IIJがDNSサーバーの仕様を変更、IIJ以外のISPからの利用不可に 38
ストーリー by hylom
「魔法の数字」ではない 部門より
「魔法の数字」ではない 部門より
IIJが同社の提供するDNSサーバーについて仕様を変更し、同社のインターネット接続サービスを利用している環境以外からの接続をブロックすると発表した(IIJてくろぐ、DNSサーバ仕様変更のお知らせ)。
いままでIIJのDNSサーバーはどこからでもアクセスできる、いわゆる「オープンリゾルバ」になっていたが、オープンリゾルバ根絶に向けての取り組みとして今回の仕様変更になったという。
詳しくは上記の記事を確認して欲しいが、問題とされているのは送信元を偽ってDNSサーバーにUDPで名前解決リクエストを送信するという行為。これにより、特定のホストに対し大量のリクエストを送りつける「DNSamp」という攻撃が可能になってしまうという。
なお、ISPとしてIIJを使っていないにもかかわらずIIJのDNSサーバーを利用するような設定になることは通常ないが、IIJをかつて利用していた、もしくは複数のISPを併用している、といった場合にIIJのDNSサーバーをほかのISP経由で利用するという状態が発生しうるとして注意が呼びかけられている。また、「 IIJとなんの関係もないけれど、IIJのDNSサーバを使っている」ケースもある。特に、
最近はスマートフォンのライフハックblogなどで「通信が速くなる魔法の数字」のようなお題目で、DNSサーバのIPアドレスだけが出回ることがあります
ということがあるそうだ。設定変更は11月頃を予定しているとのことで、DNSサーバーを手動で設定している場合など、心当たりがある方は事前に確認しておこう。
さくらインターネットも (スコア:5, 参考になる)
そういえばさくらインターネットも9月5日に仕様変更しましたね。
DNSキャッシュサーバ仕様変更のお知らせ(9月5日実施) [sakura.ad.jp]
最近やっとオープンリゾルバの対策をするという話を聞き始めたけれど、DNSampは数年前から知られているわけだし、
キャッシュポイズニング等の脆弱性を突き易いという問題もあるから、もうちょっと早く対応して欲しかったなあ。
Re: (スコア:0)
IIJのようなISPのキャッシュサーバを自宅PCに設定する人は珍しくないというか、
DNS設定を自動取得するのがあたりまえになる前はそうするのが常識だった。
が、さくらのようなレン鯖屋のキャッシュサーバをわざわざ自宅PCに設定するのは
昔も今も奇特な一部の人のみ。
同列で比較するのはアレなぐらいにISPの方が影響範囲がデカい。
最近流行ってるのかなぁ (スコア:4, 興味深い)
中国を発信元とする再帰問い合わせ可能なDNS サーバの探索行為の増加について
http://www.npa.go.jp/cyberpolice/topics/?seq=12275 [npa.go.jp]
Re: (スコア:0)
fail2banでnamedも対象にした方がいいかな。あいつらブロックするの楽しいしw
Re: (スコア:0)
TXTレコードで天安門事件がどうとか返したら金盾がブロックしてくれないだろうか?
