Googleが「8.8.8.8」というIPアドレスで公開しているDNSサーバーであるGoogle Public DNSが、BGPハイジャックを受けたようだ(Geekなページ)。「ベネズエラにあるAS7908(BT LATAM Venezuela,S.A.)が8.8.8.8/32を広告したことが原因」だという。
影響範囲は (スコア:3)
結局のところ、ブラジルとベネズエラで の問題なんですよね?
日本は今回の影響範囲外だし;
GoogleDNSが撤退したことにつけこんでの攻撃だから、日本からの撤退がなければ 今後の心配もしなくて大丈夫;
と ソースを理解したんですが。
既に他の※指摘がありますが、タレコミ本文では 影響範囲が判断できなかったので。
Re: (スコア:0)
イタリアのベネズエラは?
Re: (スコア:0)
その通りです。
日本のインターネットは完璧なセキュリティを誇りますので
今後もBGPハイジャックによる被害は絶対に発生しませんのでご安心ください。
ユーザが設定すべきDNSは (スコア:0)
まぁよくある話だよねというのはおいといて、
ではユーザ側がとれる対策としてなにかあるのかということで
例えばgoogleのDNSより使用しているISPのDNSだとより安全だろうか?
その他方法があれば聞いてみたい。
Re:ユーザが設定すべきDNSは (スコア:3, おもしろおかしい)
hostsに全部書いておこう
Re:ユーザが設定すべきDNSは (スコア:2)
いちいちhostsに書くのは大変なので、
hostsになかったらインターネット上から自動で取得して書き込むツールを作ろう。
あ、でも、IPアドレスが変更になってたら困るので、
hostsにあってもある程度古くなったら取得なおしたほうがいいな。
・・・あれ?
Re: (スコア:0)
> 例えばgoogleのDNSより使用しているISPのDNSだとより安全だろうか?
ISPにもピンからキリまであるので一概には言えないけど、適切に運用されたISPのDNSサーバが安全だよね。
適切に運用されてはいないISPのDNSサーバならば、Googleの8.8.8.8のほうがマシだけど。
CDNはDNSの問い合わせてきた接続元のIPアドレスから、近い場所にあるサーバのIPアドレスを返すことで最適化してたりするので、Googleの8.8.8.8をメインで使うっていうメリットがよくわからないんだけど。
Re:ユーザが設定すべきDNSは (スコア:3)
Google が利点として挙げている [google.com]のは、
(1) 多数の要求をさばくのでキャッシュが効いて ISP の DNS サーバーより速いかも
(2) DNS ポイズニングや DoS 攻撃等、セキュリティー上の問題にいろいろ対処してあるので安全
(3) ISP の中には、ドメイン名が見つからないときに正しく NXDOMAIN を返さず、広告表示用のウェブサーバーにリダイレクトするような DNS サーバーを提供しているところもあるけれど、うちはそういうことしない
らしい。上の説明はてきとうなので、ちゃんとしたことはリンク先参照。
Re:ユーザが設定すべきDNSは (スコア:2)
何かトラブルが合った時にISPの障害情報よりもニュースとして目に入りやすいというのも良い気がします。
ツイッターで話題になったり、こうしてスラドに載ったりもしますし。
Re: (スコア:0)
Google固有の話はなにもないなあ。あえていえば(1)だけど、速度なんて結局サーバのキャパシティとリクエスト量の比によるものだし。
つきつめれば、Googleブランドを信じるかどうかの話だよね。
Re:ユーザが設定すべきDNSは (スコア:2)
Google 特有の話があるかどうかは知らないけど、
あなたは (1) に書いてあることを理解していないような気がする。
Re: (スコア:0)
1.多数の要求をさばくのでマイナーなところはキャッシュからすぐに消え、遅いってこと?
2.Googleの方が上だ、信じろってこと?
3.広告表示がなく無料なのでやめるかもしれないってこと?
Re: (スコア:0)
(1)だと、キャッシュからの応答は速いかもしれないですが、遠いGoogleのDNSサーバまで問い合わせる分、微妙だと思います。
8.8.8.8がどこにあるのかわかりませんが。
また、AkamaiみたいなCDNは遅くなるので、速さはメリットとしては、少なくとも日本では弱いと思います。
(2)については、8.8.8.8が汚染されるのは防げてるとしても、8.8.8.8を利用しているクライアントは毒入れから守れているかはわからないです。
8.8.8.8からの応答を偽装したパケットが世界中に流されている場合、いつか当たるかもしれません。
Googleが凄い技術で守ってるのかもしれませんが、そんな技術があるなら皆使うべき。
(3)はそういうところもある、というだけですね。
Re:ユーザが設定すべきDNSは (スコア:1)
ただの推測ですが、日本国内から 8.8.8.8 に ping すると RTT が40ms弱ということから、パケットは少なくとも太平洋を渡っておらず、またアメリカ国内にもデータセンターの拠点はあるだろうということを踏まえると流石にエニーキャストの仕組みくらいは整えてあるんじゃないかと思っています。少なくとも日本国内からのリクエストに応答するサーバは(国内にはないかもしれないけど)それほど遠くにあるというわけでもないようです。
Re: (スコア:0)
(4) 見返りとして通信内容は利用させてもらうけどね
が抜けてますよ
Re:ユーザが設定すべきDNSは (スコア:4, 参考になる)
適切ではない運用をしているISPのDNSサーバのチェックは外部からある程度は可能ですけど、適切な運用をしているかなんてことは外部からはなかなかわからない。
確実な判断はそのISPに聞くしかないので、ここに聞くより自分が使っているISPに聞くべきことでしょう。
ある程度の判断をしたいなら、ちょっとググっただけでいろいろチェックサービスが出てきます。
DNSサーバが十分な乱数性をもっているかチェック [dns-oarc.net]してくれるDNS-OARCのサービスは、偽装パケットによるキャッシュポイズニングへの耐性が確認できます。
Open Resolver Test [measurement-factory.com]では、そのまま名前の通り、オープンリゾルバになっていないかチェックしてくれます。
何度もいいますが、ダメなDNSサーバを外部からチェックするのは簡単ですが、ダメじゃないかどうかなんてISPの内部構成次第なのでわかりようがない。
Googleの8.8.8.8だって、Googleが安全だって言ってるだけで、何で安全なのか理解している人はどれくらいいるでしょうか?
