Name Server 総合スレ【DNS】

**名無しさん＠お腹いっぱい。** · 2008/11/26(水) 01:14:36

立ててみるだよもん

●主なオープンソース
BIND
ttps://www.isc.org/software/bind
djbdns
ttp://djbdns.qmail.jp/
NSD
ttp://www.nlnetlabs.nl/projects/nsd/
Unbound
ttp://unbound.net/

●規格
RFC1034, 1035
ttp://www.ietf.org/rfc/rfc1034.txt
ttp://www.ietf.org/rfc/rfc1035.txt

●アプライアンス
Nominum
ttp://www.nominum.com/
Infoblox
ttp://www.infoblox.co.jp/

**名無しさん＠お腹いっぱい。** · 2009/07/09(木) 00:07:11

>>141
そりゃそうだ

**名無しさん＠お腹いっぱい。** · 2009/07/09(木) 00:25:54

質問者はtransportのIPv6と、クエリ対象レコードのIPv6を区別できてるのに
回答者は区別できてない奴が多いな。

で、もとの話題の戻ると、
・・・わからん、すまん。

**名無しさん＠お腹いっぱい。** · 2009/07/09(木) 09:40:17

v6のこと、よくわかってないから的外れなこと言ってたら優しく指摘してよ。
v4でインターネットに繋がっていないLAN内だけのDNSを立てるとき
ルートサーバーとして設定してたじゃない。
それと同じようにv6のルートサーバーにすればいいんじゃないのではございませんか。

**144** · 2009/07/09(木) 10:11:37

ああ、これじゃだめですね。

**名無しさん＠お腹いっぱい。** · 2009/07/09(木) 20:13:56

>>134
既存のプログラムを改造してそういうフルリゾルバを作ってやるしかないのでは。
大技としてAAAA他最近の拡張されたクエリーを理解できないくらい古いBINDを
フルリゾルバとして使うというのも考えられるけれど副作用が大きすぎる。

そもそもなんでそんなことしたいの？

**名無しさん＠お腹いっぱい。** · 2009/07/29(水) 20:00:08

Bindにセキュリティホールだって
http://jprs.jp/tech/security/bind9-vuln-dynamic-update.html

**名無しさん＠お腹いっぱい。** · 2009/07/29(水) 21:26:46

>>147
あらゆるプライマリサーバが脆弱性の対象か・・・
思ったより深刻なセキュリティホールだな。

**名無しさん＠お腹いっぱい。** · 2009/07/29(水) 22:13:30

iptablesのworkaroundが書いてあったけど
何やってるのかワケワカメ~

**名無しさん＠お腹いっぱい。** · 2009/07/30(木) 04:45:34

>>148
プライマリサーバって？

**名無しさん＠お腹いっぱい。** · 2009/07/30(木) 08:40:10

>>150
masterゾーンを管理しているサーバ

**名無しさん＠お腹いっぱい。** · 2009/07/30(木) 12:48:14

今はもうプライマリと言っても通じない世代が居るのか
BIND4時代の古い用語だからしょうがないな

**名無しさん＠お腹いっぱい。** · 2009/07/30(木) 12:53:54

それを知ってて突っ込んでるだけだろｗ釣られ過ぎ

**名無しさん＠お腹いっぱい。** · 2009/07/30(木) 14:17:07

>>153
JPRSの文章がそうなっているじゃん。w

**名無しさん＠お腹いっぱい。** · 2009/07/30(木) 19:56:31

type master;以外は雑魚ということですね-)

**名無しさん＠お腹いっぱい。** · 2009/07/30(木) 20:01:32

>>155
大抵localhostに対してはmasterよ

**名無しさん＠お腹いっぱい。** · 2009/07/30(木) 20:01:42

localhostや127.in-addr.arpaくらいはmasterになってるだろ

**ななし** · 2009/07/31(金) 00:13:35

BIND9.3以前はEOLでパッチが提供されないみたいだけど、9.4以降の修正内容を
参照すると9.3でも簡単にパッチ作れるな。^^;