Re: (スコア:0)
効果あるよ。やってみ。
BB.excite 等はどうなる? (スコア:2, 興味深い)
IIJ の説明では、BB.excite 等の IIJ をバックボーンとしている ISP でも利用できなくなると解釈することもできそうです。
一方、現在 BB.excite では、今回の発表の対象である 210.130.0.1、210.130.1.1 を利用するよう案内しています。
http://support.excite.co.jp/app/answers/detail/a_id/284/ [excite.co.jp]
どうなることやら。
Re:BB.excite 等はどうなる? (スコア:2, 参考になる)
http://techlog.iij.ad.jp/archives/718#footnote_1_718 [iij.ad.jp]
IIJはいくつかのISPに接続サービスをOEM提供しています。これらのISPはIIJブランドではありませんが、IIJと同じDNSサーバをご利用頂くように案内している場合もあります。ですので、「IIJを使っていないはずなのにIIJのDNSサーバのアドレスが書いてある」からといって、それが間違った設定ではないケースもあります。お手数ですが、それぞれご利用中のISPのマニュアルを参照頂くようにお願いいたします。
Re: (スコア:0)
完全に見落としていました。ご指摘ありがとうございます。
JPCERTも (スコア:1)
http://jvndb.jvn.jp/ja/contents/2013/JVNDB-2013-000087.html [jvndb.jvn.jp]
おーぷんりぞるば自体が脆弱性として見なされてきてるんですね
Re:JPCERTも (スコア:1)
ホームルーターではWAN側からのDNS問い合わせに返事してはいかん
https://twitter.com/OrangeMorishita/status/377709518811308034 [twitter.com]
Re:JPCERTも (スコア:5, 参考になる)
実際問題として世の中に存在するオープンリゾルバのほとんどは家庭用ルータと目されています。
ISP の提供しているキャッシュDNSサーバとかは数的には誤差程度の影響しかないし、
必要ならば Google の 8.8.8.8 のように(対策した上で)正式なサービスにすることも可能なはずなんだけど、
一方で ISP としては、今後顧客に「家庭用ルータの対策して」と啓蒙していかなければならい立場でもあり、
顧客から「お前のとこにもオープンリゾルバ有るじゃん」とか返された辛いので、止めざる得ない方向なんです。
ということで、ここ読んでる人たちも家庭用ルータや自宅サーバなどの対策ができてるか確認して欲しい。
Re: (スコア:0)
啓蒙でなんとかなるレベルの話とはとても思えないんだが。OP53Bでいいだろ
Re: (スコア:0)
元記事のブログ読んでも、そうは読み取れないけれど。実際、あの倍以上に増えている部分がアタックに利用されているわけでしょ?
Re: (スコア:0)
ここに挙げられているメーカーの機器をホームルーターとみなすのは少しかわいそうな気が。
本来はローエンドエンタープライズ向けの機器で、SIer、もしくは「分かった」人が扱う機器だし。
(ハイアマが背伸びしてRTXやIXを使いたがるのは分からなくも無いけど)
IIJのDNSって優秀なの? (スコア:0)
一般的には8.8.8.8だと思ってるけど#魔法の数字
Re:IIJのDNSって優秀なの? (スコア:3, 参考になる)
「210.130.1.1 魔法」で検索したら、8888や他ISPと比較して、「IIJ最強」と書かれている2chまとめブログが出てきた。
http://tundaowata.info/?p=14410 [tundaowata.info]
Re:IIJのDNSって優秀なの? (スコア:2, 参考になる)
既に老害の域に達してる元エンジニアだけど、昔は相対的に優秀だった。
未だに8.8.8.8より202.232.2.xxを打ってしまう。
Re:IIJのDNSって優秀なの? (スコア:1)
Re: (スコア:0)
絶対評価はしようがないよね?
Re: (スコア:0)
児童ポルノブロックという名目でDNSを書き換えてるからIIJユーザでも使わないレベル
Re: (スコア:0)
ベンチ測ればわかるけど実際大したこと無い
Re: (スコア:0)
8.8.8.8って、日本からのアクセスか判別して適切なCDNに繋がるのでしょうか?
その点IIJだと日本からのアクセスなのが自明ですし早くなってもおかしくないかも。
Re:IIJのDNSって優秀なの? (スコア:3, 参考になる)
タレこみの記事と同じひとの個人ブログに2011年ぐらいからgoogle dnsがちゃんと国内のルーティングを返すようになったとなっている。
http://ya.maya.st/d/201109b.html#d20110916 [ya.maya.st]
ただ、IIJだとネットワーク内部にakamaiのCDNとかがいるだろうからIIJのほうがさらに最適化されているだろうね。
Re:IIJのDNSって優秀なの? (スコア:2)
anycastしてるのでネットワーク上の近い場所にあるDNSサーバーが応答してる筈です。
#RFC3258参照のこと
Re:IIJのDNSって優秀なの? (スコア:3, 参考になる)
DNS自体の応答でなく、その応答内容が日本国内向けかという話だったのです。
#2465228 [srad.jp]で触れてるようなAkamai [wikipedia.org]のようなCDNの場合ですね。
極端な話、日本国内にサーバーが有るのに、何故かヨーロッパのサーバーにアクセスするので遅くなるみたいな事が起きます。
8.8.8.8で返すデータを何処のIPアドレスから収集するかで経路が変わるのです。
で、今確認したらIIJのDNSサーバーでwww.asahi.comを引いたところ最もpingが速く、TTLも大きい経路になりました。
試行回数一回では少なすぎますし、結果に揺れは有るとは思いますが一例として。
Biglobe(※ブロードバンドルータのDNS Proxy経由)
IIJ
Google
Re: (スコア:0)
Googleは覚えやすいだけで、もっと速いのはいくらでもある。
Re: (スコア:0)
ところで、8.8.8.8もDNS amp攻撃の踏み台として利用されているってことで良いのかな?
