DNSにまつわるセキュリティのあれこれ - IIJ Technical WEEK 2016
© 2016 Internet Initiative Japan Inc. 1 株式会社 インターネットイニシアティブ 島村 充 <simamura@iij.ad.jp> DNSにまつわるセキュリティのあれこれ © 2016 Internet Initiative Japan Inc. 2 自己紹介 •島村 充 (しまむら みつる) •2006年IIJ入社 •入社以来、普段はメールサービスの設計・ 開発・構築・運用業務に従事 •2010年頃から回線サービス向け参照用 DNSサーバの設計・開発・構築・運用業務 •2015年からDNSアウトソースサービス(権 威DNSサービス)の運用業務 © 2016 Internet Initiative Japan Inc. 3 過去の発表 • キャッシュDNSサーバとフィルタリングの実例 (Internet Week 2011) • 法人向けメールサービ
Bind(named)のDNSクエリログ。+EDCといった意味は? | puti se blog
最終更新日付: 2021年1月14日 namedでDNSサーバーを立てて、クエリログをとった時に、 クエリログに以下のようなログが出力されました。この意味はいったい何なのでしょうか? 30-Jun-2017 13:56:35.558 queries: info :client 192.168.0.10#15146 (www.aaa.com); query: www.aaa.com IN A +EDC (192.168.0.100) 環境・前提条件 CentOS Linux release 7.3.1611 bind-9.9.4-37.el7 結論。+EDCの意味 The query log entry first reports a client object identifier in @0x<hexadecimal-number> format. Next, it reports th
どうして俺の回線が何百ギガもアップロードしてるの?と思った時に読む話 - 朝日ネット 技術者ブログ
はじめまして、朝日ネットでISPのインフラ保守を行っているa-fujisakiと申します。セキュリティ担当の一人としてお客様の所有されている機器がインターネット越しに悪用される事を防ぐ仕事をしています。 本記事では、インターネットが遅い、調べてみるとネットに接続した機器がアップロードを何百ギガと繰り返している、一旦電源を落として再接続すると復旧するがすぐ元に戻る、といった症状が発生している場合の理由と対策について解説します。 各種の症状について頻度を★マークで示しております。 時刻同期(NTP)サービスの公開による踏み台被害 DNSサービスの外部公開による踏み台被害 LDAPサービスの外部公開による踏み台被害 UPnPサービスの外部公開による踏み台被害 このような被害にあわないために 採用情報 時刻同期(NTP)サービスの公開による踏み台被害 NTP monlistの脆弱性を悪用したリフレ
dnsサーバ bindの設定(named.conf .zone .rev)
Ⅲ.ゾーン ファイル ゾーンファイルには名前空間内の自ゾーンに関する情報を記載し、構成ファイル options ステートメントの directory で指定したディレクトリに保存する。 またゾーンファイル名は、構成ファイル zone ステートメントの file で指定した名称と同じである必要がある。 ゾーンファイルに登録するエントリーには、次の種類がある。 ディレクティブ ネーム サーバーの制御情報、およびゾーンごとのオプションを記述する。 資源 (リソース) レコード ホスト情報を記述する。
迷惑メール判定の回避で試行錯誤したお話 | Netassist Blog
技術部 takaraです。こんにちは。 メールサーバを構築し、いざ稼働テストを始めた際に、問題としてよく挙がるのは、各種メールサービス側での迷惑メール判定。 その回避方法について相談頂き、SPFレコードの設定、IPの逆引き設定、DKIM設定を段階的に実装し、配送テストを行いました。 SPFレコードの設定 test@example.comのメールは、どのサーバから出るのが正しい、といった体で、メール送信元の情報をDNSゾーンに設定します。 今回は255個のIPアドレスを含むネットワークアドレスをソフトフェイルで指定しました。 TXT "v=spf1 +ip4:xxx.xxx.xxx.0/24 ~all" このネットワークアドレスに含まれるIPアドレスからのメール送信については、Gmail側に配送される場合は、下記のSPFチェックをパスしたヘッダ情報が含まれます。 Received-SPF:
AmazonSESから携帯キャリアメールに届く確率を上げる
この記事は とあるサービスを運営しています そのサービスでは、(よくある動きですが)一度ユーザ仮登録メールを送ってリンクをクリックして本登録画面に遷移するような動きをします AmazonSESからこのメールを送信しているのですが、携帯キャリアのメールアドレス(特にdocomoとau)の大半が本登録リンクをクリックしていない事象が発生しました どうやらそもそもメールが到着していないようです この記事はこの問題へ対処するにあたり色々調べたのでそのメモです よくあるワークアラウンド エンジニアの守備範囲としては「mydomain.netからのメールが到着するように許可してください」という注意書きを入れてお茶を濁してもいいのですが、はっきり言ってそんな設定してくれる人は一握りなので、もっと効果的な対処をしたかったです 結論からいうと あまりに当たり前みたいな結論ですが、DNSに自サイトのドメインの
