トップページunix
1001コメント314KB

Name Server 総合スレ【DNS】

■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。2008/11/26(水) 01:14:36
立ててみるだよもん

●主なオープンソース
BIND
ttps://www.isc.org/software/bind
djbdns
ttp://djbdns.qmail.jp/
NSD
ttp://www.nlnetlabs.nl/projects/nsd/
Unbound
ttp://unbound.net/

●規格
RFC1034, 1035
ttp://www.ietf.org/rfc/rfc1034.txt
ttp://www.ietf.org/rfc/rfc1035.txt

●アプライアンス
Nominum
ttp://www.nominum.com/
Infoblox
ttp://www.infoblox.co.jp/
01751732009/08/02(日) 03:45:55
>>174
assertionで落とされているという認識なので、CPUアーキテクチャの
違い(32bit/64bit)に影響を受ける部分とは思えないんだけど、興味深い
話ですね。

検証できる環境もないし、する必要もないのでそれだけですが。
0176名無しさん@お腹いっぱい。2009/08/03(月) 21:34:42
tmが出張してtinydnsの宣伝してるけど、メンテが期待できないものを薦めるなんて正気の沙汰とは思えない。
IPv6対応にするだけでも他人が書いたパッチが必要とか・・・DNSSEC対応できるの?
0177名無しさん@お腹いっぱい。2009/08/03(月) 21:53:43
>>176
tinydns ねぇ。あったねそんなの。
ところで、どこの話題?俺の入っていないMLなんだろうけど
0178名無しさん@お腹いっぱい。2009/08/03(月) 22:20:03
>>177
tss氏の日記(2009-07-29)へのコメント。
「コンテンツサーバとキャッシュサーバの分離」とか、安全なDNSサーバのPoCとしては十分な役割を果たしたと
思うけど、もう引退させた方が良いでしょ。
0179名無しさん@お腹いっぱい。2009/08/03(月) 22:36:49
>>178
Res ありがとう。どこか判った。
つーか、なんちゅう極端な人たちだ。
0180名無しさん@お腹いっぱい。2009/08/04(火) 10:29:08
今ならunbindおすすめ?
0181名無しさん@お腹いっぱい。2009/08/04(火) 10:42:51
>>180
unboundな。

コンテンツサーバなら、NSD使えばいいんでね。
0182名無しさん@お腹いっぱい。2009/08/04(火) 18:12:54
手元の検証用マシンに載ってたDNS鯖(9.3.6-P1)に
PoC(perl版, C版)投げても平気な顔してるうちのDNS鯖。

PoCの設定の仕方がおかしいのか(´・ω・`)

0183名無しさん@お腹いっぱい。2009/08/04(火) 19:16:05
>>182
ログはどうなの?↓が出ている?
/ANY: 'RRset exists (value dependent)' prerequisite not satisfied (NXRRSET)
0184名無しさん@お腹いっぱい。2009/08/04(火) 19:21:27
>>183
レスd
C版でやるとソレが出たわ

perl版は正しいrndcのkey nameとkey入れんとダメなんかいな
01851842009/08/04(火) 19:50:09
perl版にkey nameとkeyを実際に設定している値にすると >>183 のログが出たわ。
01861842009/08/04(火) 20:19:40
http://www.ntt.com/icto/security/images/sr200803101.pdf の通りにやってみたが
PoCは途中で止まらずprint後にプロンプトに戻るし、
ログには >>183 が出るだけだわ('A`;)

今日はもう遅いのでまた明日チャレンジしてみる ノシ
0187名無しさん@お腹いっぱい。2009/08/04(火) 21:21:07
>>184
私が見たPoCのコードだと、構造体のパディングが考慮されてなくて
うまく動かないかもしれないように見えたんだけど。Cで書かれたやつね。
0188名無しさん@お腹いっぱい。2009/08/08(土) 01:49:21
DNS担当って損だよな。

影響大きいのに、金は安い。
SEでさえ、きちんと仕組みを理解している人が少ない。
だから、いつも説明に困る。。
コンテンツとキャッシュを区別できるひとはどれだけいるのだろう。。
0189ななし2009/08/08(土) 13:55:55
>>188
>コンテンツとキャッシュを区別できるひとはどれだけいるのだろう。。

