パスワードを忘れた? アカウント作成
10774499 story
Google

Google Public DNS(8.8.8.8)がBGPハイジャックされる 45

ストーリー by hylom
悪用されると色々と影響が大きそうだ 部門より

Googleが「8.8.8.8」というIPアドレスで公開しているDNSサーバーであるGoogle Public DNSが、BGPハイジャックを受けたようだ(Geekなページ)。

「ベネズエラにあるAS7908(BT LATAM Venezuela,S.A.)が8.8.8.8/32を広告したことが原因」だという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by gyokuto (45996) on 2014年03月19日 12時51分 (#2565832)

    結局のところ、ブラジルとベネズエラで の問題なんですよね?

    日本は今回の影響範囲外だし;
    GoogleDNSが撤退したことにつけこんでの攻撃だから、日本からの撤退がなければ 今後の心配もしなくて大丈夫;
    と ソースを理解したんですが。

    既に他の※指摘がありますが、タレコミ本文では 影響範囲が判断できなかったので。

    • by Anonymous Coward

      イタリアのベネズエラは?

    • by Anonymous Coward

      その通りです。
      日本のインターネットは完璧なセキュリティを誇りますので
      今後もBGPハイジャックによる被害は絶対に発生しませんのでご安心ください。

  • by Anonymous Coward on 2014年03月19日 8時31分 (#2565685)

    まぁよくある話だよねというのはおいといて、
    ではユーザ側がとれる対策としてなにかあるのかということで
    例えばgoogleのDNSより使用しているISPのDNSだとより安全だろうか?
    その他方法があれば聞いてみたい。

    • by Anonymous Coward on 2014年03月19日 10時30分 (#2565744)

      hostsに全部書いておこう

      親コメント
      • いちいちhostsに書くのは大変なので、
        hostsになかったらインターネット上から自動で取得して書き込むツールを作ろう。
        あ、でも、IPアドレスが変更になってたら困るので、
        hostsにあってもある程度古くなったら取得なおしたほうがいいな。

        ・・・あれ?

        親コメント
    • by Anonymous Coward

      > 例えばgoogleのDNSより使用しているISPのDNSだとより安全だろうか?

      ISPにもピンからキリまであるので一概には言えないけど、適切に運用されたISPのDNSサーバが安全だよね。
      適切に運用されてはいないISPのDNSサーバならば、Googleの8.8.8.8のほうがマシだけど。

      CDNはDNSの問い合わせてきた接続元のIPアドレスから、近い場所にあるサーバのIPアドレスを返すことで最適化してたりするので、Googleの8.8.8.8をメインで使うっていうメリットがよくわからないんだけど。

      • Googleの8.8.8.8をメインで使うっていうメリットがよくわからないんだけど。

        Google が利点として挙げている [google.com]のは、

        (1) 多数の要求をさばくのでキャッシュが効いて ISP の DNS サーバーより速いかも
        (2) DNS ポイズニングや DoS 攻撃等、セキュリティー上の問題にいろいろ対処してあるので安全
        (3) ISP の中には、ドメイン名が見つからないときに正しく NXDOMAIN を返さず、広告表示用のウェブサーバーにリダイレクトするような DNS サーバーを提供しているところもあるけれど、うちはそういうことしない

        らしい。上の説明はてきとうなので、ちゃんとしたことはリンク先参照。

        親コメント
        • 何かトラブルが合った時にISPの障害情報よりもニュースとして目に入りやすいというのも良い気がします。

          ツイッターで話題になったり、こうしてスラドに載ったりもしますし。

          親コメント
        • by Anonymous Coward

          Google固有の話はなにもないなあ。あえていえば(1)だけど、速度なんて結局サーバのキャパシティとリクエスト量の比によるものだし。
          つきつめれば、Googleブランドを信じるかどうかの話だよね。

        • by Anonymous Coward

          1.多数の要求をさばくのでマイナーなところはキャッシュからすぐに消え、遅いってこと?
          2.Googleの方が上だ、信じろってこと?
          3.広告表示がなく無料なのでやめるかもしれないってこと?

        • by Anonymous Coward

          (1)だと、キャッシュからの応答は速いかもしれないですが、遠いGoogleのDNSサーバまで問い合わせる分、微妙だと思います。
          8.8.8.8がどこにあるのかわかりませんが。
          また、AkamaiみたいなCDNは遅くなるので、速さはメリットとしては、少なくとも日本では弱いと思います。

          (2)については、8.8.8.8が汚染されるのは防げてるとしても、8.8.8.8を利用しているクライアントは毒入れから守れているかはわからないです。
          8.8.8.8からの応答を偽装したパケットが世界中に流されている場合、いつか当たるかもしれません。
          Googleが凄い技術で守ってるのかもしれませんが、そんな技術があるなら皆使うべき。

          (3)はそういうところもある、というだけですね。

          • by Anonymous Coward on 2014年03月19日 20時58分 (#2566152)

            ただの推測ですが、日本国内から 8.8.8.8 に ping すると RTT が40ms弱ということから、パケットは少なくとも太平洋を渡っておらず、またアメリカ国内にもデータセンターの拠点はあるだろうということを踏まえると流石にエニーキャストの仕組みくらいは整えてあるんじゃないかと思っています。少なくとも日本国内からのリクエストに応答するサーバは(国内にはないかもしれないけど)それほど遠くにあるというわけでもないようです。

