タグアーカイブ dns

著者:ym

いよいよ今週 11 日に KSK ロールオーバー

前回以下のページで応答がないと書きましたが、再度実施した所無事に 4090 と数字が表示サれてきました。

root zone の KSK rollover

 

# dig +short rs.dns-oarc.net TXT
rst.x4090.rs.dns-oarc.net.
rst.x4058.x4090.rs.dns-oarc.net.
rst.x4064.x4058.x4090.rs.dns-oarc.net.
"202.152.*.* sent EDNS buffer size 4096"
"202.152.*.* DNS reply size limit is at least 4090"
"Tested at 2018-10-08 04:18:30 UTC"

実行して見るとこの様な感じ。サービス提供で使用している DNS フルリゾルバに対して実行してみましたが問題はなさそうです。

KSKロールオーバーについて

 

 



  • この記事いいね! (0)
著者:ym

root zone の KSK rollover

前回、昨年?のKSKロールオーバー騒ぎで事前テストしてあって、問題はなかったはずなのですが、いよいよ1ヶ月に迫るので再テストと思って実行してみると、応答無し。

KSK ロールオーバーのテストで、rs.dns-oarc.net. を使ったテスト方法が乗っているのですが、いろんなサーバで実行したりフルリゾルバDNSを指定してしてやっても応答が帰って来ないのです。

dig +short rs.dns-oarc.net TXT

+short を取り外して実行すると SERVFAIL です。しかしブラウザで同じ DNS (フルリゾルバ) を使用した、例のテストURLは 1-4 は PASS (5はFAIL) を返しています。

dig rs.dns-oarc.net TXT

もう 9?% の範囲は問題ない的な記事を見かけたから rs.dns-oarc.net のテストサーバも終わったのだろうか。

porttest は GREAT では無いが GOOD 。
環境によっては GREAT 。

dig +bufsize=1024 rs.dns-oarc.net TXT
dig tcf.rs.dns-oarc.net TXT

どうなってるんだろ。

  • この記事いいね! (0)
著者:ym

cloudflare DNS の SERVFAIL

スタッフの takahashi 氏が名前が引けないというので、調査をしたところ cloudflare DNS に問い合わせると SERVFAIL となることを発見しました。

# dig @1.1.1.1 kb.vmware.com.

; <<>> DiG 9.9.13 <<>> @1.1.1.1 kb.vmware.com.
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 25051
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1452
;; QUESTION SECTION:
;kb.vmware.com.                 IN      A

;; ANSWER SECTION:
kb.vmware.com.          60      IN      CNAME   kb.cdnswitch.vmware.com.
kb.cdnswitch.vmware.com. 60     IN      CNAME   khmrp.x.incapdns.net.
khmrp.x.incapdns.net.   30      IN      A       45.60.15.183

;; Query time: 83 msec
;; SERVER: 1.1.1.1#53(1.1.1.1)
;; WHEN: Tue Aug 28 20:29:46 JST 2018
;; MSG SIZE  rcvd: 119

試しに Google Public DNS へ問い合わせて見ましたが、こちらは問題無し。もちろん他のフルリゾルバサーバへ問い合わせしても問題無しです。もちろん 512 超えていても ENDS0 で回答してくれればよいに。

# dig @8.8.8.8 kb.vmware.com.

; <<>> DiG 9.9.13 <<>> @8.8.8.8 kb.vmware.com.
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47609
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;kb.vmware.com.                 IN      A

;; ANSWER SECTION:
kb.vmware.com.          55      IN      CNAME   kb.cdnswitch.vmware.com.
kb.cdnswitch.vmware.com. 55     IN      CNAME   khmrp.x.incapdns.net.
khmrp.x.incapdns.net.   29      IN      A       45.60.15.183

;; Query time: 52 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Tue Aug 28 20:29:52 JST 2018
;; MSG SIZE  rcvd: 119
  • この記事いいね! (0)
著者:ym

certbot と nsupdate

常に SSL/TLS の Web ページとして表示するいわゆる常時SSL化、いよいよ始まりました。

無償で利用できるLet’s Encryptの人気が高まっていますね。関連するので nsupdate と certbot 関連を調べてみました。

nsupdate 関連については、簡単なので置いておくとして。問題は、certbot と nsupdate さらには apache の連携です。すべてバラバラのサーバで運用している上に FreeBSD なサーバです。まだ古いFreeBSD上で動かす方法を考えていますが、やはりCentOSかな。

