[注] この記事はすぐに陳腐化するはずの内容について扱っています。何年か経ってからこの記事を参照する場合、2022年3月に書かれた内容であることを留意の上お読みください。 はじめに IIJ DNSプラットフォームサービスにて、先日大きなアップデートと小さなアップデートがありました。大きなアップデートというのは、これまでのマネージドDNSサービスに加えてもうひとつ、IIJ DNSトラフィックマネージメントサービスという新たなサービスが追加されたこと。サーバの死活監視結果に応じて動的にDNSの応答を変えることができます。小さなアップデートは、従来のマネージドDNSサービスへの機能追加。HTTPSレコードに対応しました。 サービスの宣伝という意味では大きなアップデートの方を紹介した方がいいんでしょうけれど、ヘソ曲がりなのでここでは小さなアップデート、HTTPSレコードの方に焦点をあてます。 そも
概要 要約 詳細 背景 前提 インターネット上に公開されたdnsmasq LAN内のマシンが攻撃者の支配下にある LAN内のマシンに攻撃者管理のWebサイトを閲覧させることができる 影響 中間者攻撃 汚染拡大 DDoS/Reverse DDoS CVE-2020-25684: ポートの多重化 CVE-2020-25685: 脆弱なCRC32の利用 CVE-2020-25686: 同一ドメイン名に対する複数クエリ発行 DNSフォワーダにおけるレスポンスの未検証 組み合わせる ドメイン名の登録 ソースIPアドレスの偽装 CRC32の衝突 攻撃の流れ ブラウザからの攻撃 検証端末 攻撃の成功確率 PoC fowarder cache attacker 大量クエリの送信 偽装レスポンスの送信 高速化の話 実行 対策・緩和策 余談 まとめ 概要 先日DNSpooqという脆弱性が公開されました。 ww
By geralt Mozillaが開発するウェブブラウザのFirefoxが、DNSデータを処理することによってユーザーの閲覧履歴などを見ることができる企業に対してデータの取り扱い方法の変更を要求するプロトコル「Trusted Recursive Resolver program(TRRプログラム)」に、NextDNSが参加したことを発表しました。 Firefox Announces New Partner in Delivering Private and Secure DNS Services to Users - The Mozilla Blog https://blog.mozilla.org/blog/2019/12/17/firefox-announces-new-partner-in-delivering-private-and-secure-dns-services-to-
2016 年 6 月 14 日 (火) 筑波大学発ベンチャー ソフトイーサ株式会社 代表取締役 登 大遊 「OPEN IPv6 ダイナミック DNS for フレッツ・光ネクスト」サービスを公開 NTT 東日本のフレッツ回線間で VPN 機器や IoT 機器同士のフレッツ網内の高速・低遅延の直接通信を実現 ソフトイーサ株式会社は、本日、「OPEN IPv6 ダイナミック DNS for フレッツ・光ネクスト」サービス (https://i.open.ad.jp/) のベータ版を提供開始しました。 この無償のダイナミック DNS (DDNS) サービスを利用すると、NTT 東日本のすべてのエリアの 1,066 万本のすべてのフレッツ回線上で、インターネットから絶対に不正侵入されるおそれのない、大変高速かつ低遅延な VPN を、簡単に構築できます (注 1)。また、IoT 機器をフレッツ網に直
今回、不倫で有名になった乙武さんの謝罪文はAWSのS3で構築してる。技術的にもプロの犯行だ。S3とは、ざっくり言うとAmazonさんが運営してるほぼ絶対落ちない静的サーバのことです。http://ototake.com をDNSで全部S3に降ってる。要するに謝罪文しか表示しないけど絶対落ちないサーバをAmazonさんから短期的に借りる。今後、芸能人の謝罪文はAWSのS3というソリューションが増える。 GMOさんは芸能人に強いのに営業しないのかな。CAと組んで謝罪文サーバとか売ればいいのに。これは、芸能人のサイトを運用している人には重要な事例だ。教科書にのるかもしれない。むしろ、今後の謝罪ページのセオリーになるかもしれない。昔に比べて、DNSの浸透は爆速になったので、こういうのが可能なんだろな。 今まで、ototake.comを無視して、短期的にS3にDNSを降ることで、以下のメリットが有る
