CDNとCNAMEあれこれ - DNS Summer Day 2017
© J-StreamInc. All Rights Reserved. DNS Summer Day 2017 CDNとCNAMEあれこれ 株式会社Jストリーム CDNext推進室 佐藤 太一 2017.6.23版 2 © J-StreamInc. All Rights Reserved. 自己紹介 • 経歴 • 1980/09 山口県光市 生 • 2003/03 鹿児島大学 卒 • 2003/04 Jストリーム(AS24253)に入社 ~新卒で入社してそのまま、現在も在籍 • 業務内容 • セールス兼インフラエンジニア • CDNのインフラ全般の構築・運用・管理 • CDN情報サイト: https://tech.jstream.jp/ • その他 • インターネットコミュニティ活動も積極的に実施中 JANOG38 Meeting 実行委員長(2016/7/6-7/8@沖縄) • 趣味:楽
DiG HOWTO
DiG HOWTO Paul Heinlein First published on August 31, 2004 Last updated on May 11, 2006 Introduction dig is a command-line tool for querying DNS name servers for information about host addresses, mail exchanges, name servers, and related information. The dig(1) man page is somewhat lacking when it comes to examples, a shortcoming this article tries to remedy. The source code for dig is part of the
DNSSEC Lookaside Validation (DLV)
DNSSEC では、各ゾーンの権威 (authoritative) サーバが使う鍵は上位ゾーンの権威サーバによって署名され保証されます。 DNS ツリーのルート以下全てのゾーンが DNSSEC に対応していれば、リゾルバが持つべき鍵はルートゾーンの署名に使われる鍵ひとつとなります。しかし DNSSEC が普及していない現状では、DNSSEC に対応している個々のゾーンの鍵を各リゾルバが持っておく必要があり、DNSSEC に対応したゾーンが増えればそれだけ鍵の管理の手間も大きくなります。 このような状況に対応するための暫定的な仕組みとして、ISC(Internet Systems Consortium) では DNSSEC Lookaside Validation(DLV) という技術を提唱しています。 DLV に対応したリゾルバは、上位のゾーンで提供されるべき DS(Delegation
DNSSECとは | OSSのデージーネット
DNSSEC(DNS Security Extensions)は、DNSの拡張仕様である。DNSの情報に電子署名を付けることで、DNSのデータが正式な発行元のデータであることを検証することができるようにする。 DNSSECの最初の仕様は1999年にRFC2535として公開されたが、長い間、実用とならなかった。それは、インターネットのトップレベルドメインのDNSSEC対応が遅れたためである。しかし、2008年7月に発生したDNSキャッシュポイズニング攻撃を受けて、2010年にトップレベルドメインがDNSSECに対応したことを受け、徐々に利用が広がっている。日本のccTLDである.jpドメインも2011年にDNSSECを導入した。また、すでに.com、.netなどのほとんどのドメインがDNSSECに対応している。 DNSSECの普及状況 APNICは、各TLD毎のDNSSEC対応状況をマップに
DNSSEC非対応キャッシュサーバを通した改竄の検証とBINDの挙動
dnssec-enable no;でのBINDの挙動についてメモを兼ねて。 DNSSECではRRSIGリソースレコードに ・署名対象の名前 ・署名対象のリソースタイプ・クラス ・署名対象のオリジナルの(コンテンツサーバでの)TTL ・RRSIG自体の有効期間、鍵のハッシュなど を載せ、電子署名で保護している。 RRレコードと、対応するRRSIGレコードを受け取る事ができ、対応する公開鍵を信頼しているならば、 「現在時刻と照らしあわせてRRSIGレコードが有効期間内である事」を確認し、さらに、「Aレコードの元々のTTLがRRSIGの主張するオリジナルTTLだったと仮定して、現在時刻と照らしあわせて署名に矛盾がない」ことを確認することで、改竄されていないことが証明できる。 (公開鍵はルートから権威の木構造で証明するが署名原理は同じなので割愛。NSECも割愛) キャッシュサーバから受け取るRRS
既存リゾルバをDNSSEC対応に移行する方法
Copyright © 2015 Kyushu Telecommunication Network Co., Inc. All rights reserved. Copyright © 2015 Kyushu Telecommunication Network Co., Inc. All rights reserved. Copyright © 2015 Kyushu Telecommunication Network Co., Inc. All rights reserved. Copyright © 2015 Kyushu Telecommunication Network Co., Inc. All rights reserved. Copyright © 2015 Kyushu Telecommunication Network Co., Inc. All rights reser
512バイトを超える DNSパケット
glibc の脆弱性 CVE-2015-7547 でも話題になった 512バイトを超える DNS パケットについてのメモ。 DNS では、TCP が使われたり、512 バイト超えるデータが扱われることは知っていたが、詳しい仕組みなど知らなかったので、備忘録のためにまとめておく。 そもそもなぜ 512 バイト? 調べてみると、 インターネットで使われている IP(IPv4)の仕様では 一度に受信可能なデータグラム(ヘッダーを含むパケッ ト)として、 576 バイトを保証しなければならないと定められています。この値は、64バイトのヘッダーと 512バイトの データブロックを格納可能な大きさとして選択されたものです refs: https://jprs.jp/related-info/guide/008.pdf とのこと。 インターネットで使われている IP の仕様では、かならず「1パケットで
「TCPフォールバック」とは何ですか?