Zone apexとCNAME - Qiita
忙しい人のためのまとめ Zone apex(ドメイン名そのもの)をCNAMEにマッピングすることはできない(できたとしても動作の保証がない)。 原理は次の通り。 CNAMEと他のレコードは同居できない 一方、Zone apexには少なくともNSレコードを設定する必要がある したがってZone apexにCNAMEをマップした場合、上記が矛盾することとなる 詳細は下記のブログに記載されている。(素晴らしい記事です) http://tech.blog.aerie.jp/entry/2014/09/09/162135 定義はRFC 1912を見る。 http://tools.ietf.org/html/rfc1912#section-2.4 2.4 CNAME records A CNAME record is not allowed to coexist with any other data
DNS ANAMEレコードの提案仕様 - ASnoKaze blog
20181019追記 「Address-specific DNS aliases (ANAME)」として、新しい draft-02が出されました 20180912追記 この提案仕様はexpireしてしまいました。 完璧に代替するものではありませんが、いくつかの方法について議論がされているようです。 IETFでのDNS関連の標準化は普段追ってないので恐縮だが、DNSOP(DNS OPerations)WGで気になったドラフトがあったので読んで見る。 「Address-specific DNS Name Redirection (ANAME)」という提案仕様であり、先日WGドラフトになったようだ。著者は、ISC, PowerDNS, DNSimple の方々でありDNS実装に関わっている人が書いているようだ。 PowerDNSでは、すでにALIASと言う似たような機能が実装中のようですし、Cl
CDN とCNAME Apexドメインの制限 | REDBOX Labo
CDNを利用する上で避けては通れないのがDNSとの関係です。CNAMEレコードには制約事項がありCDNを利用する上で課題となる場合があります。今回はApexドメインという特殊なドメインとCNAMEレコードの制限についての紹介です。 CNAMEレコードとはCDNはDNSの仕組みをうまく利用しアクセス元から一番近いエッジサーバーのIPアドレスを応答後、最終的にネットワーク的に近い場所にあるエッジサーバーへ誘導します。これらのロジックを利用している関係上、CDN事業者への切り替えはCDNベンダーが提供するサブドメインにCNAMEレコードを定義する方式が必須と言っても過言ではありません。 まず、CNAMEレコードについておさらいです。CNAMEとは既に定義されてるドメイン名の別名を定義することです。おなじみのAレコードは以下のようなフォーマットでドメイン名とIPアドレスを1対1で紐付けます。※DN
CNAMEレコードにZone Apexをマッピングできない件について - サーバーワークスエンジニアブログ
こんにちは、技術2課の下山です。 ELBは自動で冗長化され、変動する複数のIPアドレスを持つので、ELBを作成するとアクセスのためのエンドポイントがAWSから払い出されます。 例えばelb-xxxx.ap-northeast-1.elb.amazonaws.comなどです。 ※xxxxには適当な数字の列が入ります。 このDNS名をAmazon Route 53のAliasレコード(後ほど説明します)にマッピングしてドメインでアクセスするというのはよくある話ですが、何故CNAMEではなくAliasなのでしょうか。 CNAMEレコードのルール等についてまとめてみました。 DNSの基本的な考え方はこちらをご覧ください。続編もあると聞いてますので、乞うご期待。 【インフラ初心者】サーバーもネットワークも全然知らない新人が語ってみた!ーDNS編①ー 1.用語のおさらい 以下では、example.co
Zone Apex (Naked Domain) CDN | J-Stream CDN情報サイト
Zone APEXとは? (DNS)ゾーンAPEX(エイペックス)とは、以下のようにサブドメインを含まないドメイン名を指します: example.jp (not www.example.jp) example.com (not www.example.com) “APEX”とは”頂点”を意味し、”ゾーンAPEX”=”ゾーンの頂点”=”サブドメインを含まない、ドメインのもっとも短い表記”を意味します。また、別名としては以下のようなものがあります: Apex Domain(アペックス・ドメイン) “APEXドメイン”=”ドメインの頂点”という意味で同様に使われます Naked Domain (ネイキッド・ドメイン), Bare Domain(ベア・ドメイン) 余計なものがないという意味で裸を意味する”ネイキッド”もしくは”ベア”が使われます Root Domain(ルート・ドメイン) 大本と
DNS over TLS/HTTPSについて考える | IIJ Engineers Blog
はじめに 昨年から DNS over TLS (DoT)、DNS over HTTPS (DoH) にまつわる動きが急速に活発になっています。 DoT は2016年に RFC7858 が出てしばらくは大きな動きはありませんでしたが、2017年11月にサービス開始した public DNS である Quad9 (9.9.9.9)、昨年4月開始の Cloudflare (1.1.1.1)が相次いで DoT に正式対応し、遅れて今年1月には Google Public DNS (8.8.8.8) も対応しました。クライアント側としては昨年8月リリースの Android 9 “Pie” が DoT に対応しています。 DoH は仕様の標準化より実装の方が先行しています。Cloudflare は DoT だけでなく DoH も昨年4月のサービス開始当初からサポートしています。Mozilla Fire
