こんにちは、インフラチームの加藤です。 この記事は Enigmo Advent Calendar 2020の23日目の記事となります。 本記事では、リモートワーク環境のため、擬似DNSを社内提供したお話をします。 エニグモでは、今年の2月頃から全社的にリモートワークを開始しました。 それに伴いインフラチームでは、リモートワークのネットワーク周りの対応を行いました。 エニグモが運用しているサーバ群 エニグモの運用するサーバは、データセンター内に構築したものとAWSのものがあります。 情シスの足立さんが、SaaS導入を進めて下さったためオフィス内にサーバはほぼありません。 サーバへの疎通経路 オフィス・リモート環境共にVPN経由(+ファイアウォール)で、サーバ群へアクセス可能です。 リモートワーク開始後のサーバアクセスの問題 リモートワーク開始直後から、ネットワーク設定に関するお問い合わせと、
中国で「高速で安定したNTPノードを提供する」とうたうNTP.ORG.CNが提供するノードの1つに福岡大学のNTPサーバーが含まれており、jp.ntp.org.cnに割り当てられているようだ(@tanyorgのtweet、ノード一覧ページ)。 さらに、NTP.ORG.CNでは提供終了に向けて動いている福岡大学(133.100.11.8)のほかNTT Americaの129.250.35.251が掲載されているが、これはPublic DNSではない(Aimless)。 別件として、パレスチナのISPと思われるntp.hadara.psにも福岡大学のIPアドレスが割り当てられていることも確認されている(@tanyorgの別tweet)。 過去のストーリーでも繰り返し語られているが、福岡大学やNTT AmericaのNTPサービスを関係者以外が使用することは迷惑行為であるため行ってはならない。日
あいさつ 平澤です。スプラトゥーン大好きエンジニアです。スプラトゥーン3のプレイ時間は500時間です🦑 今回は、『世界初への挑戦!インターネットを快適にするNAT64/DNS64とは?』をやったときに開発した技術をご紹介します。 style.biglobe.co.jp あいさつ NAT64/DNS64とは DNS64をどうやって使ってもらうか 実現したいこと 特許の概要 送信元IPアドレスを見てDNSサーバーを振り分け 実現できた もしもユーザーのDNSサーバーを自由に振り分けできたら BIGLOBEの特許出願事情 おわりに NAT64/DNS64とは BIGLOBEは快適なIPv6でのインターネット接続をおすすめしています。既存技術では、MAP-E機能付きのブロードバンドルーターがユーザーの負担となっていました。 ユーザーの負担が無いIPv6接続「NAT64/DNS64」で多くのユーザ
こんにちはカスタマーソリューション部のこーへいです! 今回はRoute53のDNS切り替え作業時に、ドメインが新しいネームサーバーのAレコードを参照し、切り替えが反映されるまでの時間を検証してみました。 検証前までは反映タイミングは各レコードのTTLのみに依存するかと想定しておりましたが、実際はそうではなかったです。 結論 ドメインのネームサーバーを切り替えの反映には3つの要素を満たさなければならない NSレコードのTTLが切れること 名前解決に使用するネームサーバーを切り替え前から切り替え後のものを参照するようにさせるため NSレコードのTTLが切れないと、いつまでも切り替え前のネームサーバーからAレコードを取得してしまう AレコードのTTLが切れること 切り替え先のネームサーバーに登録されているAレコードの情報を取得するため AレコードのTTLが切れないと、いつまでもDNSキャッシュサ
Hello! Yesterday I tweeted this: I feel like the term "DNS propagation" is misleading, like you're not actually waiting for DNS records to "propagate", you're waiting for cached records to expire — 🔎Julia Evans🔍 (@b0rk) December 5, 2021 and I want to talk about it a little more. This came up because I was showing a friend a demo of how DNS caching works last week, and he realized that what was h
IETFで議論されている、HTTP/3やWeb関連の応用トピックについて、次回ミーティングセッションに合わせ紹介していく。 IETF 107について QUICやHTTP/3は現在IETFで標準化が進められています。 そんなIETFの107回目のミーティングが今週(3/23~27)から開催されます。元々はバンクーバーで開催予定でしたが、急遽リモートでの開催となりました。 それに合わせ、開催セッションも少なくなっています(Agenda参照)。開催されるセッションは、今後の作業の進め方を決める必要がある初開催のWGや、BoF(同じ課題に興味を持つ人々の集まり。ここからWGになることもある) 開催されるセッションは少ないものの面白いトピックが多いので、HTTP/3やWeb関連のものを簡単に紹介していく。 (HTTP WG, QUIC WGは非開催のためそっちの標準化動向はマイルストーンを確認くださ
When you type something like “google.com” into your browser and hit enter, your device must query a known recursive resolver to find google.com’s IP address. Recursive resolvers are provided by most ISPs, but resolvers like 1.1.1.1 or 8.8.8.8 exist as well. You can query a resolver manually using something like dig or dog: ❯ dig @1.1.1.1 news.ycombinator.com ; <<>> DiG 9.18.4-2-Debian <<>> @1.1.1.
