トップページunix
1001コメント314KB

Name Server 総合スレ【DNS】

■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。2008/11/26(水) 01:14:36
立ててみるだよもん

●主なオープンソース
BIND
ttps://www.isc.org/software/bind
djbdns
ttp://djbdns.qmail.jp/
NSD
ttp://www.nlnetlabs.nl/projects/nsd/
Unbound
ttp://unbound.net/

●規格
RFC1034, 1035
ttp://www.ietf.org/rfc/rfc1034.txt
ttp://www.ietf.org/rfc/rfc1035.txt

●アプライアンス
Nominum
ttp://www.nominum.com/
Infoblox
ttp://www.infoblox.co.jp/
0607名無しさん@お腹いっぱい。2011/05/15(日) 16:41:14.71
>>606
話題のぷららですか。
0608名無しさん@お腹いっぱい。2011/05/15(日) 17:03:45.96
ぷららならばしょうがないがさてどこだろう
0609名無しさん@お腹いっぱい。2011/05/15(日) 18:19:53.16
ぷららってDNSポイゾニングじゃないんだな
0610名無しさん@お腹いっぱい。2011/05/15(日) 20:47:40.60
コンテンツフィルタですた
0611名無しさん@お腹いっぱい。2011/05/17(火) 19:16:59.44
DNS鯖陥落したの

PC側実害無しでけど、飛ばし先ヤバイよ!

このドメイン名は、ICEに襲われました - 国土安全保障調査(タイトル18 U.S.C2254.の当局の下で米国地方裁判所によって出されるseizre warratに基づく)
06126112011/05/17(火) 19:27:02.78
児童ポルノのAdvertisement,distribution,transpotration,receipt,and所有は、最初に対するそのキャリー処罰が連邦prison,aで30年、犯罪者の時間を計る連邦犯罪を250,000ドルのfine,forfeitureと賠償に任命します。

Windowsだとカード番号入力画面出るのか
250ドル 250000ドルなら米韓政府グルだな
欧州串経由では、404
0613名無しさん@お腹いっぱい。2011/05/18(水) 01:00:31.62
日本語でおk(英語でもおk)
0614名無しさん@お腹いっぱい。2011/05/18(水) 02:51:38.66
中学生レベルの英語を機械翻訳にかけて
日本語になっていない文字の羅列を貼って喜んでいる奴は何をしたいんだ
0615名無しさん@お腹いっぱい。2011/05/18(水) 09:53:39.01
prison,a
プリゾン・ア
と読めばいいのかコレ
0616名無しさん@お腹いっぱい。2011/05/27(金) 15:39:41.53
またかよ……
http://www.isc.org/software/bind/advisories/cve-2011-1910
0617名無しさん@お腹いっぱい。2011/05/27(金) 15:43:28.23
こっちもか……
http://unbound.nlnetlabs.nl/downloads/CVE-2011-1922.txt
0618名無しさん@お腹いっぱい。2011/05/27(金) 15:49:15.37
穴多すぎだよなぁ。
根本的になんとかならんのかね。
0619名無しさん@お腹いっぱい。2011/05/27(金) 18:00:46.63
皆でnsd+unboundかPowerDNSとかに移行するしかないのか?
0620名無しさん@お腹いっぱい。2011/05/28(土) 04:46:42.58
( ´∀`)つ Microsoft DNS server
0621名無しさん@お腹いっぱい。2011/05/28(土) 16:59:40.56
ラウンドロビンしてくれるのってBINDだけだっけ
0622名無しさん@お腹いっぱい。2011/05/30(月) 07:50:51.95
今週はパッチ入りバージョンの検証で残業予定、めんどくせー
0623名無しさん@お腹いっぱい。2011/05/30(月) 12:34:53.75
おめ
0624名無しさん@お腹いっぱい。2011/05/31(火) 00:50:44.47
unboundの assertionで落ちるのは DoSというのかね
コンパイル時に--enable-checking や --enable-debug つけて
ないと当たらないし
0625名無しさん@お腹いっぱい。2011/05/31(火) 00:57:26.85
BINDの脆弱性はまたDNSSEC絡みか
DNSSECのために脆弱性増えてるなら
なんのためDNSSECかわからんぞ
0626名無しさん@お腹いっぱい。2011/05/31(火) 11:47:07.98
クライアント側実装も怪しいもんだな>DNSSEC
で、banスクリプトどこにあんの?
0627名無しさん@お腹いっぱい。2011/06/07(火) 13:11:35.95
BIND9の内向き解決にIPv6アドレスを登録するときって
リンクローカルアドレスでいい?
0628名無しさん@お腹いっぱい。2011/06/07(火) 15:22:19.72
DNS 的には登録することに問題はないと思うけど、
それを参照するアプリに問題が起きないかどうかは別の話。
少なくともリンクローカルじゃルータを越えられない。
内向きじゃルータとか気にしなくてもいいかもしれないけど、
そういうプライベート用途であればリンクローカルアドレスではなく
ユニークローカルアドレスを使った方がいいと思う。
0629名無しさん@お腹いっぱい。2011/06/07(火) 16:29:52.48
リンクローカルな名前解決はmDNS使ってしまいたい
0630名無しさん@お腹いっぱい。2011/06/08(水) 09:04:58.89
AAAA遮断したったwwwwwww
0631名無しさん@お腹いっぱい。2011/06/08(水) 14:58:24.50
アッー
0632名無しさん@お腹いっぱい。2011/06/16(木) 12:10:00.95
recursion って副作用があるね
0633名無しさん@お腹いっぱい。2011/06/16(木) 13:34:05.70
というと?
0634名無しさん@お腹いっぱい。2011/06/29(水) 22:25:09.38
janogで話がでてるが、
jpゾーンのnsがBIND 9.7.3-P3という版に
なってる
公開されてる最新版はP1
セキュリティホール来るか?