**名無しさん＠お腹いっぱい。** · 2009/07/31(金) 14:53:20

JPRS の DNS 攻撃で落ちたのか。
こりゃ、急いだ方が良いな。

月曜日にやろうと思ったけど、今からあげよ。

えっ · 2009/07/31(金) 16:45:16

ほんとに？

**名無しさん＠お腹いっぱい。** · 2009/07/31(金) 16:48:19

>>160
マジだよ。JP DNS が落ちた訳じゃないらしいけど。
みんみんが、言っているんだから間違いない！

**NoName** · 2009/07/31(金) 16:55:19

みんみんて誰だよ

**名無しさん＠お腹いっぱい。** · 2009/07/31(金) 17:01:04

>>162
JPRSの中の人
民田雅人

**NoName** · 2009/07/31(金) 17:03:52

ほんとだメールアドレスがみんみんだ
俺もうｐしよう
これはやばそうだ

**名無しさん＠お腹いっぱい。** · 2009/07/31(金) 17:11:16

(ﾟДﾟ)ノ⌒SMF
Solaris10純正は落ちたら再起動してくれるよ

**名無しさん＠お腹いっぱい。** · 2009/07/31(金) 18:36:47

>>165
それで良いのか？
アップデートないの？

**名無しさん＠お腹いっぱい。** · 2009/07/31(金) 19:31:25

http://sunsolve.sun.com/search/document.do?assetkey=1-66-264828-1

**名無しさん＠お腹いっぱい。** · 2009/07/31(金) 20:33:00

ｽﾞｺ(AA略

**名無しさん＠お腹いっぱい。** · 2009/07/31(金) 23:20:58

OSX ServerのアップデートがAppleから落ちてこないのは気のせい？

**名無しさん＠お腹いっぱい。** · 2009/07/31(金) 23:53:17

龍谷大の人がexploitのコード載せちゃったからね

**名無しさん＠お腹いっぱい。** · 2009/08/01(土) 00:14:32

>>170
あらら・・・
手回しの良いことで。

せめて週明けまで待てばいいのに。

**名無しさん＠お腹いっぱい。** · 2009/08/01(土) 00:23:02

>>165
落ちるんじゃなくてnamed生きたまま応答しなくなるという嫌らしさ

ほんとに他愛のないUDPパケット一個で即死する
発信元IPが偽造されたら追跡もできないな
プロバイダ各社のエグレスフィルタ採用状況はどうなんだっけ？

**ななし** · 2009/08/01(土) 01:42:22

>>172
環境依存なのかRHEL5を使っているウチではnamedが死ぬけどね。

**名無しさん＠お腹いっぱい。** · 2009/08/01(土) 15:19:24

>>173
ウチの環境では起こっていない。@RHEL 5 64bit

**173** · 2009/08/02(日) 03:45:55

>>174
assertionで落とされているという認識なので、CPUアーキテクチャの
違い(32bit/64bit)に影響を受ける部分とは思えないんだけど、興味深い
話ですね。

検証できる環境もないし、する必要もないのでそれだけですが。

**名無しさん＠お腹いっぱい。** · 2009/08/03(月) 21:34:42

tmが出張してtinydnsの宣伝してるけど、メンテが期待できないものを薦めるなんて正気の沙汰とは思えない。
IPv6対応にするだけでも他人が書いたパッチが必要とか・・・DNSSEC対応できるの？

**名無しさん＠お腹いっぱい。** · 2009/08/03(月) 21:53:43

>>176
tinydns ねぇ。あったねそんなの。
ところで、どこの話題？俺の入っていないMLなんだろうけど

**名無しさん＠お腹いっぱい。** · 2009/08/03(月) 22:20:03

>>177
tss氏の日記（2009-07-29）へのコメント。
「コンテンツサーバとキャッシュサーバの分離」とか、安全なDNSサーバのPoCとしては十分な役割を果たしたと
思うけど、もう引退させた方が良いでしょ。

**名無しさん＠お腹いっぱい。** · 2009/08/03(月) 22:36:49

>>178
Res ありがとう。どこか判った。
つーか、なんちゅう極端な人たちだ。

**名無しさん＠お腹いっぱい。** · 2009/08/04(火) 10:29:08

今ならunbindおすすめ？

**名無しさん＠お腹いっぱい。** · 2009/08/04(火) 10:42:51

>>180
unboundな。

コンテンツサーバなら、NSD使えばいいんでね。

**名無しさん＠お腹いっぱい。** · 2009/08/04(火) 18:12:54

手元の検証用マシンに載ってたDNS鯖（9.3.6-P1）に
PoC（perl版, C版）投げても平気な顔してるうちのDNS鯖。

PoCの設定の仕方がおかしいのか(´・ω・｀)

**名無しさん＠お腹いっぱい。** · 2009/08/04(火) 19:16:05

>>182
ログはどうなの？↓が出ている？
/ANY: 'RRset exists (value dependent)' prerequisite not satisfied (NXRRSET)