プログラミング言語Perlの老舗情報サイトである「Perl.com」が2021年1月27日、何者かにドメインを乗っ取られたことが判明しました。記事作成時点でPerl.comは既に復帰していますが、それまでには多くの労力と多くの人の助けがあったとして、Perl.comの編集者であるブライアン・ド・フォイ氏が事態の経緯をまとめています。 The Hijacking of Perl.com https://www.perl.com/article/the-hijacking-of-perl-com/ 2021年1月27日の早朝、フォイ氏がドメインに問題があることに気づいた後、すぐに読者から「Perl.comが消えた」という報告が届きだしたとのこと。この報告の数はDNSの更新が世界中で行われていくにつれ増加していきました。 そして同日、フォイ氏はTwitterでPerl.comの乗っ取りについて発
The reference implementation of the draw.io project will be hosted at app.diagrams.net. Everything else remains the same - the online editor has all the functionality of the draw.io core editor. .io domains There are two major problems with .io domains: The first is that the islands which should own the domain suffix, don’t, thanks to a wonderful piece of modern day British Imperialism. If you eve
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 米政府の国土安全保障省サイバーセキュリティインフラストラクチャーセキュリティ庁(DHS CISA)は米国時間7月16日、「Windows Server」に深刻な影響を与えるバグに対処するため、全ての政府機関へパッチ適用もしくは回避策を24時間以内に講じるよう指示する緊急指令(ED 20-03)を発表した。 Check Pointの研究者が発見したこの脆弱性は「SIGRed」と呼ばれ、緊急指令はMicrosoftが14日にリリースした月例セキュリティパッチ(Patch Tuesday)を施すよう、政府機関に呼びかけている。 このバグは、2003~2019年までにリリースされたWindows Serverの全バージョンに同梱されているDNS
Workgroup: intarea Internet-Draft: draft-dkg-intarea-dangerous-labels-01 Published: 21 May 2022 Intended Status: Informational Expires: 22 November 2022 Author: Dangerous Labels in DNS and E-mail Abstract This document establishes registries that list known security-sensitive labels in the DNS and in e-mail contexts.¶ It provides references and brief explanations about the risks associated with ea
ホスティングサービスなどを提供するGMOペパボ(東京都渋谷区)は7月1日、同社が運営するドメイン取得サービス「ムームードメイン」で、第三者によるドメイン名の乗っ取りやドメイン管理者の誤操作によるドメイン設定の変更を防ぐサービス「ドメインロック」の提供を始めると発表した。利用料は1ドメインあたり年間1200円(税別)。 利用者が管理するドメインの移管や譲渡の他、Whois情報、管理者情報、ネームサーバの設定変更などを行える範囲を制限できるサービス。情報を変更する場合は承認や認証作業が毎回必要となり、管理者が意図しない操作を起こしにくくできるという。「レジストラロック」と呼ばれる同様の機能は「お名前.com」や「名づけてねっと」などの他社サービスにもある。 GMOペパボは、ドメイン名の管理権限を持たない第三者が不正な手段でドメインを乗っ取る「ドメイン名ハイジャック」はセキュリティ上の脅威になる