> dig @a.dns.jp version.bind chaos txt
"9.7.3-P2"
06356342011/06/29(水) 22:28:34.86
>>634
ああまちがえた9.7.3-P2ね
0636ななし2011/07/02(土) 21:01:24.33
c.dns.jpで使っているultradnsってなに?
0637名無しさん@お腹いっぱい。2011/07/03(日) 00:11:06.46
>>636
c.dns.jpのIPアドレスをwhoisしてみ?
ソフトではなくサービス名じゃないか。
なに使ってるか知らないけど。
0638名無しさん@お腹いっぱい。2011/07/05(火) 22:33:14.39
>>634
CVE-2011-2464, CVE-2011-2465
9.8.0-P4, 9.7.3-P3, 9.6-ESV-R4-P3
0639名無しさん@お腹いっぱい。2011/07/05(火) 23:38:23.42
強烈だねぇ
allow-queryでも防げないとか
どんだけだよこれ
0640名無しさん@お腹いっぱい。2011/07/06(水) 12:56:33.03
定期脆弱性
0641名無しさん@お腹いっぱい。2011/07/06(水) 20:15:21.17
allow-***の見直しをしてほしい。
わかりにくいったらありゃしない。
0642名無しさん@お腹いっぱい。2011/07/06(水) 20:18:40.00
むしろ見直しをしたら訳がわからなくなったと思われ
0643名無しさん@お腹いっぱい。2011/07/06(水) 20:54:44.90
さすが9.4だ、何ともないぜ
0644名無しさん@お腹いっぱい。2011/07/06(水) 21:00:02.24
>>643
こういうことらしい
ttps://lists.isc.org/pipermail/bind-users/2011-July/084364.html
0645名無しさん@お腹いっぱい。2011/07/06(水) 22:55:33.70
BINDここまで品質悪いのは何でだぜ?
BIND10になれば良くなるんだろうか
0646名無しさん@お腹いっぱい。2011/07/06(水) 23:44:52.33
月刊『重複をお許しください』
0647名無しさん@お腹いっぱい。2011/07/07(木) 07:36:11.78
なんでtar玉が7M近くも有る、そこまで複雑なことやってるか?
修正箇所を含めてコメントがさっぱり無いので検証が面倒い
しかし代替品も中途半端なものばかり
0648名無しさん@お腹いっぱい。2011/07/07(木) 10:15:38.26
bind捨てれば幸せ
かも
0649名無しさん@お腹いっぱい。2011/07/07(木) 10:19:06.05
tar 玉の中身を見ればわかるけど、ソース以外のものがほとんどだよ。
ドキュメントだけで10MBとか、テストツールだけで5MBとか。
0650名無しさん@お腹いっぱい。2011/07/07(木) 14:03:42.61
以下のやりとりの中で、「9.4以下はコード上に脆弱性はあるけど、 攻撃方法が見つかっていないし、安全そうだから、発表しない んだよ。」っという結論に達していいのだろうか。

