ども、大瀧です。 AWSとオンプレミスのハイブリッド構成は、エンタープライズのAWS活用では定番となりつつあります。そんなAWSハイブリッド構成の設計でよく課題に挙がるのが、DNSです。このブログエントリーでは、使えるDNSサービスの種類とその特性をまとめ、いくつかの構成パターンを解説、比較してみます。 AWSハイブリッド構成とは AWSハイブリッド構成は、AWSでプライベートネットワークを構成するAmazon VPCとオンプレミスのネットワークを相互接続し、両方のサーバーリソースを組み合わせて利用するものです。VPCとオンプレミスとの接続は、プライベート接続として専用線 *1かインターネットVPN *2を利用します。 AWSハイブリッド構成で利用するDNSサービス DNSサーバーには権威サーバーとキャッシュサーバーの2種類がありますので、それぞれで利用できるサービス毎に並べてみました。[
あまりにもブログを書いてなさすぎるので、昨年同様に一人アドベントカレンダーでもやろうかなーと思っています、並河です。こんにちは。(昨年は12/1から欠損してくじけた) 最近は割と、情シス業をしたりすることもあって、この前はSPF(Sender Policy Framework)の設定をきちんと入れなおしたりしていたのですが、そこで学んだメモ。 これまではDNSでのSPFまわりの設定って、当たり前のようにSPFレコードとTXTレコードの両方を登録(TXTレコードしか解釈できない古いリゾルバでも対応できるように)していたのですが、どうも最近はTXTレコードのみにしましょうとRFCで定義されています。 具体的には、2014/04に策定された RFC 7208 の "3.1. DNS Resource Records" に以下の記載があります。 SPF records MUST be publis
日立製作所は、ネット上の住所にあたるドメインの末尾を「.hitachi(ドット日立)」に統一する。ドメイン名を管理する国際団体「ICANN」(米国)に2012年に申請し、今年5月に運用開始を認められた。数年後をめどに現在の「.co.jp」から切り替える。 ドメイン末尾に自社名の使用が認められた大手企業は多いが、実際に運用を始めた例は少なく、様子見の企業が多いという。大日本印刷は、電子書籍や写真のフォトブックなど消費者向けサービスを紹介した専用サイトに「.dnp」を使っているが、日立のように多くのサイトで採用する例は珍しい。 「.hitachi」はまず、10月に開く自社展示会の専用サイトで使う。その後、自社サイトや事業部門別サイトにも広げる。グループ企業にも使用を呼びかける。使えるのはグループに限られ、なりすましサイトなどを防ぐ効果も期待できるためだ。 ドメイン末尾を、都市名にする例は広がっ
Copyright © 2013 株式会社日本レジストリサービス 1 Copyright © 2013 株式会社日本レジストリサービス 1 Copyright © 2013 株式会社日本レジストリサービス 1 初心者のためのDNS運用入門 - トラブルとその解決のポイント - 2013年7月19日 DNS Summer Days 2013 株式会社日本レジストリサービス(JPRS) 水野 貴史 Copyright © 2013 株式会社日本レジストリサービス 2 Copyright © 2013 株式会社日本レジストリサービス 2 Copyright © 2013 株式会社日本レジストリサービス 2 講師自己紹介 • 氏名:水野 貴史(みずの たかふみ) • 生年月日:1988年3月3日(25歳) • 所属:株式会社日本レジストリサービス(JPRS) システム部 • Unix歴:8年目(F
とあるタイムライン hoge「example.moe が浸透しない!」 tss「浸透いうな! whois 引けば原因わかるでしょ。」 hoge「キター! 言葉狩り! ブロック!」 hoge (原因わかってんならちゃんと教えろよ。くそ老害がぁ。) ...その後、1時間ほどで原因が修正され解決 (こびとさん?) その原因 whois の設定 [Name Server] ns.example.moe. [Name Server] ns.example.jp. ns.example.moe. の応答 example.moe. IN NS ns.example.moe. ns.example.jp. の応答 SERVFAIL
2013年4月12日(金) ■ unbound ANY 制限パッチ _ DNS で ANY を聞くとだぁーっといっぱい答が返ってくるわけだけど、そもそもふつーに使ってて ANY を聞くことなんかあるんですかね。人間がテスト目的で手で叩く以外で。qmail は MX を聞くかわりに ANY を聞くけど、それぐらい? _ それから、UDP 512バイトの壁を越えるためには EDNS0 を使うという方法があるけど、キャッシュサーバではないふつーのクライアントから EDNS0 なクエリがやってくることってあるんですかね。NetBSD、OpenBSD は resolv.conf の options edns0 で設定できるけど、それぐらい? _ で、さらに、ANY かつ EDNS0 なまっとうな問い合わせって、どんだけあるんですかね。まずないよね、きっと。かぎりなくゼロなんじゃないかな。 _ という
ネームサーバのセキュリティ、DNSリフレクション、DNS ampなどを使って悪用されたりすることが多いと言われています。 http://web-tan.forum.impressrd.jp/e/2009/01/15/4414 http://www.atmarkit.co.jp/fwin2k/win2ktips/781dnsamp/dnsamp.html 基本的な設定ができていれば問題はないはずなのですがなかなか慣れないとbindの設定は難しいものです。recursionの設定とLOGさえしっかりと行っておくと万が一の対応も出来るかと思います。本当に基本的な設定、ゾーンファイルの定義などはここでは説明していません。ゾーンファイルの書き方、設定の仕方はgoogleなどで検索してみてください。bindの基本的な設定は下記のとおり。 /etc/bind/named.confファイル include