ジェフ・ヒューストンのブログより。 数か月前の2022年7月、インターネットにおけるQUICの使用度合を測定する私たちの取り組みについて書きました。この測定を「正しく」行うことは興味深い課題であり、ここで関連づけたいと思う学習体験でした。前回の記事の終わりから始めて、そこから続けていきます。 QUICが少なすぎる! 私たちは、オンライン広告スクリプトを埋め込んだAPNIC Labの測定プラットフォームを使用しました。広告スクリプトは、ユーザにいくつかのURLフェッチを実行するように指示し、参照オブジェクトを提供するサーバは、サーバのアクションからクライアントの機能と動きを推測できるよう、測定されます。 この場合、クライアントは基本的なURLオブジェクト(最小の1x1ピクセルの「ブロット」)を読み込むよう指示され、URLのドメイン名部分は個々の測定値に固有となります。QUIC測定をセットアッ
The Hacker Newsはこのほど、「ChamelDoH: New Linux Backdoor Utilizing DNS-over-HTTPS Tunneling for Covert CnC」において、「ChamelGang」と呼ばれる脅威者によるLinuxを標的としたキャンペーンが展開されているとして、注意を喚起した。これまで文書化されていなかったインプラントを使用してLinuxをバックドア化するマルウェアが確認されている。 ChamelGangは、2021年9月にロシアのセキュリティベンダーにより初めて文書化された脅威者。これまでDoorMeと呼ばれるパッシブバックドアを使用し、ロシア、米国、インド、ネパール、台湾、日本などのエネルギー産業や航空製造業、政府機関を標的にサイバー攻撃を行っていることが観測されている。 ChamelGangによる新たなキャンペーンが特定され、新
最新のDNSプロトコル(DoT、DoH)およびDNSSECをDNSキャッシュサーバに導入し、安全性を向上 このニュースのPDF版 [512KB] English Version 株式会社インターネットイニシアティブ(IIJ、本社:東京都千代田区、代表取締役社長:勝 栄二郎)は、お客様のインターネット利用時の安全性を高めるため、IIJのインターネット接続サービスで提供しているDNS(Domain Name System)のキャッシュサーバにおいて、最新の標準プロトコル「DoT(DNS over TLS)」、「DoH(DNS over HTTPS)」および「DNSSEC(DNS Security Extensions)」に対応し、本日より提供開始いたします。 DNSのセキュリティ課題と業界標準の動き DNSはドメイン名とIPアドレスを紐づけるための仕組みで、お客様がWebサイトにアクセスする場
YAPC::Kyoto 2023 に参加してきました! 数年ぶりに開かれたYAPCで、数年ぶりに会うエンジニアの同窓会みたいな雰囲気ありつつ、新しい参加者も多く最高でした。オフラインイベント楽しいです。スタッフの皆様ありがとうございました!! 京都まで行かせてくれた家族にも感謝 会場のKRPは2006年まで働いていた場所で、17年も経ってそこで発表する機会をいただいたのは個人的に感慨深いものがあります。はてなの大西さんの発表は自分にとってもとても懐かしく聞いておりました。 エモさしかない pic.twitter.com/6V8gpxx4bg— 達人が教えるつぶあん🇺🇦 (@kazeburo) 2023年3月19日 発表してきた 私の発表はこちら speakerdeck.com DNS水責め攻撃とその対策については1月に開催されたJANOG51 Meeting in 富士吉田でも紹介して
ウェブブラウザ「Firefox 92」の正式版が公開されました。 Firefox 92.0, See All New Features, Updates and Fixes https://www.mozilla.org/en-US/firefox/92.0/releasenotes/ ◆ムービーのフルレンジカラー再生をサポート 多くのデバイスにて色空間を最大限に活用してムービーを再生できるようになりました。 ◆DNSのHTTPSレコードを活用へ DNSにおいてHTTPSレコード(HTTPS RR)を設定していると、そのレコードをAlt-Svcヘッダーとして利用することで自動で接続をHTTPSにアップグレードできるようになりました。 ◆その他のアップデート ・macOSにてファイルメニューからOSの共有オプションにアクセス可能になりました ・macOSにてICC v4プロファイルを含んだ画
