インターネットの重要資源の世界的な管理・調整業務を行う団体ICANN※1は、DNS(ドメインネームシステム)における応答の改ざん検出等の仕組みに用いられる鍵のうち、最上位のもの(ルートゾーンKSK)の更改を、本年10月12日午前1時(日本時間)に行うことを決定しました。 これに伴い、キャッシュDNSサーバーを運用している方において事前の処置が必要となる場合があります。 インターネットでの通信を支える基盤のひとつであるDNSでは、応答の改ざんの検出等が可能となる仕組み(DNSセキュリティ拡張(DNSSEC))が平成22年から運用されています。DNSSECの運用にあたっては、セキュリティ確保の観点から、用いられている暗号鍵の中で最上位となるもの(ルートゾーンKSK)を、5年毎を目安に更改することとされています。 今般、DNSSECの運用開始から5年以上が経過し、ルートゾーンKSKの初めての世界
2018/05 の #ssmjp で発表した時の資料。 @shutingrz
仕事で外部のエンジニアに依頼したドメイン移行が正しく動作していなかったため、良い機会と思いDNSについて調べました。 名前解決の方法 そもそも名前解決とは何かというと、ドメインとIPアドレスを紐付けることです。手法として以下の2つが上げられます。 /etc/hostsに直接対応を記述する方法 /etc/resolve.confにDNSサーバーのIPアドレスを記述し、問い合わせる方法 今回はDNSサーバーによる名前解決について説明していきます。 DNSによる名前解決 ドメインツリーによる負荷分散 全世界に無数に存在するドメインの解決を一台のネームサーバーで担当するのは不可能です。そこでDNSでは下記のように、各階層に意味を持たせ、下位のドメインを管理させることで分散型の構造を構築しています。 ドメインツリー キャッシュサーバーによる高速化 クライアントからDNSサーバーに対してドメインを問い
Cloudflare's mission is to help build a better Internet. We're excited today to take another step toward that mission with the launch of 1.1.1.1 — the Internet's fastest, privacy-first consumer DNS service. This post will talk a little about what that is and a lot about why we decided to do it. (If you're interested in the technical details on how we built the service, check out Ólafur Guðmundsson
先日、ioドメインの障害があったのだけど、自分がDNSの仕組みをよく分かっていないせいで、いまいちどういうことが起こっていたのか把握できなかった。そこで、DNSの仕組みについて軽く勉強したので、そのメモを残しておく。内容は間違っているかもしれないので、その場合は指摘してください。 DNSについて学んだこと Software Design 2015/4のDNSの教科書が非常に勉強になった。また、 インターネット10分講座:DNSキャッシュ - JPNICも参考になる。 権威サーバとフルリゾルバ まず、DNSサーバには権威サーバとフルリゾルバの二つの種類が存在する。 権威サーバ ドメインの情報を管理し、自分の管理しているゾーンの情報を提供するだけのサーバ 問い合わせたドメインが自分のゾーンの管理下ではない場合、別の権威サーバへ委任するという情報を返す コンテンツサーバとも言われる? 例) co
DNS クライアントとは UDP の習作として、DNS クライアント、つまり ホスト名を元に、対応する IP アドレスを求めるプログラム IP アドレスを元に、対応するホスト名を求めるプログラム を作りましょう。 こういう名前解決を行うコマンドは nslookup・host・dig などが有名です。 また、これとは別に OS には resolver (リゾルバまたはレゾルバ) と呼ばれるライブラリが標準で実装されています。 具体的には res_init(3), res_query(3), res_send(3) などです。 これまで本ページで作ってきたプログラムでも gethostbyname(3) や inet_aton を使用して use Socket; $iaddr = inet_aton("X68000.startshop.co.jp"); というふうに名前解決を行っていました。
DNSの引越しをしたけどうまく切り替わらない。なかなか浸透しない。業者に問い合わせると「DNSの浸透には数日かかることもあります。お待ちください」と言われた。 、、、という話をよく聞きますが、「浸透」(伝播、伝搬、浸潤、反映などとも呼ばれる)ってなんでしょう? DNSの設定を変更するのは「浸透」という謎の現象に託す神頼みのような作業なのでしょうか。 2011.10.16 追記:「浸透」と言っている例 DNSの仕組み まず、DNSの仕組みと、特にキャッシュの動作について解説します。...と思いましたが、とっても大変なので省略します。ただ、権威サーバに登録された情報が世界中のキャッシュサーバに配信されるなどという仕組みは DNS には存在しません。浸透という人はそう思っているようですが。(こんなふうに) 「浸透」という言葉で騙されていませんか? 事前に変更したいDNSのレコードのTTLを短くし
Dnsmasqでお手軽ご家庭DNSサーバーを作ろう こんにちは、mizuno_asです。 単にアクセスしやすいからであったり、テスト環境で名前ベースのVirtualHostを使いたいからであったりとその理由は様々ですが、ローカルIPアドレスを使っているLAN内においても、名前解決したいというケースはよくありますよね。avahiでは嫌だし、hostsをメンテするのは大変だし、BINDを立てるのはコスト的に重い……。今日はそんな時に役立つかもしれない、Dnsmasqを紹介します。 Dnsmasqとは? Dnsmasqとは、小規模ネットワーク向けのDNS/DHCP/TFTPサーバーです。UbuntuデスクトップではDNSリゾルバとしてNetworkManagerから起動されているため、知らず知らずのうちに利用している人も多いのではないでしょうか。Dnsmasqは自身の/etc/hostsファイル
