Name Server 総合スレ【DNS】

**名無しさん＠お腹いっぱい。** · 2008/11/26(水) 01:14:36

立ててみるだよもん

●主なオープンソース
BIND
ttps://www.isc.org/software/bind
djbdns
ttp://djbdns.qmail.jp/
NSD
ttp://www.nlnetlabs.nl/projects/nsd/
Unbound
ttp://unbound.net/

●規格
RFC1034, 1035
ttp://www.ietf.org/rfc/rfc1034.txt
ttp://www.ietf.org/rfc/rfc1035.txt

●アプライアンス
Nominum
ttp://www.nominum.com/
Infoblox
ttp://www.infoblox.co.jp/

**名無しさん＠お腹いっぱい。** · 2011/04/10(日) 22:15:24.72

どのDNSを選べばいいんよ
iwayuru設定ファイルコピペと文字列置換だけで手軽に運用してえのよ

**名無しさん＠お腹いっぱい。** · 2011/04/11(月) 08:10:13.21

それなら設定ファイルを引っ張ってくるところにあわせればー

**名無しさん＠お腹いっぱい。** · 2011/04/11(月) 10:00:30.88

>>572
そういう人はサーバ運用しない方がいい。

**名無しさん＠お腹いっぱい。** · 2011/04/11(月) 10:23:18.39

>>571
jp だと、sannet のレンサバを使ってるドメインがほとんどすべて DNSSEC 化してる。
ユーザーがやめてくれと申し出ないかぎりデフォでやるという、
神対応なんだかひどい仕打ちなんだかよくわからんことになってる。

**アクロンなら毛糸洗いに自信が持てます** · 2011/04/11(月) 17:07:32.91

地震に強い、DNSの設定方法を教えてください

**名無しさん＠お腹いっぱい。** · 2011/04/11(月) 20:57:07.50

>>576
地域的分散

お金あるなら、IPAnycastオヌヌメ

**名無しさん＠お腹いっぱい。** · 2011/04/15(金) 03:24:38.58

>>575
おー本当だ

**名無しさん＠お腹いっぱい。** · 2011/04/16(土) 20:09:23.45

プロバイダー自らDNSポイズニングする日が来るとは思ってもいなかった・・・
8.8.8.8に逃げるか
でも遅いんだよな

**名無しさん＠お腹いっぱい。** · 2011/04/16(土) 20:32:49.86

別にブロッキング回避する目的ではないが、俺はUnboundのWin32版を動かしてるよ
インストールするだけで127.0.0.1でDNSSEC Validator付き
DNSサービス起動するので便利。
http://www.unbound.net/download.html

このやり方が普及するとDNS権威サーバの負荷が上がっちゃうな

**名無しさん＠お腹いっぱい。** · 2011/04/21(木) 23:49:15.12

ブロッキング始まったか
DNSポイゾニング方式ってどうやってるんだ？
BINDとかで簡単にできるのかな？

**名無しさん＠お腹いっぱい。** · 2011/04/22(金) 00:13:01.19

プロバイダにブロッキングされるこんな世の中じゃ

**名無しさん＠お腹いっぱい。** · 2011/04/22(金) 00:43:55.43

>>581
RPZ

**名無しさん＠お腹いっぱい。** · 2011/04/22(金) 00:49:42.62

RPZってBIND9.8の機能だからプロバイダはまだ使ってないんじゃね
普通に named.confに zone "blocked.example.com" { ... }
を延々と書いてるはず

**名無しさん＠お腹いっぱい。** · 2011/04/24(日) 16:36:54.93

DNSでフィルタリングなのか
Privoxyみたいなソフトを仲介させて全体か一部を逐一弾くめんどい形式なのかと思ってた

**名無しさん＠お腹いっぱい。** · 2011/04/24(日) 17:17:24.65

実施している所ってgoogleなどの8.8.8.8は使えないのかな
外部へのudp53は止めてるのかねえ

**名無しさん＠お腹いっぱい。** · 2011/04/24(日) 21:01:06.36

>>585
DNSが多いらしい

>>586
8.8.8.8では今のところフィルタリング無しみたいだ
googleってブロッキングリストの供給受けているのに
http://www.netsafety.or.jp/about/003.html

うちのISPが提供してるDNSサーバでは問題のドメインは
ブロックされてるが（Aを問い合わせるとニセのIPが返る）、
53/udpは素通しみたいなので、8.8.8.8やローカルのBINDを
使えばブロックされない
なんというザル。。。。