さすがにそれはお前の環境だけの問題では?という気がするが・・・。
0190名無しさん@お腹いっぱい。2009/08/09(日) 00:15:20
>>189
んなことはない。
客先に説明するときは、まず、コンテンツとキャッシュを説明する。
01911892009/08/09(日) 10:32:21
>>190

客にはそうだと思うけど、>>188は客相手の話なのか?
0192名無しさん@お腹いっぱい。2009/08/10(月) 17:00:01
NICの故障も、ケーブル抜けも、ハブの故障も、DNSのダウンも、
ファイルサーバーのダウンも、プロキシサーバーのダウンも、
ウェブサーバーのアクセス禁止処置も、なんでもかんでも、
「ネットが落ちてるんですけど、どのくらいで直りますか」
と言う奴に比べると120%ましだと思うんですけど何か。
0193名無しさん@お腹いっぱい。2009/08/10(月) 17:09:47
見当外れの予想で口を挟みまくるヤツもイヤだなあ
01941882009/08/11(火) 00:36:02
客といってもSEだよ。しかも、大手だったりする。

こんなやつらがalteonなんてつかっていると思うと怖いわー
01951842009/08/14(金) 11:08:26
手元の本番サーバ(8.3.5-P2)にPoCしかけたらnamedあっさり止まりやがった(´・ω・`)
そっこー対処しますた。

検証環境の9.3.6-P1には例のPoCは効かんのかいな。



>>194
5年近くインフラ周り全般の管理をやってる俺だけど、
キャッシュ鯖とコンテンツ鯖の違いを知ったのは3年くらい前だ。

システム管理の先輩社員がおらず、俺よりも知識・技術が上の人(教えてくれる人)が
居ない状況だとはいえすげえ恥ずかしいわ('A`;)
0196名無しさん@お腹いっぱい。2009/08/16(日) 21:47:09
>>195
viewつかってるとか?
0197名無しさん@お腹いっぱい。2009/08/18(火) 23:55:34
http://tomocha.net/diary/?20090817#200908171

ime.nuだめぽ。
0198名無しさん@お腹いっぱい。2009/09/02(水) 04:41:11
xname更新遅せー
0199名無しさん@お腹いっぱい。2009/09/03(木) 00:35:53
すごいこと発見。

某大手新聞社のネームサーバはオープンリゾルバです。
しかも、サブドメインの権限委譲を別のネームサーバにしてます。
で、その権限委譲した先のネームサーバは自分のAレコードを間違って応答します。

これを組み合わせると、どうなるでしょう??
0200名無しさん@お腹いっぱい。2009/09/03(木) 08:39:48
ひさしぶりの大先生チェックですね。
0201名無しさん@お腹いっぱい。2009/09/03(木) 09:29:33
>>199
どこだろうと思って朝日読売毎日だけざっと調べてみたけど
セカンダリDNSがオープンリゾルバだったりするのもあるな。



・・・・・・うちの会社も似たようなもんだから他所様を笑えないんだがな
0202名無しさん@お腹いっぱい。2009/09/03(木) 23:19:13
co.jpだね。
ためしてみたら、オープンリゾルバのほうは見事にアクセスできなくなった。。
怖!

もう片われがオープンリゾルバじゃないから助かっているが。


オープンリゾルバは世の中に結構あるよね。
いまさらオープンリゾルバをやめるのはそりゃ、厳しいわな。

うちもセキュリティ向上のため、オープンリゾルバやめたらいろいろトラブルあったよ。
でも、思い切るしかないんだな、、これ。
0203名無しさん@お腹いっぱい。2009/09/04(金) 00:10:10
勝手に使ってるくせして文句言ってくる奴でも居るの?
0204名無しさん@お腹いっぱい。2009/09/04(金) 23:19:29
コンテンツ使っているやつが、キャッシュ(リゾルバ)としてつかってたとかね。

DNSサーバだからこれ使えとわからないやつがいってたりね。
0205名無しさん@お腹いっぱい。2009/09/05(土) 00:54:03
>>204
ACL書いて組織内からのqueryは通せばいいだけだな