ttps://lists.isc.org/pipermail/bind-users/2011-July/084368.html
0651名無しさん@お腹いっぱい。2011/07/07(木) 16:26:21.08
潜在的に穴はあるけど、外からはその穴をつつけないから危険ではない。
……というところまではいいけど、発表しないんじゃなくて、
その穴を直した修正版をそのうちリリースする、とあるね。
たぶんそれが 9.4 の最終版になるのかな。
0652名無しさん@お腹いっぱい。2011/07/07(木) 22:20:42.19
で、実証コードは?
0653名無しさん@お腹いっぱい。2011/07/07(木) 22:34:38.76
実証できていないから安全ですw
安全だから対応しなくていいんですw
0654名無しさん@お腹いっぱい。2011/07/07(木) 23:09:45.19
実際問題として修正されたのは9.4には無い部分のコードだからな
というわけで本当に>>643
0655名無しさん@お腹いっぱい。2011/07/08(金) 11:41:30.14
>>651
この場合のwillは、「予定」ではなく、「願望」だと思われ。
従って、修正版は出ない。
0656名無しさん@お腹いっぱい。2011/07/08(金) 15:53:43.75
>>655
9.4-ESV-R5rc1 出ました
0657名無しさん@お腹いっぱい。2011/07/08(金) 16:53:05.84
>>656
これまた、失礼いたしました。
rhel の9.2は平気なの?
0658名無しさん@お腹いっぱい。2011/07/08(金) 17:10:44.31
>>657
http://www.isc.org/software/bind/security/matrix
redhatがパッチをバックポートしてるだろうから最新のRPMを使ってるかぎりは
たぶん大丈夫だろうけど、少なくとも素の 9.2 はとても使えたもんじゃない。
0659名無しさん@お腹いっぱい。2011/07/08(金) 21:03:47.52
>>655
キリッ!
0660名無しさん@お腹いっぱい。2011/07/09(土) 09:32:02.50
>>656
いやいや、cve-2011-2464,2425関係ないアップデートじゃないか?changelogに何も書いてないし
0661名無しさん@お腹いっぱい。2011/07/09(土) 09:32:59.64
>>654
が正しいのかな?
0662名無しさん@お腹いっぱい。2011/07/09(土) 09:55:53.36
>>655 は出たらアップデートしなくちゃいけなくて面倒だから
出ないでほしいなぁという655と俺の願望
0663名無しさん@お腹いっぱい。2011/07/09(土) 09:56:59.72
>>661 今回の穴だけに限って言えばね
0664名無しさん@お腹いっぱい。2011/07/09(土) 17:32:29.29
>>660
節穴ですか?

ttp://ftp.isc.org/isc/bind9/9.4-ESV-R5rc1/RELEASE-NOTES-BIND-9.4-ESV.html

Bug Fixes
9.4-ESV-R5rc1
? Improved the mechanism for flagging database entries as negative cache records;
the former method, RR type 0, could be ambiguous. [RT #24777]
0665名無しさん@お腹いっぱい。2011/07/09(土) 17:36:24.11
BUGではあるがSECURITYでないのがみそということね。
0666名無しさん@お腹いっぱい。2011/07/09(土) 18:58:49.07
>>665
正解
0667名無しさん@お腹いっぱい。2011/07/11(月) 09:19:02.46
>>663
いや、validator.cに同等の修正が入ってる
0668名無しさん@お腹いっぱい。2011/07/11(月) 21:26:30.75
>>644にすべて書いてあるのに何ごちゃごちゃ言ってんだよ。
0669sage2011/07/12(火) 21:25:18.97
DNS Invalid Compress DoS とか
0670名無しさん@お腹いっぱい。2011/07/12(火) 22:54:06.65
高尚な話題の所、しょうもないこと聞いていい?

