのNTTフレッツ網IPv6問題に関する議論では、Googleの主張は「NTTフレッツ網が原因であり、日本だけだ」という感じでした。 なので、日本専用のリストになるのだろうと私は勝手に想像していました。 結果を見ると日本が圧倒的に多いのですが、過半数というわけでもなく、日本以外の国々も多く含まれています。 個人的には、日本以外でIPv6がIPv4と比べて遅くなる環境とその原因に非常に興味があります。 どういった要因でそれらが発生しているのかを見ると、IPv6やIPv4/IPv6デュアルスタック運用の課題等が垣間見えるような気がしているからです。 そういった意味でも、このリストは貴重なデータであると思います。 件数カウント 参考までに、6月7日時点(最終更新は6月5日)でのAA
NTT IPv6閉域網フォールバック問題:Geekなぺーじ
NTTのIPv6閉域網におけるフォールバック問題の解説です。 同問題に対する正式な名称があるわけではありませんが、ここでは「NTT IPv6閉域網フォールバック問題」と表現しています。 当初、NTT NGN IPv6マルチプレフィックス問題の解説から書き始めていたのですが、色々考えているうちにNTT NGN IPv6マルチプレフィックス問題とNTT IPv6閉域網フォールバック問題に関してゴチャゴチャな文章になってしまったので、切り分けるためにあえてIPv6閉域網フォールバック問題だけにフォーカスした文章にしました。 個人的な感想として、背景となる環境等を考えるとNTT NGNがIPv6を利用して実装されていることそのものに関して「設計が悪い」とは思ってません。 また、NTT IPv6閉域網に関連する各種問題はNTT NGNに限った話ではなく、NTT NGNではないBフレッツ等でも発生する
IPv6とIPv4アドレス在庫枯渇問題の感想:Geekなぺーじ
IPv6やIPv4アドレス在庫枯渇問題に関しての私の感想です。 IPv4アドレス在庫枯渇問題が現実のものとなり、今後のIPv4インターネット運営が徐々に行き詰まると思われるので、IPv6は必要だと考えています。 IPv6はこれから普及していくと考えています。 一方、IPv4はインターネットの中心的な通信手段として結構長い間、使われ続けると考えています。 たとえば、20年後ぐらいにIPv4が主流であり続けるのか、それともIPv6が主流になるのかは、現時点では私には予想できません。 IPv4とIPv6の違いはIPアドレスが32ビットか128ビットかだけではなく、結構違います(IPv4とIPv6の違い)。 IPv6を無条件に他人に強要するのも、IPv6を全否定するのも個人的には適切ではないと考えています。 短期的視点で見た場合、IPv6はIPv4アドレス在庫枯渇問題を直接的に解決するものでも、緩
NASAのDNSSEC鍵更新失敗でComcastが非難された事例:Geekなぺーじ
1月10日にComcastがDNSSECに完全対応したという発表を行っていましたが、DNSSEC対応することによって、技術的には間違った設定を行ってないのに多数の抗議が来てしまうという事例が発生してしまっていたようです。 障害が発生したのは1月18日ですが、それに関するレポートが1月24日に公表されています。 Comcast: Analysis of DNSSEC Validation Failure (PDF) Internet Society: Comcast Releases Detailed Analysis of NASA.gov DNSSEC Validation Failure 1月18日に、NASA.govがDNSSECでの鍵更新に失敗したため、DNSSECを使っているとNASA.govの名前が引けないという状況になりました。 その状況に気がついたComcastユーザが「C
なぜ「DNSの浸透」は問題視されるのか:Geekなぺーじ
「DNSの浸透」という表現が結構よく使われています。 DNSに設定された情報を更新したけれど、その結果がなかなか反映されずに誰かに相談すると「DNSの浸透には時間がかかります」と説明されて納得してしまうという事例が多いようです。 しかし、うまく準備を行えば、実際の切り替え処理は、いつ完了するのかが不明な「DNSの浸透」を待つのではなく、事前に計画した時間通りに完了させることが可能です。 さらに、本来であればDNS情報の設定者(ゾーン情報の設定者)は、いつまでに世界中のキャッシュが更新されるかを知ることができる環境にあり、それ以降も更新がされていなければ「何かがおかしい」とわかるはずです。 DNSにおける設定内容(DNSのリソースレコード)には、その情報をキャッシュとして保持し続けても良い期間であるTTL(Time To Live)という要素がありますが、TTLはDNS情報設定者が自分で設定
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
.com、.net、.orgでのIPv6対応可能ドメインが1年で1900%増加:Geekなぺーじ