**名無しさん＠お腹いっぱい。** · 2009/08/04(火) 19:21:27

>>183
レス㌧
C版でやるとソレが出たわ

perl版は正しいrndcのkey nameとkey入れんとダメなんかいな

**184** · 2009/08/04(火) 19:50:09

perl版にkey nameとkeyを実際に設定している値にすると >>183 のログが出たわ。

**184** · 2009/08/04(火) 20:19:40

http://www.ntt.com/icto/security/images/sr200803101.pdf の通りにやってみたが
PoCは途中で止まらずprint後にプロンプトに戻るし、
ログには >>183 が出るだけだわ('A`;)

今日はもう遅いのでまた明日チャレンジしてみるﾉｼ

**名無しさん＠お腹いっぱい。** · 2009/08/04(火) 21:21:07

>>184
私が見たPoCのコードだと、構造体のパディングが考慮されてなくて
うまく動かないかもしれないように見えたんだけど。Cで書かれたやつね。

**名無しさん＠お腹いっぱい。** · 2009/08/08(土) 01:49:21

DNS担当って損だよな。

影響大きいのに、金は安い。
SEでさえ、きちんと仕組みを理解している人が少ない。
だから、いつも説明に困る。。
コンテンツとキャッシュを区別できるひとはどれだけいるのだろう。。

**ななし** · 2009/08/08(土) 13:55:55

>>188
>コンテンツとキャッシュを区別できるひとはどれだけいるのだろう。。

さすがにそれはお前の環境だけの問題では？という気がするが・・・。

**名無しさん＠お腹いっぱい。** · 2009/08/09(日) 00:15:20

>>189
んなことはない。
客先に説明するときは、まず、コンテンツとキャッシュを説明する。

**189** · 2009/08/09(日) 10:32:21

>>190

客にはそうだと思うけど、>>188は客相手の話なのか？

**名無しさん＠お腹いっぱい。** · 2009/08/10(月) 17:00:01

NICの故障も、ケーブル抜けも、ハブの故障も、DNSのダウンも、
ファイルサーバーのダウンも、プロキシサーバーのダウンも、
ウェブサーバーのアクセス禁止処置も、なんでもかんでも、
「ネットが落ちてるんですけど、どのくらいで直りますか」
と言う奴に比べると120%ましだと思うんですけど何か。

**名無しさん＠お腹いっぱい。** · 2009/08/10(月) 17:09:47

見当外れの予想で口を挟みまくるヤツもイヤだなあ

**188** · 2009/08/11(火) 00:36:02

客といってもSEだよ。しかも、大手だったりする。

こんなやつらがalteonなんてつかっていると思うと怖いわー

**184** · 2009/08/14(金) 11:08:26

手元の本番サーバ（8.3.5-P2）にPoCしかけたらnamedあっさり止まりやがった(´・ω・｀)
そっこー対処しますた。

検証環境の9.3.6-P1には例のPoCは効かんのかいな。

>>194
5年近くインフラ周り全般の管理をやってる俺だけど、
キャッシュ鯖とコンテンツ鯖の違いを知ったのは3年くらい前だ。

システム管理の先輩社員がおらず、俺よりも知識・技術が上の人（教えてくれる人）が
居ない状況だとはいえすげえ恥ずかしいわ('A`;)

**名無しさん＠お腹いっぱい。** · 2009/08/16(日) 21:47:09

>>195
viewつかってるとか？

**名無しさん＠お腹いっぱい。** · 2009/08/18(火) 23:55:34

http://tomocha.net/diary/?20090817#200908171

ime.nuだめぽ。

**名無しさん＠お腹いっぱい。** · 2009/09/02(水) 04:41:11

xname更新遅せー

**名無しさん＠お腹いっぱい。** · 2009/09/03(木) 00:35:53

すごいこと発見。

某大手新聞社のネームサーバはオープンリゾルバです。
しかも、サブドメインの権限委譲を別のネームサーバにしてます。
で、その権限委譲した先のネームサーバは自分のＡレコードを間違って応答します。