できれば組織内向けリゾルバサーバとしての機能だけを残して(daemonもそれ専用のものに変えて)
コンテンツサーバとしては分離してリナンバーしてNICへの登録を変更してしまうというのがよい
これならほうぼうのresolv.confを書き直して歩く必要はない
0206名無しさん@お腹いっぱい。2009/09/05(土) 16:21:26
>>205
コンテンツを違うサーバに移して、キャッシュのみにしたあと、ログを確認。
ログから抽出したある程度のアドレスに対しては、変更してもらうように依頼。
最後はばっさり。
0207名無しさん@お腹いっぱい。2009/09/14(月) 18:03:23
ローカルだけで使用する目的で仮で『aiueo』というだけのドメインで
namedを作ったのですが、dig aiueo; でちゃんと返ってくるところ
までできました。

そこでWindowsのコマンドプロンプトから『ping aiueo』をしてみたの
ですが以下のメッセージが出てpingできません。

Ping request could not find host aiueo. Please check the name and try again.

コマンドプロンプトで『nslookup aiueo』ではちゃんとIPが引けているの
ですが ping では上のようなメッセージが出てしまいます。

hostsに直接書けばこれは『ping aiueo』通ったのですが、DNSだと『aiueo』
のようなドメインはダメなのでしょうか?
0208名無しさん@お腹いっぱい。2009/09/14(月) 18:05:24
>>207
そのWindows機はそのnamedに聞きにいくようになってるのか?
0209名無しさん@お腹いっぱい。2009/09/14(月) 18:12:37
ドット「.」がひとつ以上含まれていないと DNSは参照しないというしようだったような。
0210名無しさん@お腹いっぱい。2009/09/14(月) 18:25:31
>>208,209
ありがとうございます。そうなんですね。
ping aiueo.
で飛びました!!
でも『aiueo.』はなんとなく気持ち悪いのでちゃんと.comやら付けようと思います。
0211名無しさん@お腹いっぱい。2009/09/14(月) 18:37:12
>>210
実在するドメインは使わない方がいいぞ
0212名無しさん@お腹いっぱい。2009/09/14(月) 22:07:08
ローカルだって一目で確実に分るように、
http://--.--/
としようとしたんですが、IE6が毎回落ちてしまいますね(>_<)
0213名無しさん@お腹いっぱい。2009/09/14(月) 23:03:14
板違い。
0214名無しさん@お腹いっぱい。2009/09/15(火) 15:22:02
なんで .local にしないんだ
0215名無しさん@お腹いっぱい。2009/09/15(火) 15:52:15
RFC2606か何かで出してくれてもいいのにね
もっと短く".lan"でもいいと思うけど。

http://example.com/
って実際に接続できるサイトだったとは知らなかった。
0216名無しさん@お腹いっぱい。2009/09/15(火) 23:49:17
dyndnsか何かで取ったドメインを使うのが俺のおすすめ
0217名無しさん@お腹いっぱい。2009/09/16(水) 20:55:38
example.comワロタ。
NXDOMAINが返ってくることを期待してたらどうするんだw

Site Finder対策?
0218名無しさん@お腹いっぱい。2009/09/16(水) 22:34:22
どこのメーカーも例示といったらacme.comだった頃が懐かしい
0219名無しさん@お腹いっぱい。2009/09/17(木) 11:57:13
ttp://acme.com
これもあるな
0220名無しさん@お腹いっぱい。2009/09/17(木) 23:46:16
アクメ に一致する日本語のページ 約 558,000 件中 1 - 10 件目 (0.15 秒)


えっちなのはいけないとおもいます(><)
0221名無しさん@お腹いっぱい。2009/09/18(金) 02:43:57
幼稚
0222名無しさん@お腹いっぱい。2009/09/22(火) 10:09:17
bind9を使ってopendnsみたいなサービスしたいんですが、、
何か参考になるURLあれば教えてください。
0223名無しさん@お腹いっぱい。2009/09/22(火) 13:02:56
>>222
迷惑だから止めろ
0224名無しさん@お腹いっぱい。2009/09/22(火) 14:36:50
その程度の知識しかないくせにいらんこと考えるな手を出すな
0225名無しさん@お腹いっぱい。2009/09/29(火) 07:36:12
最近、jp.msn.com の名前解決に失敗するんだけど
気のせい?