**名無しさん＠お腹いっぱい。** · 2011/04/24(日) 21:22:20.08

100%はムリでも、8割9割の人をブロックできればいいんじゃね
参照DNSを8.8.8.8に設定変更できる人がどれだけいるのかと

……エロの力は絶大だからわからんな

**名無しさん＠お腹いっぱい。** · 2011/04/25(月) 11:50:28.04

ISPのコールセンターにロリエロサイトを見れない問い合わせが相次いでたりすんのかな

**名無しさん＠お腹いっぱい。** · 2011/04/25(月) 12:25:41.19

>>587
googleはweb検索表示にリストを参照するらしい
http://www.netsafety.or.jp/news/press/press-003.html

**名無しさん＠お腹いっぱい。** · 2011/04/25(月) 13:39:36.31

検索結果じゃなくGoogle Public DNSの話でしょ？

**名無しさん＠お腹いっぱい。** · 2011/04/25(月) 13:46:54.60

間違えて見てはいけないので、リストください。

**名無しさん＠お腹いっぱい。** · 2011/04/25(月) 14:40:43.30

>>591
そうだね。
だからgoogleのDNSサーバーはブロッキングの影響を受けないと思われる

**名無しさん＠お腹いっぱい。** · 2011/04/25(月) 14:49:28.59

8.8.8.8ってグローバルサービスだからなぁ
一国内でしか有効でないフィルタかけても
って事なんでしょう
それともviewみたいにソースIPによってフィルタ変える？

**名無しさん＠お腹いっぱい。** · 2011/04/25(月) 16:54:59.96

通信の秘密を侵害しない方法としちゃ上策？

**名無しさん＠お腹いっぱい。** · 2011/04/26(火) 09:19:21.01

第二十一条　２
検閲は、これをしてはならない。通信の秘密は、これを侵してはならない。

**名無しさん＠お腹いっぱい。** · 2011/04/26(火) 10:27:36.72

>>596
憲法は、国家から国民に対しての保証であって、
国民が国民に対してやっちゃいけないことを規定するものじゃないんだ。

**名無しさん＠お腹いっぱい。** · 2011/04/26(火) 10:36:12.72

（検閲の禁止）
第三条　電気通信事業者の取扱中に係る通信は、検閲してはならない。

**名無しさん＠お腹いっぱい。** · 2011/04/26(火) 10:43:36.74

話それてますよー。

**名無しさん＠お腹いっぱい。** · 2011/04/26(火) 14:41:52.76

逸らさせたんだよ
計画通り・・・ｸｸｸ

**名無しさん＠お腹いっぱい。** · 2011/04/30(土) 04:59:32.93

DNSブロッキングによる児童ポルノ対策ガイドライン
http://good-net.jp/usr/imgbox/pdf/20110427091336.pdf

**名無しさん＠お腹いっぱい。** · 2011/05/06(金) 21:14:59.67

DNSSECについて教えてください。

たぶん何年か後にルートゾーンのトラストアンカー(DNSKEY)が更新されるタイミングがあると思いますが、そのときDNSキャッシュサーバ側の対応ってどうなるんでしょう？

1. ルートゾーンの署名に使われるDNSKEYが新しくなる瞬間にいっせーので世界中のキャッシュにセットするトラストアンカーを更新してキャッシュもクリアする
　⇒まさかそんなはずはない

2. ルートゾーンの新しいDNSKEYは実際に署名に使われるまで十分長い期間をもって周知されるので、世界各地のキャッシュサーバには事前にそれをセットしておく（ルートゾーンのトラストアンカーが2つセットされている状態になる）
　⇒たぶんこれ？　新旧のトラストアンカーを区別できるの？