  • この記事いいね! (0)
著者:ym

DNSアップデート

前の家から一緒に引っ越してきた13年もののエアコンがとうとう壊れ、温風しか出さなくなってしまったので新しいエアコンを購入することになりました。しかも子供部屋にも必要ということで2台。一つ5万円くらいかとおもったら、なんやかんやで倍位以上。やむを得ず5年ローンを組みました。

私はエアコン無しでも生活できるのですけどね。とんだ週末、まいりました。

今日はBINDのバージョンアップです。

しばらく、脆弱性への影響が無いものばかりだったのでほったらかしていましたが、あまりにも空きすぎたのでアップグレードを行ってみました。

そろそろ、新しいメジャーバージョンへ追いつきたいところですが。

DNS サーバとしては 4 台可動していて、権威サーバが2台、キャッシュが2台というシンプルな構成で可動しているので、まずは片側をアップグレードして様子をみます。約 1 週間間を置いて、冗長相手側をアップグレードする予定です。

JPRS DNS 関連技術情報

DNS サーバを運用している方は、こちらの日本のJPドメイン名を管理する JPRS のページに情報が掲載されるのでチェックしておくと良いです。

  • この記事いいね! (0)
著者:ym

EDNS

JPNIC Blog — 注意! 2019年2月から主要DNSサーバソフトウェアの挙動が変わります

以前延期になった EDNS 機能。通信に UDP ではなく TCP を使う機能です。

世界的な実施予定日は 2019年2月1日ですが、厄介なことに徐々に症状がひどくなっていく形の様です。

JPNIC の記事にかかれているこのサーバ dnsflagday でドメイン名を入力することで DNS サーバが対応済みか結果がわかります。

DNSサーバを構築運用している皆さんも、ご注意ください。

 

それと以下アップデート。

Windows Update

Microsoft、2018年7月のセキュリティ更新プログラムを公開 ~OSの最大深刻度は“重要” – 窓の杜

私の HDD な PC ではアップデートに45分くらいかかりました。

ClamAV Update 0.100.1

ClamAV® blog- ClamAV 0.100.1 has been released!

レンタルサーバの仕組みとして ClamAV を使用している為、これもアップデートに入ります。

  • この記事いいね! (0)
著者:ym

RIPE Atlas probe

RIPE Atlas probeが到着してから2ヶ月程、動かし続けています。

RIPE Atlas - RIPE NCC

RIPE Atlas – RIPE NCC

RIPE はヨーロッパの IP アドレスを管理する団体なのですが、その団体がこの装置プローブ (probe) を世界中に無償配布して世界中のインターネットの状況をリアルタイム観測しようとするプロジェクトになります。GoogleMapの様な地図があってグリグリ動かして見る事ができます。

https://atlas.ripe.net/about/

このサイトをGoogle翻訳すると、ビジョンや利点等、詳しく書かれています。
いま時点では、静岡県内に 4 個ありますね。で何?といった装置ですが一応ネットワーク携わっているのでね。今更設置してみました。先日メールが送られて来ましたが、なにか動きもありそうです。

  • この記事いいね! (0)
著者:ym

DoT してみる

先日の DoH は、DNS over HTTP でしたが、DoT は over Twitter 。

DNS over Twitter も始めてます。

@1111Resolver に対して、メンション付きでコマンドツイートすると IP アドレス返してくれる様です。

で、? なサービスですが、簡単で広告で良い。

DNS over Twitter

DNS over Twitter

ドメイン名をメンションするとIPアドレスを返すTwitterアカウント「@1111Resolver」、Cloudflareが開始 – INTERNET Watch

  • この記事いいね! (0)
著者:ym

異なるメーカー&複数ルータ機種でDNS不正書き換え被害

ルータの DNS 設定が書き換えられる件、結構な被害へ広がっている様ですね。

異なるメーカー Logitec、Buffalo、NTT東西、異なる複数の機種でも症状が有るらしい。

しかもゼロデイ状態。まだ原因が突き止められていない様子。

 

DNS 設定が書き換えられ、偽装された Facebook サーバや、Google サーバへ接続してしまう症状。

ISP側で今回の不正サイトへのトラヒックを制御して防ぐとかしないとやばいような気もする。

結構怖い。

  • この記事いいね! (0)