はじめに TL;DR 名前解決が一部失敗する話 CoreDNSのhealth checkと終了時の挙動(一部推測が含まれる) 原因その① 調査編 再現検証 検証環境について 結果 原因その① 対策編 対策方針 原因その② どんなときに名前解決が失敗するか 原因その② 対策編 やり方 参考実装の例4つと採用したやりかた 解説 まとめ はじめに どうもrenjikariです。SREです。 AWS Elastic Kontainer Service(以下EKS)環境にて起きた事象の対策が結構たいへんだったので、対応とともに共有しておきます。 もっといいやり方あるぜ!って人はぜひ教えて下さい:bow: 今回の事象には原因が2つあり、それぞれに解決策を用意したため、記事でも原因その① => 解決策その① => 原因その② => 解決策その②という順番で書いていきます TL;DR EKSにおいてある程
text/plain ericlaw talks about security, the web, and software in general From the mailbag: Q: How long does Chromium cache hostnames? I know a user can clear the hostname cache using the Clear host cache button on about://net-internals/#dns, but how long it will take for the cache to be removed if no manual action is taken? After changing DNS records on my server, nslookup from a client reflects
はじめに たいろーさんのvoicyラジオの中で「パブリックDNSを使うとネットが早くなるよ」という話があり、気になったので調べてみました。 https://voicy.jp/embed/channel/1232/704106 そもそもDNSとは DNS(Domain Name System)とは、IPアドレスとドメイン名を紐づけし、IPネットワーク上で管理するシステムです。 IPアドレス(例:17.253.144.10)とはコンピューターやネットワークを識別するためのものであり、それを文字で名づけたものをドメイン(例:apple.com)と呼んでいます。 発生しうる問題 表示しようとしているサイトのサーバーだけでなくDNSサーバーがダウンしていると通信できないということも発生します。 そしてプロバイダのDNSサーバーとの通信に時間がかかるとサイトの表示や通信が遅く感じるということもあります
2020年6月26日から22年11月24日にかけて、702件のメールを誤送信していた。一連のメールには、教職員の氏名、メールアドレスなど270人分、学生の氏名、学籍番号、メールアドレスなど382人分、学外関係者の氏名、メールアドレスなど177人分が含まれていたという。誤送信した情報の悪用は確認していない。 2つの研究室で使っていたメーリングリスト3件で登録ミスがあった。メーリングリストの用途は研究室の近況報告や、イベントの案内用など。2022年11月に他の大学が同様のミスを発表したことから、鹿児島大でも独自に調査したところ、誤登録が発覚したという。ミスは修正済み。 @gmai.comなどタイプミス・誤認識しやすいドメイン名は「ドッペルゲンガー・ドメイン」とも呼ばれる。ユーザーが誤ってアクセスしたり、メールを誤送信したりするのを狙って取得されたものもある。 通常、存在しないアドレス宛てのメー
インターネットを利用する上で欠かすことができない「ドメインネームシステム(DNS)」は、1983年に設計された古いシステムであるため、高度化した現代のサイバー攻撃に対応できるセキュリティを持ち合わせているとは言えません。実際にDNSキャッシュポイズニングで利用者を悪意のあるウェブサイトに誘導するといった攻撃事例は数多く存在します。そんなDNSに対する新たな攻撃手法「SAD DNS」について、ネットワーク企業のCloudflareが説明しています。 SAD DNS Explained https://blog.cloudflare.com/sad-dns-explained/ インターネット上の通信にはIPアドレスが用いられていますが、ただの数字の羅列であるIPアドレスは人間にとっては扱いにくいもの。そんなIPアドレスを「gigazine.net」といったドメイン名に対応させ、インターネット
企業のドメインを偽装した「なりすましメール」による犯罪が、世界中で発生しています。たとえば取引先のドメインを装った偽の送金指示メールに従ってお金を振り込んでしまった例など、「ビジネスメール」詐欺の被害報告も少なくありません。 そんななか、なりすましメールを予防するために使われている代表的な技術の1つが、DNSを使ったSPFという技術です。昨今ではSPFレコードを登録していないことで、自社から送信したメールが迷惑メールと判定されてしまうこともあります。メールを安全に利用するためにも、SPFは覚えておきたい技術です。 この記事ではSPFやSPFレコードは何かといった基本から、SPFレコードの正しい書き方まで詳しく解説しています。 SPF(= Sender Policy Framework)とは、メールの送信元(Sender)ドメインが詐称されていないことを証明するための技術です。SPFレコード