これを組み合わせると、どうなるでしょう？？

**名無しさん＠お腹いっぱい。** · 2009/09/03(木) 08:39:48

ひさしぶりの大先生チェックですね。

**名無しさん＠お腹いっぱい。** · 2009/09/03(木) 09:29:33

>>199
どこだろうと思って朝日読売毎日だけざっと調べてみたけど
セカンダリDNSがオープンリゾルバだったりするのもあるな。

・・・・・・うちの会社も似たようなもんだから他所様を笑えないんだがな

**名無しさん＠お腹いっぱい。** · 2009/09/03(木) 23:19:13

co.jpだね。
ためしてみたら、オープンリゾルバのほうは見事にアクセスできなくなった。。
怖！

もう片われがオープンリゾルバじゃないから助かっているが。

オープンリゾルバは世の中に結構あるよね。
いまさらオープンリゾルバをやめるのはそりゃ、厳しいわな。

うちもセキュリティ向上のため、オープンリゾルバやめたらいろいろトラブルあったよ。
でも、思い切るしかないんだな、、これ。

**名無しさん＠お腹いっぱい。** · 2009/09/04(金) 00:10:10

勝手に使ってるくせして文句言ってくる奴でも居るの？

**名無しさん＠お腹いっぱい。** · 2009/09/04(金) 23:19:29

コンテンツ使っているやつが、キャッシュ（リゾルバ）としてつかってたとかね。

ＤＮＳサーバだからこれ使えとわからないやつがいってたりね。

**名無しさん＠お腹いっぱい。** · 2009/09/05(土) 00:54:03

>>204
ACL書いて組織内からのqueryは通せばいいだけだな

できれば組織内向けリゾルバサーバとしての機能だけを残して(daemonもそれ専用のものに変えて)
コンテンツサーバとしては分離してリナンバーしてNICへの登録を変更してしまうというのがよい
これならほうぼうのresolv.confを書き直して歩く必要はない

**名無しさん＠お腹いっぱい。** · 2009/09/05(土) 16:21:26

>>205
コンテンツを違うサーバに移して、キャッシュのみにしたあと、ログを確認。
ログから抽出したある程度のアドレスに対しては、変更してもらうように依頼。
最後はばっさり。

**名無しさん＠お腹いっぱい。** · 2009/09/14(月) 18:03:23

ローカルだけで使用する目的で仮で『aiueo』というだけのドメインで
namedを作ったのですが、dig aiueo; でちゃんと返ってくるところ
までできました。

そこでWindowsのコマンドプロンプトから『ping aiueo』をしてみたの
ですが以下のメッセージが出てpingできません。

Ping request could not find host aiueo. Please check the name and try again.

コマンドプロンプトで『nslookup aiueo』ではちゃんとIPが引けているの
ですが ping では上のようなメッセージが出てしまいます。

hostsに直接書けばこれは『ping aiueo』通ったのですが、DNSだと『aiueo』
のようなドメインはダメなのでしょうか？

**名無しさん＠お腹いっぱい。** · 2009/09/14(月) 18:05:24

>>207
そのWindows機はそのnamedに聞きにいくようになってるのか？

**名無しさん＠お腹いっぱい。** · 2009/09/14(月) 18:12:37

ドット「.」がひとつ以上含まれていないと DNSは参照しないというしようだったような。

**名無しさん＠お腹いっぱい。** · 2009/09/14(月) 18:25:31

>>208,209
ありがとうございます。そうなんですね。
ping aiueo.
で飛びました！！
でも『aiueo.』はなんとなく気持ち悪いのでちゃんと.comやら付けようと思います。

**名無しさん＠お腹いっぱい。** · 2009/09/14(月) 18:37:12

>>210
実在するドメインは使わない方がいいぞ

**名無しさん＠お腹いっぱい。** · 2009/09/14(月) 22:07:08

ローカルだって一目で確実に分るように、
http://--.--/
としようとしたんですが、IE6が毎回落ちてしまいますね(>_<)

**名無しさん＠お腹いっぱい。** · 2009/09/14(月) 23:03:14

板違い。

**名無しさん＠お腹いっぱい。** · 2009/09/15(火) 15:22:02

なんで .local にしないんだ

**名無しさん＠お腹いっぱい。** · 2009/09/15(火) 15:52:15

RFC2606か何かで出してくれてもいいのにね
もっと短く".lan"でもいいと思うけど。

http://example.com/
って実際に接続できるサイトだったとは知らなかった。

**名無しさん＠お腹いっぱい。** · 2009/09/15(火) 23:49:17

dyndnsか何かで取ったドメインを使うのが俺のおすすめ

**名無しさん＠お腹いっぱい。** · 2009/09/16(水) 20:55:38

example.comワロタ。
NXDOMAINが返ってくることを期待してたらどうするんだw

Site Finder対策？

**名無しさん＠お腹いっぱい。** · 2009/09/16(水) 22:34:22

どこのメーカーも例示といったらacme.comだった頃が懐かしい

**名無しさん＠お腹いっぱい。** · 2009/09/17(木) 11:57:13

ttp://acme.com
これもあるな

**名無しさん＠お腹いっぱい。** · 2009/09/17(木) 23:46:16

アクメに一致する日本語のページ約 558,000 件中 1 - 10 件目 (0.15 秒)