日本レジストリサービス(JPRS)は2012年12月18日、DNS(Domain Name System)の大もとのサーバーである「ルートサーバー」の一つ「D.root-servers.net」(D-root)のIPアドレスが2013年1月から正式に変更されることをアナウンスし、DNSサーバーを運用している企業や組織の管理者に対応を呼びかけた。 D-rootを管理している米メリーランド大学が現地時間12月14日に事前予告(advance notice)していたもので、IPアドレス(IPv4アドレス)が従来の「128.8.10.90」から「199.7.91.13」に変更される。新しいアドレスは既に利用可能となっているが、2013年1月3日に予定されているルートゾーンの変更終了時点より正式運用が開始されるという。 なお、変更されるのはIPv4アドレスだけで、IPv6アドレスについては従来の「2
--------------------------------------------------------------------- ■(緊急)BIND 9.xの脆弱性(サービス停止)について - キャッシュ/権威DNSサーバーの双方が対象、バージョンアップを強く推奨 - 株式会社日本レジストリサービス(JPRS) 初版作成 2012/09/13(Thu) --------------------------------------------------------------------- ▼概要 BIND 9.xにおける実装上の不具合により、namedに対する外部からのサービ ス不能(DoS)攻撃が可能となる脆弱性が、開発元のISCから発表されました。 本脆弱性により、提供者が意図しないサービスの停止が発生する可能性があ ります。 本脆弱性は危険性が高く、かつキャッシュDNSサ
2012年2月25日 dnstudy#03 / qpstudy#09 懇親会(ビアハッシュ)飛び入りライトニングトーク 事後資料
さきほどTwitterで流れてきたのでたまたま見つけたのですが、LuadnsというDNSホスティングサービスがかなり凄いです。Luaスクリプトでゾーン設定を書いてGitHubにpushするだけで即座にDNS設定ができてしまいます。 DNSホスティングサービスというと、多くの場合ブラウザを開いてログインしてコントロールパネルからポチポチと入力して送信して、、、という手順を踏まないと設定が更新できないわけですが、Luadnsは違います。example.com.lua ファイルをEmacsやVim(やその他エディタ)で開いてLuaスクリプトを書き、git commit & git push で設定が完了してしまいます。push にフックして Luadns の設定が自動的に更新されます。 マウスまで手を動かすのが無限に遠く感じられるプログラマにとっては、これほど素早く簡単にDNSが設定できるのはか
CVE-2008-1447 の件で会社の BIND をアップデートしてまわっていたところ, /var/log/message に foo_bar.example.com: bad owner name (check-names) というようなエラーがでて,その zone の名前解決ができなくなった. で,ググったところ - エイジの気まぐれ日記: BINDで名前解決ができない http://blog.age-net.jp/2007/03/bind.html によると, どうやらBIND9.3.1から、「check-names」がデフォルトでfailと設定されており、アンダースコア(_)をはじいてしまっていたようだ。 ということなので,named.conf の該当する zone に check-names ignore; を追記し,名前解決ができることを確認. ホスト名に"_"が使えない根拠
EPIC2014 Google Public DNS (8.8.8.8, 8.8.4.4) および Cloudflare (1.1.1.1, 1.0.0.1) 経由では本サイトにアクセスできないよう措置させて頂いております。 これまで多くの警告がなされているにも関わらずインターノットにはたくさんのオープンリゾルバが存在しています。その中にはポート番号がランダマイズされていない危険なサーバがいくつも見つかっています。こうしたサーバの管理者に個別に連絡してあげられる時間は残念ながら私にはありません。 古くからDNSの諸問題に取り組まれている qmail.jp の前野さんからも「たくさんの危険なサーバが見つかっているのだが、どうしたものだろう」という声が聞こえてきていました。 どうしたものかと考えて、思案した結果「毒入れ」を敢行することにしました。「毒入れ」と言っても大量の偽応答を送り込むような
--------------------------------------------------------------------- ■(緊急)Windows DNSサーバーの脆弱性を利用した攻撃について - セキュリティ更新プログラムの適用を強く推奨 - 株式会社日本レジストリサービス(JPRS) 初版作成 2011/08/11(Thu) --------------------------------------------------------------------- ▼概要 Windows Server 2003、2008及び2008 R2のWindows DNSサーバーには実装上 の不具合があり、リモートからのサービス不能(DoS)攻撃、またはサーバー 上における任意のコードの実行が可能になる脆弱性が存在することが、開発 元のMicrosoftより発表されました。本脆弱
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く