Google DNSはキャッシュヒット率が高く、ブラウジングが高速化されるという話ですが、遅くなるパターンもあるという話。 (知ってる人はゴメンなさいCDNとの相性が悪いという話です) お世話になったことの無い人は居ないと思うAkamai等のCDNサービスを利用する場合、遠いサーバを紹介される可能性があります。 (ニコ生やネットラジオ,iTunesが好きな方は利用していると思います。) DNSの仕組みは以下の通りで、フルサービスリゾルバがroot DNSサーバから再帰的に検索します。 目的のコンテンツサーバがCDNのDNSだった場合、フルサービスリゾルバから近いIPアドレスを紹介してくれる。 という訳です。 まずは自分で名前を引いて見ます $ dig @127.0.0.1 mfile.akamai.com. ; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> @1
2014年6月9日 各位 一般社団法人日本ネットワークインフォメーションセンター 内部システムで利用しているドメイン名にご注意! ~名前衝突(Name Collision)問題の周知と対策実施のお願い~ 本件に関連するプレスリリース 今年2014年1月にJPNICからもお伝えした通り(※1)、 ドメイン名などのインターネット資源をグローバルに調整するICANN (The Internet Corporation for Assigned Names and Numbers)によって、 2013年10月から1,300を超える新たなgTLDの委任が順次開始され(※2)、 今後、 インターネット上で多くのTLDが使われ始めることになります。 これにより、 DNSにおける「名前衝突」と呼ばれるセキュリティリスクが、 一般的なユーザーをはじめとする広範囲に発生する可能性が指摘されています。 (※1)
ブラジルとベネズエラのネットワークで、Google Public DNSが運用されている8.8.8.8が、最大22分間BGPハイジャックされたとBGPmonがTwitterで表明しています。 https://twitter.com/bgpmon/status/445266642616868864/photo/1 BGPmonのTweetによると、ベネズエラにあるAS7908(BT LATAM Venezuela,S.A.)が8.8.8.8/32を広告したことが原因のようです。 ブラジルといえば、ブラジル国民のデータをブラジル国内に留めることを求めた法律が成立したことによって、昨年10月に同国からGoogle Public DNSが撤退しています(Renesys: Google DNS Departs Brazil Ahead of New Law)。 実際のところは知りませんが、その撤退に
日本で行われている児童ポルノブロッキングで採用されているのは、DNSキャッシュサーバがブロックリストに掲載されたFQDNの名前解決を行わないという、DNSキャッシュポイズニングという手法です。 この手法は、主にISPが提供するDNSキャッシュサーバにて行われているので、児童ポルノブロッキングを行っていないDNSキャッシュサーバを利用することで回避が可能です。 また、IPアドレスを直接指定して通信を行うことで回避することも可能です。 このような手法が採用されていることに関して、「アホじゃないの?」とか「ザルじゃないの?」という感想が述べられがちです。 昨日、以下のような記事が出ていましたが、それに対しても「仕組みを考えた奴はバカだろう」的なニュアンスの感想が散見されます。 児童ポルノ遮断、「IP直打ち」ですり抜け横行 : 社会 : YOMIURI ONLINE(読売新聞) 私の感想 「IPア
--------------------------------------------------------------------- ■サービス運用上の問題に起因するドメイン名ハイジャックの危険性について 株式会社日本レジストリサービス(JPRS) 初版作成 2012/06/22(Fri) --------------------------------------------------------------------- ▼概要 レンタルサーバーサービス、クラウドサービス、DNSアウトソーシングサー ビスなどにおいて事業者がDNSサービスを提供する際、複数の利用者のドメ イン名(ゾーン)を同一の権威DNSサーバーに共存させる形で運用する場合 があります。 このような形でDNSサービスを運用し、かつ、各サービスの利用者自身によ るゾーンの新規作成を許可している場合、DNSサービス