えっちなのはいけないとおもいます（＞＜）

**名無しさん＠お腹いっぱい。** · 2009/09/18(金) 02:43:57

幼稚

**名無しさん＠お腹いっぱい。** · 2009/09/22(火) 10:09:17

bind9を使ってopendnsみたいなサービスしたいんですが、、
何か参考になるURLあれば教えてください。

**名無しさん＠お腹いっぱい。** · 2009/09/22(火) 13:02:56

>>222
迷惑だから止めろ

**名無しさん＠お腹いっぱい。** · 2009/09/22(火) 14:36:50

その程度の知識しかないくせにいらんこと考えるな手を出すな

**名無しさん＠お腹いっぱい。** · 2009/09/29(火) 07:36:12

最近、jp.msn.com の名前解決に失敗するんだけど
気のせい?

http://thednsreport.com/?domain=jp.msn.com
http://thednsreport.com/?domain=jp.kaw.cb3.glbdns.microsoft.com
とかでチェックしたら、かなりデタラメなんだけど、
名前解決できない程の問題ではないよね。

**名無しさん＠お腹いっぱい。** · 2009/09/29(火) 09:26:56

dns はどこの

**225** · 2009/09/29(火) 23:33:37

>>226
bind9.3.5-P2 に以下のパッチ適用してます。
http://security.FreeBSD.org/patches/SA-09:12/bind.patch

**名無しさん＠お腹いっぱい。** · 2009/09/30(水) 01:23:45

root server has changed

**225** · 2009/10/01(木) 01:40:09

はっきりした原因は不明だけど、
自分のマシンから以下のサーバへの問い合わせ、
またはその応答がどこかで失われてるらしい。
glb1.glbdns.microsoft.com
glb2.glbdns.microsoft.com

以下の事例がかなり類似してたので、
http://www.linuxquestions.org/questions/linux-networking-3/bind-problem-for-one-domain-name-726997/

フォワーダを指定して回避することにした。
zone "microsoft.com" {
type forward;
forward only;
forwarders { xxx.xxx.xxx.xxx; };　#プロバイダ提供のname server
};

**名無しさん＠お腹いっぱい。** · 2009/10/04(日) 06:16:01

>>202
が犯罪行為の告白にしか見えないのは俺だけ？
何を試したんだｗ

**名無しさん＠お腹いっぱい。** · 2009/10/04(日) 07:51:17

>>230
きっと関わらない方が無難だと、俺も思う。

**名無しさん＠お腹いっぱい。** · 2009/10/04(日) 18:01:45

>>230
なんで犯罪なの？

**名無しさん＠お腹いっぱい。** · 2009/10/04(日) 22:25:50

>>232
他人のDNSに毒入れして正規の応答を返せない状態にしたら、
偽計業務妨害かな。

**名無しさん＠お腹いっぱい。** · 2009/10/04(日) 23:13:05

知ったかをしている勘違い野郎がいるな

**名無しさん＠お腹いっぱい。** · 2009/10/05(月) 11:48:03

>>234
誰のこと？

**名無しさん＠お腹いっぱい。** · 2009/10/05(月) 12:52:12

俺だよ、オレオレ！

**名無しさん＠お腹いっぱい。** · 2009/10/06(火) 00:00:15

>>230
ネームサーバとして公開されているゾーンのＡレコードを引いて何処が悪いんだ？
そんな設定でＤＮＳサーバを公開しちゃいかんでしょ。

**名無しさん＠お腹いっぱい。** · 2009/10/19(月) 22:28:18

e.root-servsers.netが応答しねぇー

**名無しさん＠お腹いっぱい。** · 2009/10/19(月) 23:25:09

それipaddress変わったし

**238** · 2009/10/20(火) 00:01:18

ttp://www.root-servers.org/
ここ参照じゃマズイ？

**名無しさん＠お腹いっぱい。** · 2009/10/20(火) 00:32:01

>>240
IANAをみるべき。http://www.internic.net/zones/named.root