3. RFC5011で自動更新なので素人は心配すんな
　⇒だったらいいなぁ

**名無しさん＠お腹いっぱい。** · 2011/05/07(土) 23:20:47.80

更新するまでDNSSECが廃れないといいですね

**名無しさん＠お腹いっぱい。** · 2011/05/09(月) 10:35:29.61

>　⇒たぶんこれ？　新旧のトラストアンカーを区別できるの？

yes
複数ある鍵のいずれかで検証成功すれば OK、ということになってる。

>3. RFC5011で自動更新なので素人は心配すんな

パーミッションがあいてなくて更新すべきファイルに書き込めなかったという
未来が見えるよ……

**名無しさん＠お腹いっぱい。** · 2011/05/10(火) 02:12:35.91

>>584
RPZ早速セキュリティホールかよ
http://jprs.jp/tech/security/bind980-vuln-rpz.html

**名無しさん＠お腹いっぱい。** · 2011/05/15(日) 13:30:46.00

DNSポイゾニングでブロックと聞いて久々にISPのDNS使ってみたら
行きつけのサイトが見れなかった
ウウウウウウウウウウウンン

**名無しさん＠お腹いっぱい。** · 2011/05/15(日) 16:41:14.71

>>606
話題のぷららですか。

**名無しさん＠お腹いっぱい。** · 2011/05/15(日) 17:03:45.96

ぷららならばしょうがないがさてどこだろう

**名無しさん＠お腹いっぱい。** · 2011/05/15(日) 18:19:53.16

ぷららってDNSポイゾニングじゃないんだな

**名無しさん＠お腹いっぱい。** · 2011/05/15(日) 20:47:40.60

コンテンツフィルタですた

**名無しさん＠お腹いっぱい。** · 2011/05/17(火) 19:16:59.44

DNS鯖陥落したの

PC側実害無しでけど、飛ばし先ヤバイよ!

このドメイン名は、ICEに襲われました - 国土安全保障調査（タイトル18 U.S.C2254.の当局の下で米国地方裁判所によって出されるseizre warratに基づく）

**611** · 2011/05/17(火) 19:27:02.78

児童ポルノのAdvertisement,distribution,transpotration,receipt,and所有は、最初に対するそのキャリー処罰が連邦prison,aで30年、犯罪者の時間を計る連邦犯罪を250,000ドルのfine,forfeitureと賠償に任命します。

Windowsだとカード番号入力画面出るのか
250ドル　250000ドルなら米韓政府グルだな
欧州串経由では、404

**名無しさん＠お腹いっぱい。** · 2011/05/18(水) 01:00:31.62

日本語でおｋ（英語でもおｋ）

**名無しさん＠お腹いっぱい。** · 2011/05/18(水) 02:51:38.66

中学生レベルの英語を機械翻訳にかけて
日本語になっていない文字の羅列を貼って喜んでいる奴は何をしたいんだ

**名無しさん＠お腹いっぱい。** · 2011/05/18(水) 09:53:39.01

prison,a
プリゾン・ア
と読めばいいのかコレ

**名無しさん＠お腹いっぱい。** · 2011/05/27(金) 15:39:41.53

またかよ……
http://www.isc.org/software/bind/advisories/cve-2011-1910

**名無しさん＠お腹いっぱい。** · 2011/05/27(金) 15:43:28.23

こっちもか……
http://unbound.nlnetlabs.nl/downloads/CVE-2011-1922.txt

**名無しさん＠お腹いっぱい。** · 2011/05/27(金) 15:49:15.37

穴多すぎだよなぁ。
根本的になんとかならんのかね。

**名無しさん＠お腹いっぱい。** · 2011/05/27(金) 18:00:46.63

皆でnsd+unboundかPowerDNSとかに移行するしかないのか？

**名無しさん＠お腹いっぱい。** · 2011/05/28(土) 04:46:42.58

( ´∀｀)つ Microsoft DNS server

**名無しさん＠お腹いっぱい。** · 2011/05/28(土) 16:59:40.56

ラウンドロビンしてくれるのってBINDだけだっけ

**名無しさん＠お腹いっぱい。** · 2011/05/30(月) 07:50:51.95

今週はパッチ入りバージョンの検証で残業予定、めんどくせー

**名無しさん＠お腹いっぱい。** · 2011/05/30(月) 12:34:53.75

おめ

**名無しさん＠お腹いっぱい。** · 2011/05/31(火) 00:50:44.47

unboundの assertionで落ちるのは DoSというのかね
コンパイル時に--enable-checking や --enable-debug つけて
ないと当たらないし

**名無しさん＠お腹いっぱい。** · 2011/05/31(火) 00:57:26.85

BINDの脆弱性はまたDNSSEC絡みか
DNSSECのために脆弱性増えてるなら
なんのためDNSSECかわからんぞ

**名無しさん＠お腹いっぱい。** · 2011/05/31(火) 11:47:07.98

クライアント側実装も怪しいもんだな＞DNSSEC
で、banスクリプトどこにあんの?