host.a.example.com, host.b.example.com の両方によくアクセスするので、
検索ドメインの設定を example.com にしておいて、
host.a や host.b の名前でアクセスするのは、
スタブリゾルバやOS・アプリの実装に依存した方法?
0671名無しさん@お腹いっぱい。2011/07/16(土) 06:35:27.68
ホスト名が一段深いのはどうなのかってこと?
0672名無しさん@お腹いっぱい。2011/07/16(土) 12:41:15.10
>>670
その環境で楽したいだけなんでしょ?
環境依存かどうか気にしてもしょうがないんじゃない?
0673名無しさん@お腹いっぱい。2011/08/01(月) 21:37:17.56
質問があるのですがbomd9.4.3から
最新のbind9.8.0-p4に更新したら
名前解決が遅くなりました。
解決方法はありますか?
0674名無しさん@お腹いっぱい。2011/08/01(月) 21:38:55.02
間違えました。
bind9.4.3から9.8.0-p4でした
0675名無しさん@お腹いっぱい。2011/08/01(月) 22:14:09.31
named -4
で起動
0676名無しさん@お腹いっぱい。2011/08/19(金) 07:05:31.69
bomd 9.4.3 はいいね
0677名無しさん@お腹いっぱい。2011/08/19(金) 08:13:12.20
何それ
0678名無しさん@お腹いっぱい。2011/08/19(金) 08:30:02.96
中だけ(右手だけ?)ずれている感じか
0679名無しさん@お腹いっぱい。2011/08/19(金) 10:57:35.48
なんかバクハツしそうだね
0680名無しさん@お腹いっぱい。2011/08/23(火) 12:07:48.65
しかもdaemonっぽい
0681名無しさん@お腹いっぱい。2011/08/31(水) 18:27:32.12
NSレコードがよく分からないので教えてください
ドメイン業者のレンタルDNSレコードを使わずに自分でDNS鯖を立てたいのですが、
mydomain.comというドメインを取得し、ns1.mydomain.comとns2.mydomain.comというDNS鯖を立てるとき
mydomain.comのNSレコードにns1.mydomain.comとns2.mydomain.comを指定しますよね
その場合ns1.mydomain.comとns2.mydomain.comはAレコードを持っていなければいけないようですが、
そのns1のAレコードはどこで設定するのでしょう?
ns1はmydomain.comの下位にあるのでそれを管理するのはmydomain.comのNSレコードで設定したns1mydomain.com…
となって名前解決できなくならないのはなぜですか?
0682名無しさん@お腹いっぱい。2011/08/31(水) 18:36:54.53
>>681
mydomain.comなら今現在 NSレコードも Aレコードも引けるね。
つまり、自己解決されたんですね、おめでとうございます。
0683名無しさん@お腹いっぱい。2011/08/31(水) 18:39:52.24
いや、例えで出しただけです
実在するドメインだったんですかすみません
0684名無しさん@お腹いっぱい。2011/08/31(水) 19:33:38.40
このスレには昔から「例示のドメインには example.com とか使え」教のキチガイが棲みついてて
嫌がらせだけが目的の何の役にも立たない >>682みたいなレスしてくるから気をつけるんだな

>>681 それを解決するのがglue レコード。
http://ja.wikipedia.org/wiki/Glue_Record
良い説明が見つからんなぁ
0685名無しさん@お腹いっぱい。2011/08/31(水) 20:13:19.22
>>684
それ系のメーリングリストも一緒に購読しておくと
名無しでもそれをやってるのが誰なのか見当が付いてくるw