heroku はデフォルトでは naked domain (サブドメインがないドメイン)は使えません。おそらく EC2 の制約?のはず。DNS によっては抜け道があるのですが、route53 では回避ができません。 route53 だと、現状では「naked domain にアクセスしたら www のサブドメインにリダイレクトする」という設定をするのが精一杯です。 僕は基本 route53 を利用していて、そのため heroku で運用しているこのブログも一時 www.willnet.in というドメインにしていました。しかしやっぱり naked domain が使いたいな−。と思ったのでやり方を調べました。 PointDNS 結論として、PointDNS というサービスを使うことにしました。 heroku の addon として提供されていること heroku で naked domai
Legacy routing EOL on October 20th. On Ocober 20th 2014 we are turning off the legacy “.heroku.com” routing path. herokuのbamboo stackが使ってたlegacy routingが廃止されるということで、昔、www無しでアクセスしたい場合に直接IPで指定してた系のサービスがアクセスできなくなった。 U2Plusにも通知が来てたのでメンテしてる@tkawaさんに聞いてみたらGehirnのDNSで対応したらしい。 俺も使ってみたらアラ便利。ALIASレコードが使えて無料で2ドメインまで、レコード無制限ってのは海外含めてあんまり無いんじゃない? Gehirnって聞くようになってからだいぶ経つのでいきなり無くなる感じはしないし、ええやんけ! GehirnDNS | ゲヒルン
権威ネームサーバのNSDがDNSラウンドロビンに対応したので、NSDとDNSラウンドロビンについて紹介します。 なお、この記事は『UnboundとDNSラウンドロビン』の姉妹編的な位置づけです。ほぼ同じようなDNSラウンドロビンについての説明があります。 NSDとは DNSサーバのソフトウェアとしてはBINDがデファクトスタンダードのような位置づけになっていますが、BIND以外にも様々なDNSサーバのソフトウェアがあります。その中の一つとしてNSDがあります。 NSDはオランダのNLnet LabsのW.C.A. Wijngaards氏が中心となって開発が行われています。NSDは元々はルートサーバ用として開発されましたが、現在のバージョンでは普通の権威ネームサーバとしての機能はほぼ実装されており、代表的な権威ネームサーバのソフトウェアの一つとなっています ちなみに、ルートサーバのHとKとL
Home > Ansible | AWS > Ansible で EC2 インスタンスを起動して、Route53 に Public DNS を登録する Ansible は、構成管理ツールとして認知されていますが、AWS 関連のモジュールが多数実装されており、各コンポーネントの起動や設定ができます。 このエントリでは、Ansible で、検証環境用の EC2 インスタンスを起動して、その Public DNS をRoute 53 に登録してみます。 以前書いたこのエントリの内容 を Ansible で自動化するイメージですね。 準備 今回は、AWS を操作するので、Python の AWS SDK である boto をインストールしておきます。boto は、pip なり、yum なりでインストールできます。 OSX $ pip install boto RHEL / CentOS $ rpm
Stay organized with collections Save and categorize content based on your preferences. Publish your domain names by using Google's infrastructure for production-quality, high-volume DNS services. Google's global network of anycast name servers provides reliable, low-latency, authoritative name lookups for your domains from anywhere in the world. Learn more
本日、JPRSが緊急の注意喚起を公表しました。 緊急)キャッシュポイズニング攻撃の危険性増加に伴うDNSサーバーの設定再確認について(2014年4月15日公開)- 問い合わせUDPポートのランダム化の速やかな確認・対応を強く推奨 それに対して、2月中旬に脆弱性を発見してJPRSへと報告していた鈴木氏(脆弱性は前野氏との共同発見)が、JPRSの注意喚起では「危険性をよく理解して対策をとるにあたって十分な情報が含まれているとはいえません」として、以下の情報を公開しています。 開いたパンドラの箱 - 長年放置されてきたDNSの恐るべき欠陥が明らかに キャッシュポイズニングの開いたパンドラの箱 キャッシュポイズニングの開いたパンドラの箱 - 2 - 本来であれば、より上位からの正規の回答が優先されなければならないはずなのに、下位側が優先される仕様になっているので、偽装されたデータが優先されてしまう
キャッシュポイズニングの開いたパンドラの箱 Opened Pandora's box of Cache Poisoning 鈴木常彦 2014.04.15 (Concept by 前野年紀 2014.02) / English version 背景 Kaminsky 2008年、Dan Kaminsky 氏が TTL に影響されない毒入れ手法を発表した。 しかし、偽応答のAdditional Section で毒が入るとされたのは誤りだったことを2011年に鈴木が明かにした。 http://www.e-ontap.com/dns/bindmatrix.html Müller Bernhard Müller の "IMPROVED DNS SPOOFING USING NODE RE-DELEGATION", 2008.7.14 https://www.sec-consult.c
DNS問い合わせの可視化 最近、データをまとめたり可視化したりしてその性質を調べる探索的データ分析(例)にはまっています。と、同時にネットワーク分析にもちょっと手を出しており、その2つの派生物としてドメイン名問い合わせの結果を可視化してみました。 これを読んでいる人にはもはや説明の必要はないと思いますが、一応書いておくと、世の中のwww.google.comやwww.amazon.co.jpのようなドメイン名はサーバの場所を直接示しているわけではなく、「この名前を持っているサーバのIPアドレスはなんですか?」というのをDNSサーバという別のサーバに問い合わせることで目的のサーバのIPアドレスを教えてもらい、その後目的のサーバへ接続します。以前は正引き(ドメイン名からIPアドレスを問い合わせる)と逆引き(IPアドレスからドメイン名を問い合わせる)が対称構造になるように設定するのが主流でしたが
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く