Re: (スコア:0)
namebenchでリストアップされたから気にせず設定して使ってた。
あまり関係ないこと (スコア:0)
ストーリ見たとき福岡大のNTPサーバの話を思い出したけど、あまり関係ないか。
Re: (スコア:0)
こまけぇこたぁいいんだよ。
話の幅が広がるんだから。帯域問題なのか、DNS鯖の性能問題なのか。
こんなの当然じゃん (スコア:0)
今まで提供してたことの方が驚きですよ。
危険性以外の部分を考えても、その提供はボランティアだったの?
それに、自分の加入してるISP外のDNSサーバーを指定するのは何か意味があるの?
(テストは除くとして、早さとかのメリットがあるのかな)
Re:こんなの当然じゃん (スコア:2, 興味深い)
本当につい先日、OCNのDNSが落ちて、パニックになってました。
ISPが提供してるプライマリ、セカンダリがどっちも同じドメインにあると、冗長度をかせげないってことはあるかもと思った出来事でした。
その時は、Twitterで8.8.8.8に切り替えろといったRTが飛び交っていたらしいですよ。
セカンダリは別ISPのDNS使うってのは、前から「念のため」のTIPSとして結構見た気がします。
Re:こんなの当然じゃん (スコア:1)
「オープンリゾルバ根絶に向けての取り組み」のリンク先を読んでみなよ。
相互扶助の精神が崩れ去ったという悲しい話なんだけどなあ。
Re:こんなの当然じゃん (スコア:1)
感傷的に言えばそういうことになるでしょうが、
たとえば学生が社会に出て、責任ある大人として振舞うことを
求められるようになった、そう捉えてもいいんじゃないでしょうか。
(まぁ今は学生にも厳しく社会的責任を求める時代ですが、それはそれとして)。
世界に悪意が遍在しているのは今に始まったことではないのですから、
ITが社会のインフラとしての重要性が増す過程においては、当然通らざるを得ない道です。
Re: (スコア:0)
本来ならパブリックドメインという社会に出て、責任あるクライアントとして振る舞ってくれていれば制限する必要がないのですよ。
そういう大人としての振る舞いを求めていたがルールを守らないものが多すぎて強制力をもってあたるしかなくなったわけですよね。
昨今であれば小学校に自由に出入りできなくなった事に似ている気がします。
Re: (スコア:0)
なんちゅうかその、「昔はよかった」「悪人がいなければ問題はない」的な
平和な世界が消えてしまって、寂しい気持ちは分からないではないですけど。
こちらからすれば、やっと目を覚ましてくれたか、って気分ですね。
理解ある大人同士の世界でしか通用しないものなんて、所詮各自が自分で責任を
持てる範囲でしかないこと、つまり遊びです。
遊びは素晴しいですけど、他人に対して責任あるサービスを提供するのは
もっと困難で、それ故に素晴しいことでしょう。
Google嫌いの方のオープンリゾルバ (スコア:0)
http://www.opennicproject.org/ [opennicproject.org]
Give me the numbers, I know what I’m doing! Your nearest DNS servers are: 106.186.17.181 (JP) 118.88.20.195 (WA, AU)
日本にも鯖があるようです。