http://thednsreport.com/?domain=jp.msn.com
http://thednsreport.com/?domain=jp.kaw.cb3.glbdns.microsoft.com
とかでチェックしたら、かなりデタラメなんだけど、
名前解決できない程の問題ではないよね。
0226名無しさん@お腹いっぱい。2009/09/29(火) 09:26:56
dns はどこの
02272252009/09/29(火) 23:33:37
>>226
bind9.3.5-P2 に以下のパッチ適用してます。
http://security.FreeBSD.org/patches/SA-09:12/bind.patch
0228名無しさん@お腹いっぱい。2009/09/30(水) 01:23:45
root server has changed
02292252009/10/01(木) 01:40:09
はっきりした原因は不明だけど、
自分のマシンから以下のサーバへの問い合わせ、
またはその応答がどこかで失われてるらしい。
glb1.glbdns.microsoft.com
glb2.glbdns.microsoft.com

以下の事例がかなり類似してたので、
http://www.linuxquestions.org/questions/linux-networking-3/bind-problem-for-one-domain-name-726997/

フォワーダを指定して回避することにした。
zone "microsoft.com" {
type forward;
forward only;
forwarders { xxx.xxx.xxx.xxx; }; #プロバイダ提供のname server
};
0230名無しさん@お腹いっぱい。2009/10/04(日) 06:16:01
>>202
が犯罪行為の告白にしか見えないのは俺だけ?
何を試したんだw
0231名無しさん@お腹いっぱい。2009/10/04(日) 07:51:17
>>230
きっと関わらない方が無難だと、俺も思う。
0232名無しさん@お腹いっぱい。2009/10/04(日) 18:01:45
>>230
なんで犯罪なの?
0233名無しさん@お腹いっぱい。2009/10/04(日) 22:25:50
>>232
他人のDNSに毒入れして正規の応答を返せない状態にしたら、
偽計業務妨害かな。
0234名無しさん@お腹いっぱい。2009/10/04(日) 23:13:05
知ったかをしている勘違い野郎がいるな
0235名無しさん@お腹いっぱい。2009/10/05(月) 11:48:03
>>234
誰のこと?
0236名無しさん@お腹いっぱい。2009/10/05(月) 12:52:12
俺だよ、オレオレ!
0237名無しさん@お腹いっぱい。2009/10/06(火) 00:00:15
>>230
ネームサーバとして公開されているゾーンのAレコードを引いて何処が悪いんだ?
そんな設定でDNSサーバを公開しちゃいかんでしょ。
0238名無しさん@お腹いっぱい。2009/10/19(月) 22:28:18
e.root-servsers.netが応答しねぇー
0239名無しさん@お腹いっぱい。2009/10/19(月) 23:25:09
それipaddress変わったし
02402382009/10/20(火) 00:01:18
ttp://www.root-servers.org/
ここ参照じゃマズイ?
0241名無しさん@お腹いっぱい。2009/10/20(火) 00:32:01
>>240
IANAをみるべき。http://www.internic.net/zones/named.root
02422382009/10/20(火) 07:44:17
>>241
thx

192.203.230.10かぁ〜
やっぱり応答しないな・・・大学からなら繋がる様だが・・・
0243名無しさん@お腹いっぱい。2009/11/25(水) 00:22:58
http://www.hash-c.co.jp/info/20091124.html

これって、DNS Rebindingなんて大げさなもの使わなくても、
iモードIDを知っていればHTTPヘッダを小細工すれば
同じようなことできるんじゃないの?

iモードIDはWebサイト持ってれば取得できるわけだし。

俺の認識違い?
0244名無しさん@お腹いっぱい。2009/11/25(水) 01:36:42
>>243
携帯のUAに偽装してってことなら、普通はそれが出来ないように
アクセス元のIPアドレスもチェックする。けど。
かんたんログイン自体が脆弱って結論出てなかったっけ。
0245名無しさん@お腹いっぱい。2009/11/25(水) 22:29:10
>>244
ってことはこの発見は何をいまさらって感じ?

