パスワードを忘れた? アカウント作成
10021220 story
アナウンス

IIJがDNSサーバーの仕様を変更、IIJ以外のISPからの利用不可に 38

ストーリー by hylom
「魔法の数字」ではない 部門より

IIJが同社の提供するDNSサーバーについて仕様を変更し、同社のインターネット接続サービスを利用している環境以外からの接続をブロックすると発表した(IIJてくろぐDNSサーバ仕様変更のお知らせ)。

いままでIIJのDNSサーバーはどこからでもアクセスできる、いわゆる「オープンリゾルバ」になっていたが、オープンリゾルバ根絶に向けての取り組みとして今回の仕様変更になったという。

詳しくは上記の記事を確認して欲しいが、問題とされているのは送信元を偽ってDNSサーバーにUDPで名前解決リクエストを送信するという行為。これにより、特定のホストに対し大量のリクエストを送りつける「DNSamp」という攻撃が可能になってしまうという。

なお、ISPとしてIIJを使っていないにもかかわらずIIJのDNSサーバーを利用するような設定になることは通常ないが、IIJをかつて利用していた、もしくは複数のISPを併用している、といった場合にIIJのDNSサーバーをほかのISP経由で利用するという状態が発生しうるとして注意が呼びかけられている。また、「 IIJとなんの関係もないけれど、IIJのDNSサーバを使っている」ケースもある。特に、

最近はスマートフォンのライフハックblogなどで「通信が速くなる魔法の数字」のようなお題目で、DNSサーバのIPアドレスだけが出回ることがあります

ということがあるそうだ。設定変更は11月頃を予定しているとのことで、DNSサーバーを手動で設定している場合など、心当たりがある方は事前に確認しておこう。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by doda (31157) on 2013年09月24日 18時17分 (#2465166) 日記

    そういえばさくらインターネットも9月5日に仕様変更しましたね。
    DNSキャッシュサーバ仕様変更のお知らせ(9月5日実施) [sakura.ad.jp]

    最近やっとオープンリゾルバの対策をするという話を聞き始めたけれど、DNSampは数年前から知られているわけだし、
    キャッシュポイズニング等の脆弱性を突き易いという問題もあるから、もうちょっと早く対応して欲しかったなあ。

    • by Anonymous Coward

      IIJのようなISPのキャッシュサーバを自宅PCに設定する人は珍しくないというか、
      DNS設定を自動取得するのがあたりまえになる前はそうするのが常識だった。
      が、さくらのようなレン鯖屋のキャッシュサーバをわざわざ自宅PCに設定するのは
      昔も今も奇特な一部の人のみ。
      同列で比較するのはアレなぐらいにISPの方が影響範囲がデカい。

  • by Anonymous Coward on 2013年09月24日 18時59分 (#2465198)

    中国を発信元とする再帰問い合わせ可能なDNS サーバの探索行為の増加について
    http://www.npa.go.jp/cyberpolice/topics/?seq=12275 [npa.go.jp]

    警察庁では、9月10 日から中国を発信元とする宛先ポート53/UDP に対するアクセスの増加を検知しています。

    • by Anonymous Coward

      fail2banでnamedも対象にした方がいいかな。あいつらブロックするの楽しいしw

    • by Anonymous Coward

      TXTレコードで天安門事件がどうとか返したら金盾がブロックしてくれないだろうか?

      • by Anonymous Coward

        効果あるよ。やってみ。

  • by Anonymous Coward on 2013年09月25日 7時33分 (#2465471)

    IIJ の説明では、BB.excite 等の IIJ をバックボーンとしている ISP でも利用できなくなると解釈することもできそうです。
    一方、現在 BB.excite では、今回の発表の対象である 210.130.0.1、210.130.1.1 を利用するよう案内しています。
    http://support.excite.co.jp/app/answers/detail/a_id/284/ [excite.co.jp]
    どうなることやら。

    • by Anonymous Coward on 2013年09月25日 8時23分 (#2465492)

      http://techlog.iij.ad.jp/archives/718#footnote_1_718 [iij.ad.jp]
      IIJはいくつかのISPに接続サービスをOEM提供しています。これらのISPはIIJブランドではありませんが、IIJと同じDNSサーバをご利用頂くように案内している場合もあります。ですので、「IIJを使っていないはずなのにIIJのDNSサーバのアドレスが書いてある」からといって、それが間違った設定ではないケースもあります。お手数ですが、それぞれご利用中のISPのマニュアルを参照頂くようにお願いいたします。