JPRS用語辞典|グルーレコード(glue records)
権威サーバー(権威DNSサーバー)が、委任先のネームサーバーの名前を応答する際に追加する情報です。具体的には、ネームサーバーの名前に対応するIPアドレスです。 グルーレコードは、ネームサーバーの名前が委任先のドメイン名で管理されている場合にのみ必要になります。グルーレコードを追加することで、名前解決におけるループの発生を防ぎます(図1、図2)。 グルーレコードは委任情報の一部であり、権威を持たないという点に注意してください。 * 権威サーバー(権威DNSサーバー)(JPRS) * ネームサーバー(DNSサーバー)(JPRS) * フルサービスリゾルバー(キャッシュDNSサーバー)(JPRS) * 名前解決(Name Resolution)(JPRS) * 権威(オーソリティ)(JPRS) * ゾーン(JPRS) * 問い合わせ(JPRS) * 応答(JPRS) * DNS Tips:グルー
インターノット崩壊論者の独り言 - 木で鼻をくくっていない藤原さん - Measures against cache poisoning attacks using IP fragmentation in DNS
最近の日記 2019-02-18 1. Measures against cache poisoning attacks using IP fragmentation in DNS 2019-02-07 1. 第一フラグメント便乗攻撃についてJPRSに質問してみた 2019-01-17 1. DNS 温泉 番外編 (第一フラグメント便乗攻撃の理解のために) 2019-01-16 1. 浸透とやらを待っている人は何を待っているのか? 2018-11-04 1. Unbound を安全にしよう 2018-10-31 1. これを NSEC/NSEC3 Replacement Attack と呼ぶのはどうだろう? 2018-08-27 1. DNS 温泉 5 無事終了 2018-04-08 1. 8.8.8.8 に加え 1.1.1.1 を用いたアクセスも拒否させて頂きます。 2017-12-13
脱bind〜改めて考えるDNSセキュリティ2018 - Qiita
はじめに 脆弱性が後を絶たないBINDを踏まえて、DNSセキュリティについて学習するにあたり、NSDとUnboundに興味を持ったのでまとめました。NSDやUnboundは両方とも最新の技術という訳ではないですが、BINDから他のDNSソフトウェアに変更する場合は最適なDNSソフトウェアだと思います。 BIND9の脆弱性について 今年も既に1件の脆弱性が見つかりましたが、BINDの脆弱性は本記事執筆時点で、1999年~2017年で96件、その内DOS攻撃に係るのは66件になり全体の約70%近くになります。 参考 2017年に発見された脆弱性(合計:3件) CVE ID CVSS 基本値 概要 影響
DNSインフラの改ざん多発 米国土安全保障省、全省庁に緊急対策命令
米連邦機関の複数の省庁でDNSインフラ改ざんの被害が確認され、CISAが全省庁に対して緊急対策を指示した。 米連邦政府機関でWebサイトのドメインのDNSインフラが改ざんされる被害が多発しているとして、米国土安全保障省のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は1月22日、全省庁に緊急対策を指示した。 緊急指示書によると、DNSインフラ改ざんの被害は米連邦機関の複数の省庁で確認された。DNSインフラが改ざんされれば、Webやメールなどのトラフィックをリダイレクトされたり、傍受されたりする恐れがあり、そうした被害に気付かない可能性もある。 攻撃者はまずDNSレコードを変更できるアカウントのユーザー認証情報を不正に入手し、アドレスやメールサーバー名、ネームサーバ名といったDNS情報を改ざん。正規のアドレスやサービスを、攻撃者がコントロールするアドレスに書き換えていた
(緊急)米国国土安全保障省によるDNS設定の改ざんに関する緊急指令の公開について
--------------------------------------------------------------------- ■(緊急)米国国土安全保障省によるDNS設定の改ざんに関する緊急指令の公開について 株式会社日本レジストリサービス(JPRS) 初版作成 2019/01/28(Mon) --------------------------------------------------------------------- ▼概要 2019年1月22日、米国国土安全保障省(DHS)のサイバーセキュリティ・イン フラストラクチャセキュリティ庁(CISA)が「Mitigate DNS Infrastructure Tampering(参考訳:DNSインフラストラクチャ改ざんの軽減)」という緊急 指令(Emergency Directive 19-01)を公開しました。 本
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
BIND 9で起動時にquery logをOFFにする: WEBの法則2.0風芋焼酎日記(中濃)
TechCrunch
DNSキャッシュサーバ チューニングの勘所