SBの契約でEmobileを使ってるユーザは深夜時間帯に締め出されるようで 頼りのSUB回線が0-4時くらいまで完全に通信不能になります。 ※実際の深夜時間帯のSpeedTest これのどこがULTRASPEEDやねん!と思いながら もちろんMAIN回線はいつものごとくつながりません。 24時間365日使えるはずで契約しているものの EmobileやSBは繋がらないのもよくあることです…w でも回線落ちてるとか繋がらないとかそういう障害報告も無い。 ソフトバンクショップ行ってごねれば解約金なしで解約できるそうですが 代理店によってはかたくなに解約を断るショップもあるようです。 そこで、つながらない回線をつなげるには問題となっている DNSをGoogleに切り替えて強制的につなげるしかありません。 Google Public DNSを007Z本体に設定する場合。 ■Step1:設定 1.設定
ども!てみたーずのともぞう(@tomozo_1975)です。 皆さん、スマホのWi-Fi接続を爆速にすると言われる「魔法の数字」をご存知ですか? 今回はその魔法を実際に試してみたので詳細をレポートしたいと思います。 その結果…驚くほどステキな結果が出ちゃいましたよ! 参照:スマホのWi-Fi接続を爆速にする魔法の数字 129.250.35.250 – NAVER まとめ 早速、「魔法の数字」でWi-Fiがどれだけ早くなるか、実験をしてみました。 iPhone4を2台用意して、片方に「魔法の数字」を設定します。 ホーム画面にアップスへのブックマークを作成して同時に接続。 おぉ~!「魔法の数字」を設定したiPhoneはサクサク読み込んでいきますよ! 同じWi-Fiを使っているのにここまで差が出るとは驚きです。まさに魔法! ということで、次は魔法の数字の設定です。 そんなWi-Fiをサックサクに
「浸透いうな!」という掛け声が一部界隈で有名な「DNS浸透問題(もしくは、DNS浸透いうな問題)」ですが、今年2月にDNS浸透問題の原因の一つとなっている現象と同じものに起因する新たな脆弱性が発表されました。 その名は「幽霊ドメイン名脆弱性(ghost domain names)」です。 一見、DNS浸透問題とは全く別の問題のように思える「幽霊ドメイン名脆弱性」ですが、それが発生する原因と状況をよく見ると、「あ!これってDNS浸透問題で言ってた話と同じ原因だよね!?」とわかります。 実際、後述する通り、幽霊ドメイン名脆弱性の発想をDNS浸透問題と組み合わせることで、他人のDNS引っ越しを妨害するDoS攻撃も可能になります。 そう考えると、問題発生原因を調べずに「DNSの浸透をお待ち下さい」で済ませてしまうのは脆弱性の放置であるという考え方もできそうです(*1)。 ここでは、幽霊ドメイン名脆
各位 JPCERT-AT-2012-0008 JPCERT/CC 2012-03-06(初版) 2012-03-07(更新) <<< JPCERT/CC Alert 2012-03-06 >>> DNS 設定を書き換えるマルウエア (DNS Changer) 感染に関する注意喚起 https://www.jpcert.or.jp/at/2012/at120008.html I. 概要 JPCERT/CC では、DNS 設定を書き換えるマルウエア(以下、DNS Changer) に 関する情報を入手しました。DNS Changer は2007年頃にはじめて検出された マルウエアですが、DNS Changer に感染した PC は、現在でも世界中で数十万 台以上存在し、日本国内でも相当数の PC が感染しているとのことです。 また、2011年11月に米国連邦捜査局 (FBI)により、不正な D
「Gizmodo: 3月8日 FBIが数百万人規模でインターネットを遮断する可能性あり」という記事に関して、takeo_jpさんから解説リクエストを頂いたので。手短に。原文と比較すると恐らく日本語に訳すときの間違いです。 Gizmodoさんの記事には以下のようにあります。 前例のない大きな動きが起きようとしています。米国でFBIが数百万人のネットを遮断する可能性があるということ。実施されるかもしれない日は、3月8日。実施理由はTrojanウィルス、通称トロイの木馬を除去するため。 世界中で何百万台と感染させているエストニア発祥の老舗ウィルス、トロイの木馬。 しかし、この話は、FBIが関連するDNSキャッシュサーバを遮断するわけではありません。 むしろ逆で、マルウェアに感染してしまっているユーザがいきなり名前解決ができなくなってインターネットを使えないような状態にならないように、現在FBIは
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