唯一IPチェックをかいくぐれる可能性があるということか。
0246名無しさん@お腹いっぱい。2009/11/27(金) 01:16:21
          __,,/  _, ----`ヽ  :.
     :.  / _     ___   、\
       / /   i      \   \\ :.
     :. ,'./       i  ヽ:.   ヽ:.:.. ヽ.ヽ
      ,'/    / .ハ ヽ ヽ:.:.:.:. ヽ::.. ヽヽ :.
     :. |i .i i  .i /  ヽ ト 、 \、:.:.:. ',:.',:.:.lヽ}
       |i .i l  :N_, -弋 \弌弋ナ:}:.:}
    :. |i∧ ', :{ ,ィjモト \  イjミトイイV :.  な…
       .|  :メヽ.', `ozZ}      izN。ハ::{     なんなんだよもん?
      :. |  :ヾ_! ゝ "゙゙    '  `゙ ハ.:', :.   ここ、どこだよもん?
      |  :.:_イ .:.ヽ.   (二フ , イ :.:.:!:.ヽ     なんであたし
   :.  / rィイ | :.:.ヽ: >r/`<ノ .:.::.}ヽ、\:.   貼られたんだよもん?
      / ∧l;l ! :.:.:.://{二 ̄ .} ..:..::リ//ハ.:\
 :.  / .{. ',ヾ、ヽi .:.:.{ /(^`  |.:.:.:.//: : :.}: . ヽ.:.
   / /  ) ヽ ヾ、ヽ:.ハ ヤ{   ∧/.-‐'": : |:.:. i ',
  ./ .,イ .:..} : :\ヾレ'ハ ∧__ノノハヾ、  : : : l:.:.: .ハ ',
  { /| .:.:ハ : : :i Y {ヾ`Yヽニン'ノ}: : } : : : :/:.:.:/ }:.}
  V | .:.:/:.:|_,ィ' ̄  ヽ三{ `ー-ノ : イ : : :/:.:i.:{  リ
    ヽ:.:{、.:.V     : : ヘ     : : {: : :/:.::∧|
     ヽ! )人    : : :人      : : : / \! :.
      "  ヽ : : : : :/イ{     :.ノ: : : :.\ :.
       :.  \__///: :\______/: : : : : : : ヽ
           / //: : :|;|: : : : : : i: : : __: : : : ',
       :.     / 、 {;{   |;|   . : i/. : : : : : :|
          / `Y;{. . . .|;|. : : : /i: : : : : : : : :l
0247名無しさん@お腹いっぱい。2009/11/30(月) 13:30:10
bind 9.3 の host と nslookup でコマンドラインでネームサーバを指定したとき、そのネームサーバが
落ちてたときに resolv.conf に書いてあるネームサーバを使った結果が返ってきます。
9.2 と 9.4 では意図したとおり connect time out になるんですが、この 9.3 の動きってバグですか?
0248逆引きの質問2009/12/01(火) 21:59:08
質問をさせてください。
現在、solaris10, bind9を使っています。
slaveサーバ側でmasterサーバからゾーン転送ができるように設定をし、
named.confの再読み込みを実施しました。
しかし、この段階ではまだmasterサーバ側ではslaveへのゾーン転送設定はしていません。
そのため、slaveサーバ側にはゾーンファイルが作成されておらず、
当然refresh間隔などの情報も持っていません。
この状態がずーと続いた場合、slaveサーバは、定期的にmasterサーバに対して
ゾーン転送の要求を行いますか?

