KeyTrap (CVE-2023-50387)を検証してみた - knqyf263's blog
DNSは趣味でやっているだけですし有識者のレビューを経ているわけでもないので誤りを含むかもしれませんが、DNS界隈には優しい人しかいないのできっと丁寧に指摘してくれるはずです。 追記:めちゃくちゃ丁寧にレビューしていただいたので修正いたしました。森下さんほどの方に細かく見ていただいて恐れ多いです...(学生時代に某幅広合宿で森下さんの発表を見てDNSセキュリティに興味を持った) 4万文字を超える大作、おつかれさまです。わかりやすく書けていると思いました。 ざっと読んで、コメントしてみました。ご参考まで。https://t.co/bVj5WeFHQr https://t.co/ku5NOx6ua8— Yasuhiro Morishita (@OrangeMorishita) 2024年2月19日 要約 背景 詳細 DNSSECとは? DNSSECの可用性 鍵タグの衝突 攻撃内容 SigJam
DNS浸透いうな - それは言葉狩りじゃなくて
DNS リソースレコードを管理していると、「DNS には浸透期間があるため、DNS の設定変更後は24時間〜72時間お待ちいただく必要があります」などと書かれた DNS 事業者の注意書きを見かけることがあります。 ホスティング業者によって「浸透」等が不適切に使われている例 - www.e-ontap.com DNS浸透言ってるところと言っていないところ【レンタルサーバ編】 - ohesotori.hateblo.jp このような記述が蔓延っているために、DNS 利用者の間で「DNS では設定が浸透するまで待たなければならない」という誤解が広まっています。 また、DNS リソースレコードの地理的な伝播状況を可視化するための DNS Propagation Checker なるツールがいくつか存在しています。 https://www.whatsmydns.net/ https://www.ns
新入社員「DNSってなんですか?」→ これ、どこまで答えられますか?????????
はじめに 「DNSって何ですか?」 エンジニア・プログラマの皆さんは会社の同僚や後輩などにこの質問をされたらどこまで回答できますか? 大体の人は、「Domain Name System(ドメイン・ネーム・システム)の略称で、IPアドレスとドメインの紐付けをおこn.....」 みたいな回答になってしまうと思います。 特に自分のような、フロントエンド周りが主領域のエンジニアにとってはDNSの理解はかなり後回しになってしまうかなと思います。 今回は、そんなあまり業務でDNSに携わらない方々に向けて、DNSの最低限知っておきたい基礎知識をやさしくお届けできたらなと思います。 ※タイトルではめちゃくちゃ煽りましたが、本記事は割と基礎的な内容になっています。ご安心を。 DNSとは まずは、DNSとはなんぞやというところから入っていきたいと思います。 DNSとは、冒頭にも登場しましたが、Domain N
名前解決サービスを自作する - Qiita
はじめに 名前解決サービスって? 皆さんが今お使いのネットワーク(LAN)には、「example」という名前のPCは接続されているでしょうか? 臨時使用の仮想マシンを作る際に foo とか hoge の様な名前のマシンを構築することはあるかもしれませんが、普通はそんなコンピューター名にはしないと思います。また、/etc/hostsに「example」という名前に関する定義はあるでしょうか? たとえば、127.0.0.1 exampleと書かれていれば、ping exampleを実行すると、自マシンからのping結果が返ってくるはずです。 ここから先は、「example」という名のホストは存在せず、/etc/hostsにもそのような定義はなく、ping exampleを実行すると、ping: unknown host exampleという結果が表示される前提で話を進めます。 ホスト名からIP
DNS名前解決エラーもネガティブキャッシュする提案 (RFC 9520) - ASnoKaze blog
2023/12/23 追記: RFC 9520 になりました == 「Negative Caching of DNS Resolution Failures」という提案が、Verisignの方らによって提案されています。 DNSの名前解決の結果はつぎのいずれかです。 1) 要求されたデータを含む応答 2) 要求されたデータが存在しないことを示す応答 3) ネットワークエラーや、データ不整合などの、有用な情報が得られない(失敗) 今回の提案では、(3)のエラーについても最低5秒間ネガティブキャッシュするよう要求します(5分以上キャッシュしてはいけない)。 RFC2308 「Negative Caching of DNS Queries」では、サーバが落ちていたり接続できない場合に、オプショナルでキャッシュする事が記述されてはいます。 モチベーション 提案仕様のなかで、DNSのエラーが起こり、
DNSで浸透って言っちゃだめなの? - tmtms のメモ