            親コメント
        • by Anonymous Coward

          (4) 見返りとして通信内容は利用させてもらうけどね

          が抜けてますよ

    • 自分の使ってるISPのDNSへの経路にBGP使ってる部分がありますかというお話に帰着します。

      ISP次第ですが普通は外をわざわざ通さないので比較すれば安全ですね。

    • by Anonymous Coward

      ISPのDNSだって児童ポルノブロッキングの名のもとに何やっているのかわからないし、途中でアドレス変換されている可能性まで考えれば、何を信用すればいいのかわからないのが、今のインターネットです。DNSSECも存在しているものが正しいかどうか確認できるだけで、ブロックして存在しないことにするなら無力です。ISPのDNSキャッシュを使わずに、ローカルに独自に設置したDNSキャッシュを使用しているから安全だなんて言うのも、独りよがりな話です。

      結局、ブロッキングやフィルタリングされている可能性があるということを考慮したうえで使っていくしかないのかもね。

    • by Anonymous Coward

      自分で立てる。
      はい解散。

      • by Anonymous Coward

        自分で立てる。

        ブロードバンドルーターですね、わかります。

        • by Anonymous Coward

          ルータでは怪しいので、ルータの内側のプライベートアドレスを持ったサーバを置くのがいいです。
          NATにしておけば、外部からキャッシュポイズニングなんかはほとんど受けません。

          インターネットに無駄なDNSトラフィックが増えちゃいますが。

    • by Anonymous Coward

      自分でフルリゾルバ立てろ

    • by Anonymous Coward

      unboundを使ってるのは/.-Jで俺一人だけか

  • 家のが8.8.8.8のまんまだ〜
    いずれそういう被害が出るんだろうか?

    • by Anonymous Coward

      この件による被害は確認されておりません(コピペ)

    • by Anonymous Coward

      「直ちに影響はない」

  • hylomさんはさぁ (スコア:0, フレームのもと)

    by Anonymous Coward on 2014年03月19日 11時00分 (#2565772)

    誤字とか人のタレこみの整合性チェックとかのミスで鬼の首でも取ったように責めるのは酷いと思いますが、
    ご自分で書かれるストーリーのリンク先の1行目位読みましょうよ。
    > ブラジルとベネズエラのネットワークで、Google Public DNSが運用されている8.8.8.8が、
    > 最大22分間BGPハイジャックされたとBGPmonがTwitterで表明しています。
    「ブラジルとベネズエラのネットワークで」の部分が抜けるとインパクトが違いすぎませんかね?
    こう言う、技術系の話題でアクセス数を集めるためにわざと削除したのでしたら、流石に軽蔑します。

    # 後、ちゃんと書いてあるタレこみを自分の思想で改変するのも辞めて欲しいです
    # 人が亡くなった記事でApple擁護の為にタレこみの文章を改変してあったのは嫌悪で鳥肌立ちましたよ

    それとリンク先によると
     ブラジルで国民データ流出禁止と言う法律⇒Google Public DNSが撤退
    のせいでハイジャックしやすくなったのかも?と言うような興味深い事が書いてあります。

  • by Anonymous Coward on 2014年03月19日 11時06分 (#2565780)

    AS番号っていうのがあってね、そもそもインターネットっていうのは・・・
    なんと個人でAS番号もっている人もいるという・・・

    みたいなことをドヤ顔で語りだすオッサンがでてきそうな予感。
    ああ前者は意味あるか。いきなりIPアドレスだもんな。
    そういや数年前にも偽広告が出て問題になってなかったっけ。そんときも中南米だったような。

    • by Anonymous Coward

      そういう人が先輩、上司でよくいました。
      毎回知らないふりしてウンウンうなずいてりゃ上機嫌だったので扱いやすい人でしたよ

  • by Anonymous Coward on 2014年03月19日 11時53分 (#2565802)

    「8.8.8.8 は私のアドレスです。勝手に使わないでください」

    • by Anonymous Coward on 2014年03月19日 13時22分 (#2565858)

      完全におふとぴだけど
      中国系の8の連番を好む層が
      買い取ってなかったのが意外だよねぇ

      親コメント
      • by Anonymous Coward

        ちなみに、1.1.1.1 は、オーストラリアの組織のどこかで、
        2.2.2.2は、フランスのどこか?
        3.3.3.3は、おお、General Electric なんだ。

        #0.0.0.0は、誰のものなんだろう?

        • by Anonymous Coward

          0.~のは予約済みのアドレスなので使えないアドレスかと

        • by Anonymous Coward

          0.0.0.0は私のものなので(ry

        • by Anonymous Coward

          0.0.0.0は、ネットワークを示すアドレスだから、誰も使えない。

  • by Anonymous Coward on 2014年03月19日 13時04分 (#2565848)

    IP 8.8.8.8が違う経路誘導されるってだけで、
    DNSはたまたまそのアドレスで運用されてただけだよね?

    • by SteppingWind (2654) on 2014年03月19日 17時36分 (#2566036)

      乗っ取られていたのは, どこぞのルータって言うか, 一般的な経路詐称の問題ですよね.

      となると, 必要なのは接続した相手が本物かどうかを検証することですから, 例えばDNSSECとかを使えば対処できるかな?

      親コメント
typodupeerror

日々是ハック也 -- あるハードコアバイナリアン

読み込み中...