ところで、自分が期待した答えじゃなかったからといって無礼な返事を返すようでは、人に質問や助けを求める資格は無いので、黙ってたほうがいいと思います。
離島の場合はどうなってるんだろう? (スコア:0)
自分の使ってるISPのDNSへの経路にBGP使ってる部分がありますかというお話に帰着します。
ISP次第ですが普通は外をわざわざ通さないので比較すれば安全ですね。
Re: (スコア:0)
ISPのDNSだって児童ポルノブロッキングの名のもとに何やっているのかわからないし、途中でアドレス変換されている可能性まで考えれば、何を信用すればいいのかわからないのが、今のインターネットです。DNSSECも存在しているものが正しいかどうか確認できるだけで、ブロックして存在しないことにするなら無力です。ISPのDNSキャッシュを使わずに、ローカルに独自に設置したDNSキャッシュを使用しているから安全だなんて言うのも、独りよがりな話です。
結局、ブロッキングやフィルタリングされている可能性があるということを考慮したうえで使っていくしかないのかもね。
Re: (スコア:0)
自分で立てる。
はい解散。
Re: (スコア:0)
自分で立てる。
ブロードバンドルーターですね、わかります。
Re: (スコア:0)
ルータでは怪しいので、ルータの内側のプライベートアドレスを持ったサーバを置くのがいいです。
NATにしておけば、外部からキャッシュポイズニングなんかはほとんど受けません。
インターネットに無駄なDNSトラフィックが増えちゃいますが。
Re:ユーザが設定すべきDNSは (スコア:2)
安心は安全に勝るのです
Re: (スコア:0)
自分でフルリゾルバ立てろ
Re: (スコア:0)
unboundを使ってるのは/.-Jで俺一人だけか
ハイジャックされたのは分かったけど、偽サイト誘導等の被害は出てるの? (スコア:0)
家のが8.8.8.8のまんまだ〜
いずれそういう被害が出るんだろうか?
Re: (スコア:0)
この件による被害は確認されておりません(コピペ)
Re: (スコア:0)
「直ちに影響はない」
hylomさんはさぁ (スコア:0, フレームのもと)
誤字とか人のタレこみの整合性チェックとかのミスで鬼の首でも取ったように責めるのは酷いと思いますが、
ご自分で書かれるストーリーのリンク先の1行目位読みましょうよ。
> ブラジルとベネズエラのネットワークで、Google Public DNSが運用されている8.8.8.8が、
> 最大22分間BGPハイジャックされたとBGPmonがTwitterで表明しています。
「ブラジルとベネズエラのネットワークで」の部分が抜けるとインパクトが違いすぎませんかね?
こう言う、技術系の話題でアクセス数を集めるためにわざと削除したのでしたら、流石に軽蔑します。
# 後、ちゃんと書いてあるタレこみを自分の思想で改変するのも辞めて欲しいです
# 人が亡くなった記事でApple擁護の為にタレこみの文章を改変してあったのは嫌悪で鳥肌立ちましたよ
それとリンク先によると
ブラジルで国民データ流出禁止と言う法律⇒Google Public DNSが撤退
のせいでハイジャックしやすくなったのかも?と言うような興味深い事が書いてあります。
Re: (スコア:0)
なんか最近リンクだけのタレコミが増えてきた気がする
そろそろ (スコア:0)
AS番号っていうのがあってね、そもそもインターネットっていうのは・・・
なんと個人でAS番号もっている人もいるという・・・
みたいなことをドヤ顔で語りだすオッサンがでてきそうな予感。
ああ前者は意味あるか。いきなりIPアドレスだもんな。
そういや数年前にも偽広告が出て問題になってなかったっけ。そんときも中南米だったような。
Re: (スコア:0)
そういう人が先輩、上司でよくいました。
毎回知らないふりしてウンウンうなずいてりゃ上機嫌だったので扱いやすい人でしたよ
誰か書くかな (スコア:0)
「8.8.8.8 は私のアドレスです。勝手に使わないでください」
Re:誰か書くかな (スコア:1)
完全におふとぴだけど
中国系の8の連番を好む層が
買い取ってなかったのが意外だよねぇ
Re: (スコア:0)
ちなみに、1.1.1.1 は、オーストラリアの組織のどこかで、
2.2.2.2は、フランスのどこか?
3.3.3.3は、おお、General Electric なんだ。
#0.0.0.0は、誰のものなんだろう?
Re: (スコア:0)
0.~のは予約済みのアドレスなので使えないアドレスかと
Re: (スコア:0)
0.0.0.0は私のものなので(ry
Re: (スコア:0)
0.0.0.0は、ネットワークを示すアドレスだから、誰も使えない。
DNS関係無くない? (スコア:0)
IP 8.8.8.8が違う経路誘導されるってだけで、
DNSはたまたまそのアドレスで運用されてただけだよね?
Re:DNS関係無くない? (スコア:2)
乗っ取られていたのは, どこぞのルータって言うか, 一般的な経路詐称の問題ですよね.
となると, 必要なのは接続した相手が本物かどうかを検証することですから, 例えばDNSSECとかを使えば対処できるかな?