別に言ってもいいよ。 以下想定問答。 「浸透が何を意味しているのかわからない」 ホント? 「浸透いうな」って言われてるってことは、逆に言うとそれなりに広く使われてるってことでしょ。 個人的には「DNSの設定を変更した後、徐々に新しい情報を見ることができるクライアントが増えていく」ことだと思ってるんだけど、これとは異なる意味で使われてたりするの? 「"浸透に数週間かかる" なんて言うのはへぼい業者の言い訳」 それは同感だけど、「浸透」という単語の問題じゃないよね。 「浸透」という単語を使わなくてもその業者はへぼいままで、数週間かかるのは変わらない。 数週間じゃなくて、「浸透には5分くらいかかります」だったらOK? 「設定ミスってるくせに浸透に時間がかかるなんて言い訳するな」ならわかるけど、「浸透という単語を使うな」はおかしいと思う。「浸透」を使わないことで何か解決するの? 「浸透なんて用語は
なぜIPv6とIPv4の名前解決は別々に行なわれるのか?:Geekなぺーじ
www.example.comなどの「名前」に対応するIPアドレスをDNSサーバに問い合わせるとき、IPv4とIPv6に関する名前解決を単一の問い合わせで行うことはできません。そのため、DNSサーバに対して、IPv4に関する問い合わせと、IPv6に関する問い合わせを、別々に2度行う必要があります。 これは、DNSサーバに対しての問い合わせが単一のレコードに対してしか行えないためです。 Aレコード(IPv4アドレス)の問い合わせと、AAAAレコード(IPv6アドレス)の問い合わせは、それぞれ別々のレコードに対する問い合わせなので、両方を同時には行えないのです。 ただし、「IPv4とIPv6に関するDNSサーバへの問い合わせは別々に行わなければならない」というのは、事実上の話であって、「仕様上そうなっている」と言い切れるのかどうかは微妙かも知れません。 DNSに関するRFCは、悪名高いRFC
livedoor Techブログ : CNAMEの間違った使い方
情報環境技術研究室の永井です。 今日はDNSのCNAMEの間違った使い方のお話です。 その間違った使い方がうちのサービスで使用されているかもっ!? DNSって? Domain Name System(ドメイン ネーム システム、DNS)はインターネットを使った階層的な分散型データベースシステムである。 1983年に情報科学研究所 (ISI) のポール・モカペトリスとジョン・ポステルにより開発された。 Wikipediaより一部抜粋 http://ja.wikipedia.org/wiki/Domain_Name_System 例えば、ライブドアのポータルサイトといえば「http://www.livedoor.com/」ですが、実際には「http://125.6.172.15/」というIPアドレスがインターネット上の住所になります。でも、こんな数字の羅列を一々覚えていられないので、DNSとい
遠隔操作ウイルスの制御にDNSプロトコルを使用する事案への注意喚起 | セキュリティ対策のラック
経緯と概要 当社が運営する緊急対応サービス「サイバー119」は、昨年の後半より複数の大手企業様より遠隔操作ウイルスに関連する対応要請を受け、調査を行ってまいりました。 これらの事案で発見された遠隔操作ウイルスを調査したところ、攻撃者がインターネット側から企業内ネットワークで動作する遠隔操作ウイルスを操る際に、DNSプロトコルを使用するDNSトンネリングとも言われる手口を利用していることが確認されました。 これまでの代表的な遠隔操作ウイルスにおいては、Web閲覧で用いられるHTTP(S)プロトコルを使用し、Webサーバを模した指令サーバを使用しています。しかしながら今回はDNSサーバを模した指令サーバを構築していることが確認されました。 図1:Web閲覧におけるDNSの動き DNSプロトコルはインターネットにおいて、ドメイン名(FQDN)からIPアドレスなどの情報を得るためにDNSサーバとの
DMM inside
日本アニメ初の快挙!海外アニメ賞を受賞した『スキップとローファー』海外ライセンス部長&プロデューサーが語る、奮闘の舞台裏
(緊急)複数のDNSソフトウェアにおける脆弱性(システム資源の過度な消費)について(2014年12月25日更新)
--------------------------------------------------------------------- ■(緊急)複数のDNSソフトウェアにおける脆弱性(システム資源の過度な消費) について(2014年12月9日公開) - BIND 9では権威DNSサーバーにも限定的に影響、バージョンアップを強く推奨 - 株式会社日本レジストリサービス(JPRS) 初版作成 2014/12/09(Tue) 最終更新 2014/12/25(Thu) (米国The CERT Divisionの注意喚起・Vendor Informationへのリンクを追加) --------------------------------------------------------------------- ▼概要 BIND 9・Unbound・PowerDNS Recursorを含む複
JPCERT/CC 登録情報の不正書き換えによるドメイン名ハイジャックに関する注意喚起