さくらインターネットのSRE室で室長を務めている長野です。 前編の記事では、DNSサーバへの攻撃手法や、実際に発生したさくらのクラウドのDNSアプライアンスへの攻撃の様子を紹介しました。それに続く本記事では、このような攻撃に対してどのような対策を行ってきたかを紹介します。 水責め攻撃への対応と対策 ではここから、最初の攻撃が去年の夏にあってから、どういう対応と対策をしてきたのかを紹介したいと思います。 スタンバイ側のVRRPデーモンの停止 初回を思い出すと、CPU負荷が非常に上がり、100%近いCPUを使うようになって名前解決が遅延し、タイムアウトしたというのが、最初のアラートとして上がりました。 その中でよくよく調べると、VRRPで冗長化をしているのですけれども、その切り替えがパタパタ発生していたんですね。PowerDNSが落ちてしまった、タイムアウトしたというので切り替わります。ところ
<前編> ・ドメイン・ネットワーク帯を調査する手法 ・ドメインの調査 ・JPRS whois ・ICANN Registry Listings ・ネットワーク帯(IPアドレス)の調査 ・JPNIC whois Gateway ・BGP Tool kit ・その他の調査 ・検索エンジンを使った調査 ・Webサイトのクローリング ・Google AdSense ・公的データベースの活用 ・gBizINFO ・公開情報調査(Passive型の検索サービス) ・Robtex ・PassiveDNS ・viewdns.info ・Microsoft Defender Threat Intelligence ・違うTLDを試す ・RDAP サブドメインを調査する方法 様々な手法で収集した、ドメインとIPアドレス情報をもとにサブドメインを列挙するフェーズです。ドメイン/ネットワーク帯(IPアドレス)調査
Giuliano Bellini氏をはじめとする、ネットワークトラフィックをGUIでリアルタイム表示できるオープンソースのネットワーク監視ツールSniffnetの開発チームは、最新バージョンとなる「Sniffnet 1.2.0」を5月18日(現地時間)にリリースした。 Sniffnetは、PCのネットワークアダプタを選択可能で、インターネットトラフィックに関する全体的な統計や、トラフィック強度のリアルタイムでのグラフ表示や、リモートホストの情報取得、あらかじめ指定したネットワークイベント発生時の通知、ネットワーク接続の詳細情報を含むレポート保存などに対応している。 今回、リリースされた「Sniffnet 1.2.0」では、新機能として逆引きDNSルックアップ機能や、特定のIPアドレスを管理するエンティティを見つけるためのASNルックアップ機能が追加され、IPアドレスの表示だけでなく、ホスト
Distributed assault hampering connectivity for websites, apps, customers are warned Updated Parts of Amazon Web Services were effectively shoved off the internet today – at times breaking some customers' websites – after the cloud giant came under attack. Unlucky netizens were intermittently unable to reach sites and other online services relying on the internet goliath's technology as a result of
最終更新日付: 2020年10月3日 推奨されるものではないですが、一年以上の長期有効期限の自己署名証明書(通称オレオレ証明書)を RDS(リモートデスクトップサービス)やIISのhttps Webサイトで 使用したくなることがります。 LinuxではOpenSSLがあったり、昔のWindowsではselfssl.exeコマンド(IISリソースキット付属)がありましたが、今どきのWindowsでは自己署名証明書を作成する方法はないのでしょうか? 【結論】PowerShellコマンドのNew-SelfSignedCertificateで長期有効期間の自己証明書(オレオレ証明書)を作成できる! PowerShellに、自己署名証明書(self Signed Certificate)を作成するコマンドがあるんですね! なので、selfsslコマンドは不要になり、無くなってしまったんですね。 環境