名前解決において、DNSサーバーの応答が512バイトを超えた場合、DNSサーバーはDNSメッセージを512バイト以下に切り詰める。その際、切り詰めが発生したことを示す「TCビット」をセットした応答を返す。TCビットがセットされた応答を受け取ると、問い合わせ送信元は同じ問い合わせをTCPで再送する。この一連のやり取りを「TCPフォールバック」と呼ぶ。これにより、65535バイトまでのDNSメッセージの受信が可能となる。 DNSでは、TCPの使用によって発生するコストと遅延を避けるため、いきなりTCPで問い合わせるのではなく、UDPでの試行の後にTCPを利用すべきであると定められている(RFC 5966で定義)。 所属:株式会社日本レジストリサービス(JPRS) システム部 学生時代に学内サーバー構築、学生貸与PCのマスターイメージ作成などを担当。研究活動の中でDNSSECに興味を持つ。201
dnssectutorial.pdf - DNSSECチュートリアル - 株式会社日本レジストリサービス
JAPAN REGISTRY SERVICES JAPAN REGISTRY SERVICES Copyright © 2011 株式会社日本レジストリサービス 1 DNSSECチュートリアル 2011年7月 株式会社日本レジストリサービス JAPAN REGISTRY SERVICES JAPAN REGISTRY SERVICES Copyright © 2011 株式会社日本レジストリサービス 2 目次 • DNSキャッシュへの毒入れ とDNSSEC • DNSSECのしくみ • DNSSEC導入に向けて • DNSSECの鍵と信頼の連 鎖 • DNSSECのリソースレコー ド(RR) • 鍵更新と再署名 • BINDキャッシュサーバーで のDNSSECの設定 • 鍵生成と署名作業 • BIND権威サーバーでの DNSSECの設定 • スマート署名 (Smart signing) •
KSKロールオーバー実施計画案に関する動き – JPNIC Blog
tech_team 2018年5月30日 インターネットの技術 パブリックコメントの結果報告 2016年から作業が進められていたルートゾーンKSKロールオーバーは、2017年9月に一時中断となりました。その後、再開に向けた計画案が2018年2月に発表され、それに対するパブリックコメントの募集が2018年4月まで行われました。 Plan to Restart the Root Key Signing Key (KSK) Rollover Process https://www.icann.org/public-comments/ksk-rollover-restart-2018-02-01-en その結果のレポートが、下記のURLで公開されています。主なコメント内容としては、計画案に対して賛成しているもの、計画の修正を求めるもの、もっと積極的なアウトリーチ活動を求めるものなどがあり、さまざま
クラウドサービスOffice365導入時に必要なネームサーバー bindの設定
弊社ではOffice用ソフトウェアとしてマイクロソフトのクラウドサービスであるOffice365を利用しています。自社内にExchangeサーバを構築しなくても手軽に同等の機能を利用できることを考えると、中小企業から規模の大きな環境まで導入の幅が広いソリューションになっています。ところで、このOffice365にはweb会議や在席状況を表示できる、lyncサーバの機能もあります。このlyncサーバは便利なのですが、利用するのがやや敷居が高い。というのも、利用するためにネームサーバーにSRVレコードという特殊なレコードを設定する必要があり、一般的なドメイン業者の提供している管理機能で設定できないのが、その理由です。 今回の記事ではlyncサーバを利用するにあたって、設定が必要になるSRVレコードの設定方法を紹介していきます。 ※2015現在、lyncはSkype for Businessに機
AmazonのDNSトラフィック乗っ取り 仕組みについて解説 - orangeitems’s diary
Route53のトラフィック乗っ取り AmazonのRoute53がトラフィック乗っ取りの被害に遭った、と聞くとぎょっとした人が多いのではないでしょうか。AWSの利用者は多いですからね。攻撃の仕組みについて解説します。 www.itmedia.co.jp AWSのクラウドベースのDNSサービスである「Route 53」のDNSトラフィックが何者かに乗っ取られ、「MyEtherWallet.com」のユーザーが仮想通貨を盗まれる事件が発生した。 解説 まず、この問題に関して利用された攻撃手法は「BGPハイジャック」という名前であることをおぼえてください。BGPとはネットワークの中で、ルーティング情報(経路情報)を交換するためのプロトコルです。BGPにて世界中のルーターが会話をすることによって、世界中どんなところにでも、インターネットがつながっていればパケットを届けることができるのです。例えば