**名無しさん＠お腹いっぱい。** · 2011/06/07(火) 13:11:35.95

BIND9の内向き解決にIPv6アドレスを登録するときって
リンクローカルアドレスでいい？

**名無しさん＠お腹いっぱい。** · 2011/06/07(火) 15:22:19.72

DNS 的には登録することに問題はないと思うけど、
それを参照するアプリに問題が起きないかどうかは別の話。
少なくともリンクローカルじゃルータを越えられない。
内向きじゃルータとか気にしなくてもいいかもしれないけど、
そういうプライベート用途であればリンクローカルアドレスではなく
ユニークローカルアドレスを使った方がいいと思う。

**名無しさん＠お腹いっぱい。** · 2011/06/07(火) 16:29:52.48

リンクローカルな名前解決はmDNS使ってしまいたい

**名無しさん＠お腹いっぱい。** · 2011/06/08(水) 09:04:58.89

AAAA遮断したったwwwwwww

**名無しさん＠お腹いっぱい。** · 2011/06/08(水) 14:58:24.50

アッー

**名無しさん＠お腹いっぱい。** · 2011/06/16(木) 12:10:00.95

recursion って副作用があるね

**名無しさん＠お腹いっぱい。** · 2011/06/16(木) 13:34:05.70

というと?

**名無しさん＠お腹いっぱい。** · 2011/06/29(水) 22:25:09.38

janogで話がでてるが、
jpゾーンのnsがBIND 9.7.3-P3という版に
なってる
公開されてる最新版はP1
セキュリティホール来るか？

> dig @a.dns.jp version.bind chaos txt
"9.7.3-P2"

**634** · 2011/06/29(水) 22:28:34.86

>>634
ああまちがえた9.7.3-P2ね

**ななし** · 2011/07/02(土) 21:01:24.33

c.dns.jpで使っているultradnsってなに？

**名無しさん＠お腹いっぱい。** · 2011/07/03(日) 00:11:06.46

>>636
c.dns.jpのIPアドレスをwhoisしてみ？
ソフトではなくサービス名じゃないか。
なに使ってるか知らないけど。

**名無しさん＠お腹いっぱい。** · 2011/07/05(火) 22:33:14.39

>>634
CVE-2011-2464, CVE-2011-2465
9.8.0-P4, 9.7.3-P3, 9.6-ESV-R4-P3

**名無しさん＠お腹いっぱい。** · 2011/07/05(火) 23:38:23.42

強烈だねぇ
allow-queryでも防げないとか
どんだけだよこれ

**名無しさん＠お腹いっぱい。** · 2011/07/06(水) 12:56:33.03

定期脆弱性

**名無しさん＠お腹いっぱい。** · 2011/07/06(水) 20:15:21.17

allow-***の見直しをしてほしい。
わかりにくいったらありゃしない。

**名無しさん＠お腹いっぱい。** · 2011/07/06(水) 20:18:40.00

むしろ見直しをしたら訳がわからなくなったと思われ

**名無しさん＠お腹いっぱい。** · 2011/07/06(水) 20:54:44.90

さすが9.4だ、何ともないぜ

**名無しさん＠お腹いっぱい。** · 2011/07/06(水) 21:00:02.24

>>643
こういうことらしい
ttps://lists.isc.org/pipermail/bind-users/2011-July/084364.html

**名無しさん＠お腹いっぱい。** · 2011/07/06(水) 22:55:33.70

BINDここまで品質悪いのは何でだぜ？
BIND10になれば良くなるんだろうか

**名無しさん＠お腹いっぱい。** · 2011/07/06(水) 23:44:52.33

月刊『重複をお許しください』

**名無しさん＠お腹いっぱい。** · 2011/07/07(木) 07:36:11.78

なんでtar玉が7M近くも有る、そこまで複雑なことやってるか？
修正箇所を含めてコメントがさっぱり無いので検証が面倒い
しかし代替品も中途半端なものばかり

**名無しさん＠お腹いっぱい。** · 2011/07/07(木) 10:15:38.26

bind捨てれば幸せ
かも

**名無しさん＠お腹いっぱい。** · 2011/07/07(木) 10:19:06.05

tar 玉の中身を見ればわかるけど、ソース以外のものがほとんどだよ。
ドキュメントだけで10MBとか、テストツールだけで5MBとか。

**名無しさん＠お腹いっぱい。** · 2011/07/07(木) 14:03:42.61

以下のやりとりの中で、「9.4以下はコード上に脆弱性はあるけど、攻撃方法が見つかっていないし、安全そうだから、発表しないんだよ。」っという結論に達していいのだろうか。

ttps://lists.isc.org/pipermail/bind-users/2011-July/084368.html

**名無しさん＠お腹いっぱい。** · 2011/07/07(木) 16:26:21.08

潜在的に穴はあるけど、外からはその穴をつつけないから危険ではない。
……というところまではいいけど、発表しないんじゃなくて、
その穴を直した修正版をそのうちリリースする、とあるね。
たぶんそれが 9.4 の最終版になるのかな。