      親コメント
      • by Anonymous Coward

        完全に見落としていました。ご指摘ありがとうございます。

  • by Anonymous Coward on 2013年09月24日 20時31分 (#2465261)

    http://jvndb.jvn.jp/ja/contents/2013/JVNDB-2013-000087.html [jvndb.jvn.jp]

    おーぷんりぞるば自体が脆弱性として見なされてきてるんですね

    • by Anonymous Coward on 2013年09月24日 21時35分 (#2465300)

      ホームルーターではWAN側からのDNS問い合わせに返事してはいかん
      https://twitter.com/OrangeMorishita/status/377709518811308034 [twitter.com]

      親コメント
      • Re:JPCERTも (スコア:5, 参考になる)

        by Anonymous Coward on 2013年09月24日 22時04分 (#2465325)
        この辺に書いとくか。

        実際問題として世の中に存在するオープンリゾルバのほとんどは家庭用ルータと目されています。
        ISP の提供しているキャッシュDNSサーバとかは数的には誤差程度の影響しかないし、
        必要ならば Google の 8.8.8.8 のように(対策した上で)正式なサービスにすることも可能なはずなんだけど、

        一方で ISP としては、今後顧客に「家庭用ルータの対策して」と啓蒙していかなければならい立場でもあり、
        顧客から「お前のとこにもオープンリゾルバ有るじゃん」とか返された辛いので、止めざる得ない方向なんです。

        ということで、ここ読んでる人たちも家庭用ルータや自宅サーバなどの対策ができてるか確認して欲しい。
        親コメント
        • by Anonymous Coward

          啓蒙でなんとかなるレベルの話とはとても思えないんだが。OP53Bでいいだろ

        • by Anonymous Coward

          元記事のブログ読んでも、そうは読み取れないけれど。実際、あの倍以上に増えている部分がアタックに利用されているわけでしょ?

    • by Anonymous Coward

      ここに挙げられているメーカーの機器をホームルーターとみなすのは少しかわいそうな気が。
      本来はローエンドエンタープライズ向けの機器で、SIer、もしくは「分かった」人が扱う機器だし。
      (ハイアマが背伸びしてRTXやIXを使いたがるのは分からなくも無いけど)

  • by Anonymous Coward on 2013年09月24日 18時07分 (#2465159)

    一般的には8.8.8.8だと思ってるけど#魔法の数字

    • by Anonymous Coward on 2013年09月24日 18時49分 (#2465189)

      「210.130.1.1 魔法」で検索したら、8888や他ISPと比較して、「IIJ最強」と書かれている2chまとめブログが出てきた。
      http://tundaowata.info/?p=14410 [tundaowata.info]

      親コメント
    • by Anonymous Coward on 2013年09月24日 19時55分 (#2465240)

      既に老害の域に達してる元エンジニアだけど、昔は相対的に優秀だった。
      未だに8.8.8.8より202.232.2.xxを打ってしまう。

      親コメント
    • by Anonymous Coward on 2013年09月24日 18時22分 (#2465169)
      IPv6がらみだと思う。
      親コメント
    • by Anonymous Coward

      絶対評価はしようがないよね?

    • by Anonymous Coward

      児童ポルノブロックという名目でDNSを書き換えてるからIIJユーザでも使わないレベル

    • by Anonymous Coward

      ベンチ測ればわかるけど実際大したこと無い

    • by Anonymous Coward

      8.8.8.8って、日本からのアクセスか判別して適切なCDNに繋がるのでしょうか?
      その点IIJだと日本からのアクセスなのが自明ですし早くなってもおかしくないかも。

      • by Anonymous Coward on 2013年09月24日 19時40分 (#2465228)

        タレこみの記事と同じひとの個人ブログに2011年ぐらいからgoogle dnsがちゃんと国内のルーティングを返すようになったとなっている。
        http://ya.maya.st/d/201109b.html#d20110916 [ya.maya.st]