各位 JPCERT-AT-2014-0044 JPCERT/CC 2014-11-05 <<< JPCERT/CC Alert 2014-11-05 >>> 登録情報の不正書き換えによるドメイン名ハイジャックに関する注意喚起 https://www.jpcert.or.jp/at/2014/at140044.html I. 概要 JPCERT/CC は、国内組織が使用している .com ドメイン名の登録情報が不正 に書き換えられ、攻撃者が用意したネームサーバの情報が追加されるドメイン 名ハイジャックのインシデント報告を複数受領しています。 ドメイン名の登録情報 (以下、登録情報) の不正書き換えによるドメイン名 ハイジャックの影響により、一部のユーザが当該組織の Web サイトを閲覧す る際の名前解決において、意図しない IP アドレスに誘導され、攻撃者が用意 したサーバに接続していたこと
内部システムで利用しているドメイン名にご注意!~名前衝突(Name Collision)問題の周知と対策実施のお願い~ - JPNIC
2014年6月9日 各位 一般社団法人日本ネットワークインフォメーションセンター 内部システムで利用しているドメイン名にご注意! ~名前衝突(Name Collision)問題の周知と対策実施のお願い~ 本件に関連するプレスリリース 今年2014年1月にJPNICからもお伝えした通り(※1)、 ドメイン名などのインターネット資源をグローバルに調整するICANN (The Internet Corporation for Assigned Names and Numbers)によって、 2013年10月から1,300を超える新たなgTLDの委任が順次開始され(※2)、 今後、 インターネット上で多くのTLDが使われ始めることになります。 これにより、 DNSにおける「名前衝突」と呼ばれるセキュリティリスクが、 一般的なユーザーをはじめとする広範囲に発生する可能性が指摘されています。 (※1)
インターノット崩壊論者の独り言 - ATND消失 - RECRUIT がやらかして ATND が見えなくなったようなのでメモ
EPIC2014 Google Public DNS (8.8.8.8, 8.8.4.4) および Cloudflare (1.1.1.1, 1.0.0.1) 経由では本サイトにアクセスできないよう措置させて頂いております。 権威サーバを新しく ns[1-3].x.recruit.co.jp に切り換えたようですが応答しません。そもそもゾーンが設定されていないのではないでしょうか。 なお、今も (注:復旧前) 見えていて、利用している DNS キャッシュサーバが BIND だったりすると幽霊ドメイン名脆弱性を抱えている可能性があります。OCN や 8.8.8.8 で見えているのは別な理由だと思います。(委譲元の TTL で古い NS をキャッシュしているのでしょう) (10:27 追記: ゾーンが設定され、引けるようになったようですが、旧サーバのゾーンデータは古いままなので、幽霊は漂い続け
強烈なDNSキャッシュポイズニング手法が公開される:Geekなぺーじ
本日、JPRSが緊急の注意喚起を公表しました。 緊急)キャッシュポイズニング攻撃の危険性増加に伴うDNSサーバーの設定再確認について(2014年4月15日公開)- 問い合わせUDPポートのランダム化の速やかな確認・対応を強く推奨 それに対して、2月中旬に脆弱性を発見してJPRSへと報告していた鈴木氏(脆弱性は前野氏との共同発見)が、JPRSの注意喚起では「危険性をよく理解して対策をとるにあたって十分な情報が含まれているとはいえません」として、以下の情報を公開しています。 開いたパンドラの箱 - 長年放置されてきたDNSの恐るべき欠陥が明らかに キャッシュポイズニングの開いたパンドラの箱 キャッシュポイズニングの開いたパンドラの箱 - 2 - 本来であれば、より上位からの正規の回答が優先されなければならないはずなのに、下位側が優先される仕様になっているので、偽装されたデータが優先されてしまう
d.dns.jpの運用 | IIJの技術 | インターネットイニシアティブ(IIJ)
普段あまり気にせずとも、安定して運用されているDNSサーバ。ここでは、株式会社日本レジストリサービス(JPRS)管理の下、IIJが運用を担当しているd.dns.jpのIPv6対応や、Anycast導入の経緯について紹介します。 JP DNSとd.dns.jp DNSは問い合わせに対応するレコードを応答してくれるサービスで、主にドメイン名に対応するIPアドレスを検索する名前解決に利用されています。例えば、DNSを利用することでメールの配送先を検索できたり、Webブラウザで「http://www.iij.ad.jp/」などと入力したときに、実際にどのIPアドレスのサーバにアクセスすれば良いかを検索できたりします。 DNSではルートサーバと呼ばれるDNSサーバさえ知っておけば、それを手がかりにどんなドメイン名でも必要な情報を検索できます。具体的には、ルートサーバからより詳しい情報を知っているDN
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Blogger | (削除しました)
DNS移転失敗体験談