**名無しさん＠お腹いっぱい。** · 2011/07/07(木) 22:20:42.19

で、実証コードは？

**名無しさん＠お腹いっぱい。** · 2011/07/07(木) 22:34:38.76

実証できていないから安全ですｗ
安全だから対応しなくていいんですｗ

**名無しさん＠お腹いっぱい。** · 2011/07/07(木) 23:09:45.19

実際問題として修正されたのは9.4には無い部分のコードだからな
というわけで本当に>>643

**名無しさん＠お腹いっぱい。** · 2011/07/08(金) 11:41:30.14

>>651
この場合のwillは、「予定」ではなく、「願望」だと思われ。
従って、修正版は出ない。

**名無しさん＠お腹いっぱい。** · 2011/07/08(金) 15:53:43.75

>>655
9.4-ESV-R5rc1 出ました

**名無しさん＠お腹いっぱい。** · 2011/07/08(金) 16:53:05.84

>>656
これまた、失礼いたしました。
rhel の9.2は平気なの？

**名無しさん＠お腹いっぱい。** · 2011/07/08(金) 17:10:44.31

>>657
http://www.isc.org/software/bind/security/matrix
redhatがパッチをバックポートしてるだろうから最新のRPMを使ってるかぎりは
たぶん大丈夫だろうけど、少なくとも素の 9.2 はとても使えたもんじゃない。

**名無しさん＠お腹いっぱい。** · 2011/07/08(金) 21:03:47.52

>>655
キリッ！

**名無しさん＠お腹いっぱい。** · 2011/07/09(土) 09:32:02.50

>>656
いやいや、cve-2011-2464,2425関係ないアップデートじゃないか？changelogに何も書いてないし

**名無しさん＠お腹いっぱい。** · 2011/07/09(土) 09:32:59.64

>>654
が正しいのかな？

**名無しさん＠お腹いっぱい。** · 2011/07/09(土) 09:55:53.36

>>655 は出たらアップデートしなくちゃいけなくて面倒だから
出ないでほしいなぁという655と俺の願望

**名無しさん＠お腹いっぱい。** · 2011/07/09(土) 09:56:59.72

>>661 今回の穴だけに限って言えばね

**名無しさん＠お腹いっぱい。** · 2011/07/09(土) 17:32:29.29

>>660
節穴ですか？

ttp://ftp.isc.org/isc/bind9/9.4-ESV-R5rc1/RELEASE-NOTES-BIND-9.4-ESV.html

Bug Fixes
9.4-ESV-R5rc1
? Improved the mechanism for flagging database entries as negative cache records;
the former method, RR type 0, could be ambiguous. [RT #24777]

**名無しさん＠お腹いっぱい。** · 2011/07/09(土) 17:36:24.11

BUGではあるがSECURITYでないのがみそということね。

**名無しさん＠お腹いっぱい。** · 2011/07/09(土) 18:58:49.07

>>665
正解

**名無しさん＠お腹いっぱい。** · 2011/07/11(月) 09:19:02.46

>>663
いや、validator.cに同等の修正が入ってる

**名無しさん＠お腹いっぱい。** · 2011/07/11(月) 21:26:30.75

>>644にすべて書いてあるのに何ごちゃごちゃ言ってんだよ。

**sage** · 2011/07/12(火) 21:25:18.97

DNS Invalid Compress DoS とか

**名無しさん＠お腹いっぱい。** · 2011/07/12(火) 22:54:06.65

高尚な話題の所、しょうもないこと聞いていい？

host.a.example.com, host.b.example.com の両方によくアクセスするので、
検索ドメインの設定を example.com にしておいて、
host.a や host.b の名前でアクセスするのは、
スタブリゾルバやOS・アプリの実装に依存した方法？

**名無しさん＠お腹いっぱい。** · 2011/07/16(土) 06:35:27.68

ホスト名が一段深いのはどうなのかってこと？