        ただ、IIJだとネットワーク内部にakamaiのCDNとかがいるだろうからIIJのほうがさらに最適化されているだろうね。

        親コメント
      • anycastしてるのでネットワーク上の近い場所にあるDNSサーバーが応答してる筈です。
        #RFC3258参照のこと

        親コメント
        • by Anonymous Coward on 2013年09月24日 23時03分 (#2465356)

          DNS自体の応答でなく、その応答内容が日本国内向けかという話だったのです。
          #2465228 [srad.jp]で触れてるようなAkamai [wikipedia.org]のようなCDNの場合ですね。
          極端な話、日本国内にサーバーが有るのに、何故かヨーロッパのサーバーにアクセスするので遅くなるみたいな事が起きます。
          8.8.8.8で返すデータを何処のIPアドレスから収集するかで経路が変わるのです。
          で、今確認したらIIJのDNSサーバーでwww.asahi.comを引いたところ最もpingが速く、TTLも大きい経路になりました。
          試行回数一回では少なすぎますし、結果に揺れは有るとは思いますが一例として。

          Biglobe(※ブロードバンドルータのDNS Proxy経由)

          PS C:\Users\foobar>nslookup www.asahi.com
          サーバー: Router01
          Address: 192.168.1.1

          権限のない回答:
          名前: a1403.b.akamai.net
          Addresses: 125.56.218.95
                              125.56.201.120
          Aliases: www.asahi.com
                              www.asahi.com.edgesuite.net

          C:\Users\foobar>ping 125.56.128.95
          125.56.128.95 に ping を送信しています 32 バイトのデータ:
          125.56.128.95 からの応答: バイト数 =32 時間 =129ms TTL=49
          125.56.128.95 からの応答: バイト数 =32 時間 =114ms TTL=49
          125.56.128.95 からの応答: バイト数 =32 時間 =112ms TTL=49
          125.56.128.95 からの応答: バイト数 =32 時間 =110ms TTL=49

          125.56.128.95 の ping 統計:
                  パケット数: 送信 = 4、受信 = 4、損失 = 0 (0% の損失)、
          ラウンド トリップの概算時間 (ミリ秒):
                  最小 = 110ms、最大 = 129ms、平均 = 116ms

          IIJ

          PS C:\Users\foobar>nslookup www.asahi.com 210.130.232.1
          サーバー: DNS.CDN-JAPAN.COM
          Address: 210.130.232.1

          権限のない回答:
          名前: a1403.b.akamai.net
          Addresses: 210.149.135.13
                              210.149.135.46
          Aliases: www.asahi.com
                              www.asahi.com.edgesuite.net

          PS C:\Users\foobar>ping 210.149.135.13
          210.149.135.13 に ping を送信しています 32 バイトのデータ:
          210.149.135.13 からの応答: バイト数 =32 時間 =58ms TTL=53
          210.149.135.13 からの応答: バイト数 =32 時間 =59ms TTL=53
          210.149.135.13 からの応答: バイト数 =32 時間 =49ms TTL=53
          210.149.135.13 からの応答: バイト数 =32 時間 =42ms TTL=53
          210.149.135.13 の ping 統計:
                  パケット数: 送信 = 4、受信 = 4、損失 = 0 (0% の損失)、
          ラウンド トリップの概算時間 (ミリ秒):
                  最小 = 42ms、最大 = 59ms、平均 = 52ms

          Google

          PS C:\Users\foobar>nslookup www.asahi.com 8.8.8.8
          サーバー: google-public-dns-a.google.com
          Address: 8.8.8.8

          権限のない回答:
          名前: a1403.b.akamai.net
          Addresses: 165.254.99.74
                              165.254.99.65
          Aliases: www.asahi.com
                              www.asahi.com.edgesuite.net

          PS C:\Users\foobar>ping 165.254.99.74
          165.254.99.74 に ping を送信しています 32 バイトのデータ:
          165.254.99.74 からの応答: バイト数 =32 時間 =162ms TTL=52
          165.254.99.74 からの応答: バイト数 =32 時間 =146ms TTL=52
          165.254.99.74 からの応答: バイト数 =32 時間 =145ms TTL=52
          165.254.99.74 からの応答: バイト数 =32 時間 =150ms TTL=52
          165.254.99.74 の ping 統計:
                  パケット数: 送信 = 4、受信 = 4、損失 = 0 (0% の損失)、
          ラウンド トリップの概算時間 (ミリ秒):
                  最小 = 145ms、最大 = 162ms、平均 = 150ms

          親コメント
    • by Anonymous Coward

      Googleは覚えやすいだけで、もっと速いのはいくらでもある。

    • by Anonymous Coward

      ところで、8.8.8.8もDNS amp攻撃の踏み台として利用されているってことで良いのかな?