ESP8266でmDNS (前編) – コーヒーサーバは香炉である
ESP8266にはmDNSライブラリがある。mDNSというのはローカルネットワーク内でお手軽にホスト名の解決をしてくれる仕組みであり、けっこう世の中のネットワーク機器でこっそり使われている。mDNSがあると何が嬉しいかというと、例えば ESP8266のIPアドレスを知らなくても “http://hoge.local” といったホスト名を使って簡単にアクセスできてしまうのだ。 ESP8266との通信をするためにはIPアドレスを知る必要があるわけだが、それをどうやって伝えるか? という問題への解決のひとつだ。 なお、mDNSの対応状況はまちまちで、OSが面倒をみてくれる場合もあれば、ソフトウェアを入れないとダメな場合もある。 とりあえずやってみる 細かい話は後にしてとりあえずやってみる。ESP8266上で動くWebサーバに “http://esp8266.local” でアクセスしてみよう!
Update on the Root KSK Rollover Project
Matt joined ICANN staff in May, 2016, as VP of Research in the Office of the CTO. Prior to joining ICANN, he was CTO at Dyn, Inc., and spent 13 years at Verisign, finishing his time there as VP of Research and Director of Verisign Labs. He lives in Maryland and works in ICANN's Washington, D.C. office. The ICANN org is today announcing that it will not roll the root zone KSK in the first quarter o
ルートゾーンKSKロールオーバーに関する現在の状況について - JPNIC
これまでもみなさまに何度かお知らせしているように、 DNSのルートゾーンを管理するICANNが、 ルートゾーンKSKロールオーバー(鍵署名鍵の更新)を現在実施中です。 工程のうち、 2017年7月11日のKSK-2017の公開および9月19日のZSK(ゾーン署名鍵)の更新は、 無事に完了いたしました。 事前に懸念されていたような、 DNSKEY応答サイズの増加に伴うIPフラグメンテーションによる影響などは、 これまでのところ大きな問題とはなっておりません。 多くの方々にご協力いただいた結果です。 ありがとうございました。 しかしながらICANNは、その後(2017年9月27日)に予定の延期を発表しました。 延期されたのは、 10月11日に予定される現在の鍵(KSK-2010)での署名停止と新しい鍵(KSK-2017)による署名開始です。 その理由としては、 DNSSECのトラストアンカーに
無料で独自ドメインの取得ができるサービス5選!フリードメインのメリット・デメリットも解説
ホームページの機能を改善するとき、「実際の環境でテストしてみたい」と感じることが一度はあるのではないでしょうか。 そんなとき、稼働中の自社ホームページとは別にドメインを取得して、テスト用のホームページを制作して新しい施策を試す方法があります。この方法であれば、テストに失敗しても、自社ホームページに影響が及びません。 ただ、新しくドメインを取得するコストが気になって踏み出せない担当者もいるかもしれません。そこでオススメしたいのが、「無料ドメイン」です。無料ドメインは、取得時だけでなく、通常の独自ドメインなら必要な更新費用も不要です。 今回は、無料ドメインのメリットとデメリットを解説した上で、取得できるサービスを6つご紹介します。 ▼ディレクター・デザイナーにおすすめ 無料ドメインとは そもそもドメインとは何のことか理解しているでしょうか?Webサイトでいう「ドメイン」とは、インターネット上の
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
今夜25時に迫った「DNSの世界的な運用変更」、ネット史上初の「ルートゾーンKSKロールオーバー」による利用者への影響は? 
DNSSEC 関連情報 ~よくある質問~ / JPRS
DNSに対する脅威とその分類~DNSセキュリティを考えるにあたって~
ルートゾーンのKSKロールオーバーについて - Internet Week ショーケース@名古屋