ログ(/var/adm/messages)を見ると、どうも何もしないような気がするのですが・・
また、途中、named.confの再読み込みを何度かしたことはありますが、それでもエラーログをはいた跡はありませんでした
0249sage2009/12/02(水) 22:10:09
行わない
0250sage2009/12/02(水) 22:11:47
BINDにバグはない。すべては仕様。
0251名無しさん@お腹いっぱい。2009/12/02(水) 22:18:51
ソース読めば。
0252sage2009/12/02(水) 23:42:07
nslookupなんか使わなきゃいいのに
0253名無しさん@お腹いっぱい。2009/12/03(木) 19:49:02
"Nslookup is obsolete."って記述が最近消えたって聞いたんだけど
0254名無しさん@お腹いっぱい。2009/12/03(木) 19:58:49
表示したってどうせ馬鹿は理解できないからだろ
0255名無しさん@お腹いっぱい。2009/12/03(木) 20:22:51
なんで nslookup いかんの?
0256名無しさん@お腹いっぱい。2009/12/03(木) 20:39:29
おせっかい
0257名無しさん@お腹いっぱい。2009/12/03(木) 22:02:04
すなおに聞きに行かずにまず余計なことを聞いてから処理を始めるから。
0258名無しさん@お腹いっぱい。2009/12/04(金) 10:21:40
>>257
最近はそれやめたんじゃなかったっけ。
0259名無しさん@お腹いっぱい。2009/12/04(金) 12:00:16
>>248
SOA 書き換えない限り slave は何もしないぞ
0260名無しさん@お腹いっぱい。2009/12/09(水) 04:34:52
自宅のネットワークトラフィックを減らしたいので、キャッシュ用のBINDを立ち上げています。
BINDで最大限キャッシュする設定を教えてください。
0261名無しさん@お腹いっぱい。2009/12/09(水) 10:41:00
DNSでどんだけトラフィック食ってるんだ?
0262名無しさん@お腹いっぱい。2009/12/09(水) 14:31:02
>>260
ググれカス
http://www.atmarkit.co.jp/flinux/rensai/bind911/bind911a.html
0263名無しさん@お腹いっぱい。2009/12/09(水) 17:39:10
>>262
これって、キャッシュ時間やメモリの最大値を設定してるだけで、
元の(外部の)DNSサーバーが返したキャッシュ時間を超えて
強制的にローカルでキャッシュすることはできないのでは?

質問は、何がなんでも一度問い合わせたDNS情報は
強制的に無期限でキャッシュしたいということだと思うが。
0264名無しさん@お腹いっぱい。2009/12/09(水) 18:30:11
>>263
そもそも論だと、トラフィック削減のためにDNSの情報をcacheするトラフィックを削減したい
って考えからしておかしいから。
0265名無しさん@お腹いっぱい。2009/12/09(水) 18:34:03
考えがおかしいかどうかは聞いていません。
トラフィックが削減できればいいんです。
0266名無しさん@お腹いっぱい。2009/12/09(水) 18:56:25
たいして削減できないよ。
0267名無しさん@お腹いっぱい。2009/12/09(水) 19:05:45
たいして削減できなくてもいいからやりかた教えろよ
0268名無しさん@お腹いっぱい。2009/12/09(水) 19:43:37
>>267
resolv.confに
nameserver 8.8.8.8
と書く
0269名無しさん@お腹いっぱい。2009/12/09(水) 19:47:38
普通にキャッシュサーバ立てれば
メモリ使いきることはないと思うけどなぁ。
>>263みたいなことやりたいの?
0270名無しさん@お腹いっぱい。2009/12/09(水) 20:42:51
>>260
negative hit し続けることほど悲惨なものはないから普通はそういうことはしない

クライアントサイドの DNS lookup のトラフィックなんざ
Yahoo!Japan のトップページを一回開いたら吹き飛ぶような量でしかない
0271名無しさん@お腹いっぱい。2009/12/09(水) 20:55:20
DNSとしてのトラフィックを減らしたいのです。
httpとの比較を言われても意味ありません。

今現在、どのDNSの名前解決をしているかを
(最初の1回を除いて)外部に漏らしたくないのです。
0272名無しさん@お腹いっぱい。2009/12/09(水) 20:59:02
TTL切れたら再度聞きに行くのはアリ?
0273名無しさん@お腹いっぱい。2009/12/09(水) 21:00:15
むしろTTLを無視して無限大にしたいと言う質問かと
0274名無しさん@お腹いっぱい。2009/12/09(水) 21:03:01
>>273
そこをはっきり言わないんだよね。なぜか。
■ このスレッドは過去ログ倉庫に格納されています