    • by Anonymous Coward

      namebenchでリストアップされたから気にせず設定して使ってた。

  • by tkoba (26162) on 2013年09月24日 18時51分 (#2465192) 日記

    ストーリ見たとき福岡大のNTPサーバの話を思い出したけど、あまり関係ないか。

    • by Anonymous Coward

      こまけぇこたぁいいんだよ。

      話の幅が広がるんだから。帯域問題なのか、DNS鯖の性能問題なのか。

  • by Anonymous Coward on 2013年09月24日 19時08分 (#2465203)

    今まで提供してたことの方が驚きですよ。
    危険性以外の部分を考えても、その提供はボランティアだったの?

    それに、自分の加入してるISP外のDNSサーバーを指定するのは何か意味があるの?
    (テストは除くとして、早さとかのメリットがあるのかな)

    • by Anonymous Coward on 2013年09月24日 19時34分 (#2465221)

      本当につい先日、OCNのDNSが落ちて、パニックになってました。
      ISPが提供してるプライマリ、セカンダリがどっちも同じドメインにあると、冗長度をかせげないってことはあるかもと思った出来事でした。
      その時は、Twitterで8.8.8.8に切り替えろといったRTが飛び交っていたらしいですよ。
      セカンダリは別ISPのDNS使うってのは、前から「念のため」のTIPSとして結構見た気がします。

      親コメント
    • by Anonymous Coward on 2013年09月24日 21時39分 (#2465301)

      「オープンリゾルバ根絶に向けての取り組み」のリンク先を読んでみなよ。
      相互扶助の精神が崩れ去ったという悲しい話なんだけどなあ。

      親コメント
      • by Anonymous Coward on 2013年09月24日 23時53分 (#2465382)

        感傷的に言えばそういうことになるでしょうが、
        たとえば学生が社会に出て、責任ある大人として振舞うことを
        求められるようになった、そう捉えてもいいんじゃないでしょうか。
        (まぁ今は学生にも厳しく社会的責任を求める時代ですが、それはそれとして)。

        世界に悪意が遍在しているのは今に始まったことではないのですから、
        ITが社会のインフラとしての重要性が増す過程においては、当然通らざるを得ない道です。

        親コメント
        • by Anonymous Coward
          比喩に対して突っ込むのもあれですが、
          本来ならパブリックドメインという社会に出て、責任あるクライアントとして振る舞ってくれていれば制限する必要がないのですよ。

          そういう大人としての振る舞いを求めていたがルールを守らないものが多すぎて強制力をもってあたるしかなくなったわけですよね。
          昨今であれば小学校に自由に出入りできなくなった事に似ている気がします。
          • by Anonymous Coward

            なんちゅうかその、「昔はよかった」「悪人がいなければ問題はない」的な
            平和な世界が消えてしまって、寂しい気持ちは分からないではないですけど。
            こちらからすれば、やっと目を覚ましてくれたか、って気分ですね。

            理解ある大人同士の世界でしか通用しないものなんて、所詮各自が自分で責任を
            持てる範囲でしかないこと、つまり遊びです。

            遊びは素晴しいですけど、他人に対して責任あるサービスを提供するのは
            もっと困難で、それ故に素晴しいことでしょう。

  • by Anonymous Coward on 2013年10月13日 0時02分 (#2476300)

    http://www.opennicproject.org/ [opennicproject.org]
    Give me the numbers, I know what I’m doing! Your nearest DNS servers are: 106.186.17.181 (JP) 118.88.20.195 (WA, AU)

    日本にも鯖があるようです。

typodupeerror

開いた括弧は必ず閉じる -- あるプログラマー

読み込み中...