こんにちは!Yakumoチームの@ueokandeです。 昨年9月、US向けにAWS 基盤のkintoneがリリースしました。 以前まではUS向けkintone (kintone.com) は日本のオンプレデータセンターから提供してましたが、このリリースによりUS内のAWSリージョンから提供が始まりました。 本日はAWS版kintone.comリリースの裏側を紹介します。 AWS版kintone.comについて まず初めにAWS版kintone.comについて軽く説明します。 これまでのkintone.comは、日本向けkintone (cybozu.com) と同じ日本のデータセンターで運用していました。 US国内のAWSに移行することで、USのお客様のセキュリティニーズを満たしつつより高いパフォーマンスを実現できるようになります。 またcybozu.comとは独立して運用できるため、リ
はじめに PowerDNSを用いて、物理的、地理的に冗長化(※)された権威DNSサーバの構築例を紹介します。本稿では「さくらのクラウド」上に構築していますが、同等の構成をとれる環境では同じ設定が可能かと思います。 PowerDNS自体の説明は、Wikipediaやその他わかりやすいサイトや資料が多数あるため、本稿では割愛しますが、 権威DNSサーバとして動作する PowerDNS Authoritative Server DNSキャッシュサーバとして動作する PowerDNS Recursor の2種類があります。ここでは権威サーバとして使用するため前者を導入します。 ところで、冗長化したからといって必ずしも高可用性を実現できるわけではありません。冗長化はその必要条件にすぎないからです。ことDNSの可用性については、DDoS対策、オペレーション、バックアップ体制など、他にも重要な要素が多々
2019年10月から2019年12月までの3ヶ月間を「弱点克服期間」と位置付けていて,自分自身「理解が浅いな」と感じる技術領域のインプット/アウトプットを意識的に増やしていく.最近 React 関連のブログを書いているのも,フロントエンド技術に対する弱点克服の第一歩と言える. 今回のテーマは「DNS」にした.DNS の概要は理解できているはずだけど,いざ語ろうとすると,深くは語れないことに気付く.そんな状況を打破するべく「DNS がよくわかる教科書」を読んだ.本書の素晴らしい点は多くあるけど,まず丁寧な図表が多く,初学者でも理解できるように工夫されている.そして,何と言っても「説明の歩幅がとにかく小さく書かれている」ことに驚いた.本書を読み進めながら「徐々にわからなくなっていく...」と感じることがなかった.DNS を基礎から学びたい全ての人にオススメ! DNSがよくわかる教科書 作者:
CNAMEレコードは正規ホスト名に対する別名を定義するレコードです。 特定のホスト名のDNSレコードについて、別のホスト名のレコードを参照させる時に利用します。 ※正規ホスト名はAレコードが登録されている必要があります。 ※特定のファイルやサブディレクトリを指定する事はできません。 ※ホスト名なしのCNAMEレコードは登録することができません。 例)ドメイン名:abc.comの場合 【設定可能】 ホスト名:www VALUE:www.example.com ⇒www.abc.comのDNSレコードを名前解決しようとした場合、www.example.comのレコードが参照されます。 ※www.example.comのレコードはexample.com側で設定されている必要があります。 ※CNAMEレコードはURLの転送とは異なります。Webサイトとしてアクセスした場合、 サーバーへのリクエスト
中国当局はこのほど、ドメインネームシステム(DNS)ルートサーバの設置を承認した。一部では、当局が今後、ネット規制をさらに厳しくするのではないかとの声が上がった。新型肺炎の急速な拡大で、市民や医療関係者がネット上で当局の防疫対策や隠ぺい体質などへの批判が広がっている。 中国の工業・情報化部は2月19日、ウェブサイトで、中国情報通信研究院がDNSルートサーバ(Lルートミラーサーバ)を設置し、同時に同サーバの運用機関の設立を承認したと発表。運用機関はナンバーが「JX0013L」であるDNSルートサーバを管理するという。 工業・情報化部は「DNSルートサーバのサーバルームの住所、IPアドレス、AS番号(Autonomous System number)を変更する場合、中国情報通信研究院が変更の15日前に書面で同部に報告する」よう求めた。 現在、全世界にはIPv4ルートサーバが13台しかない。メイ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く