まぁ他人のドメインを使っちゃうのはまずいとは思うけどね。
Hoge Lumber Companyさんのドメインとかw
0686名無しさん@お腹いっぱい。2011/08/31(水) 20:19:43.64
Glueレコードですか、なるほど
その設定をレジストラのサイトで探せばいいわけですね、わかりました
ありがとうございます
0687名無しさん@お腹いっぱい。2011/08/31(水) 20:24:04.38
>>684
rootサーバが使ってると思われるゾーンファイルは
各トップレベルドメインのNSがずらーっと書いてあって
さらにその下にそのNSが指してる名前のAやAAAAも
ずらーっと書いてあるね。
0688名無しさん@お腹いっぱい。2011/08/31(水) 21:08:12.43
運用上はどうでもいい疑問かもしれませんが、
NSレコードの設定ってTLDを管理してるネームサーバに直接記録されるんですか?
それともレジストラのネームサーバに記録されるんですか?
0689名無しさん@お腹いっぱい。2011/08/31(水) 23:07:19.92
>>688
「TLDを管理しているネームサーバ」と
「レジストラのネームサーバ」を具体的に考えれば分かる。
たぶん。
0690名無しさん@お腹いっぱい。2011/08/31(水) 23:42:34.03
実在するドメインを例示に使わないのは当然のマナー。
example教は俺も嫌いだが、主張は全く正しい。
0691名無しさん@お腹いっぱい。2011/09/01(木) 00:06:41.26
爺か?爺なのか!?
0692名無しさん@お腹いっぱい。2011/09/01(木) 00:22:57.66
マナー(笑)
0693名無しさん@お腹いっぱい。2011/09/01(木) 00:24:01.05
若さしか取り柄のないDQNが開き直りですか
0694名無しさん@お腹いっぱい。2011/09/01(木) 00:48:19.25
example教が「DNS & BIND」とか見れば発狂するよなー
movie.eduとか何だよwww
第4版まではこの体たらくだが
第5版では直ってるのかな?
0695名無しさん@お腹いっぱい。2011/09/01(木) 03:35:43.46
example教の糞なところは、example.なんとかを使えとでしゃばるくせに
質問にはノータッチなところだろ。
質問に答えられないほどの無能なのに何やってんの?みたいなw
0696名無しさん@お腹いっぱい。2011/09/01(木) 09:34:09.39
第5版でも movie.eduだよ >>694
突っ込むなら先にこっちだよね
0697名無しさん@お腹いっぱい。2011/09/01(木) 19:27:45.59
俺はおっさんなのでacme.comが好きだ
0698名無しさん@お腹いっぱい。2011/09/01(木) 23:51:54.41
>>697
初めて見たときはドキドキしたのを思い出した
そんな俺もおっさん
0699名無しさん@お腹いっぱい。2011/09/02(金) 03:41:59.64
Plan9のエディタかと思ってどきどきしちゃった
0700名無しさん@お腹いっぱい。2011/09/02(金) 07:38:11.63
打ち合わせでマニュアルの例示見ながら皆でacme連呼してたな〜
0701名無しさん@お腹いっぱい。2011/09/02(金) 09:46:41.52
電話番号の例示にも 0×0-1234-5678 っていうのがよく使われるが、
実在するぞ。さぞ迷惑だろうな。
0702名無しさん@お腹いっぱい。2011/09/02(金) 09:54:01.85
懸賞の当選者名の例示にも セシウムさん っていうのがよく使われるが、
実在するぞ。さぞ迷惑だろうな。
0703名無しさん@お腹いっぱい。2011/09/02(金) 10:16:36.43
>>701
それは実在しないだろ。
0704名無しさん@お腹いっぱい。2011/09/02(金) 12:04:35.28
>>703
正規表現でないから分からないと申したか
0705ひろゆき2011/09/12(月) 08:21:56.06
続きはこちらで

くだらない質問はここに書き込め!なんでもアリ24
http://pc.2ch.net/test/read.cgi/unix/1053748966/

BIND その2
http://pc.2ch.net/test/read.cgi/unix/1042989999/

djb(3)
http://pc.2ch.net/test/read.cgi/unix/1047117464/

0706名無しさん@お腹いっぱい。2011/09/21(水) 19:07:13.05
8.8.8.8でiPhoneが速くなった!と言ってる人がそれなりにいるということは
余程グダグダなDNSキャッシュサーバが多いってことなのかのう
■ このスレッドは過去ログ倉庫に格納されています