MoinQ:

1. DNS/歴史/2012


今年はDNS関連の問題がいろいろ表面化した。 (恒例のBIND祭りについては書きません。書けません。)

DNS/脆弱性/GhostDomainNames DNS/毒盛/fragmentation

DNS/脅威/共用ゾーンサービス さくらでの発見

/お名前と忍者 レジストラによる乗取 (その後のzohoなども)

ICANNをはじめとするDNS業界の腐敗がよく見えた年だった。

入門のはずがとてもむずかしいチュートリアルのあったセミナーもあった。

2011年の「浸透いうな」、「浸透都市伝説」に続き、 新年すぐに幽霊ドメイン名脆弱性が報告された。

BINDでの再現性を確かめているうちに、さくら共用DNSの問題に気づいた。 DNSの根幹にからむ問題であった。

いまも解決していない。無謀なサービスと言える。

1.1. DNS(検索)は結果がすべて

設定者が設定した意図どおりに検索結果が返らないものは間違いである。

1.2. Ghost Domain Names

DNS/脆弱性/GhostDomainNames

「浸透いうな」話を理解していれば、すぐに問題点は理解できたはずだ。

レジストラなどに強制削除されてもキャッシュされたドメイン情報を居座りさせる方法

ISCがいうには「DNSプロトコルの欠陥で高レベルの脆弱性である」。すぐには修正できないと言っていた。

分からなかったのは、BINDの振る舞いだ。どういうデータを与えると幽霊が残るのか。

おかげで、浸透問題がDNS権威サーバの移転手順の問題ではないことがはっきりした。

非協力的運用者が問題になるのはDNSSEC対応サーバの移転の場合だ。

1.3. 共用DNS権威サーバの危うさ

DNS/共用ゾーンサービス/さくら ードメイン登録)を発見して、田中社長に通知したが、なかなか治らない。(4月初旬)

ドメインメニューにおける仕様変更のお知らせ http://support.sakura.ad.jp/mainte/newsentry.php?id=7585

   ドメインメニューからゾーンを追加する際、既に異なる会員IDで下位ゾーン(※)
      が登録されている場合は、ゾーンの追加ができなくなります。

2012年06月08日(金)

6月初めに確認していたら、サブドメイン登録までできるという不良を発見した。

さくら運用の問題: ドメイン(ゾーン)登録時に持ち主かどうかの確認をしていない。

使っているサーバの問題: 委譲されていないのに委譲されているかのごとく不正なドメイン(ゾーン)を受け入れる実装

さくら広報の問題: 問題点を理解しているとは思えないお知らせ。(きちんと説明できる技術者がいないのだろう。)

ドメイン所有者の管理のずさんさにはあきれる。原野商法で売りつけられたドメインだからかも。

DNS/サービス/関連ページ

21-domain.com がダメダメという件: tss/To_Maeno/2012-06-23 (アクセス制限)

tss (2012-10-12 16:38) http://www.e-ontap.com/blog/20120701.html DNS Summer Days 2012 http://dnsops.jp/event20120831.html において、

一方で、Marverick は新規申し込みを停止しました。こちらのほうが誠実でしょう。

DNS Summer Days 2012 のさくら社長の講演の記録は公開されていないらしい。(記録がないのかも)

それにしても、お知らせで書いたことが守れないのであれば、訂正なり代案を出すなりすべきです。 -- ToshinoriMaeno 2012-11-25 01:27:40

DNS/サービス/dozens 対応がダメダメだった。(言っていることが信用できない)

1.4. お名前.comレジストラによる忍者ドメインの乗っ取り

DNS/お名前と忍者

レジストラが権限を逸脱したように見えるのに、レジストリであるJPRSがなんのアクションもしないという不思議よ。

安全を宣伝するJPRSがなにもしないのはJPドメインの価値が他のTLDドメインと変わらないことを示した。

1.5. 原野商法としての gTLDや都道府県型JPドメイン

実世界のブランドに寄生するドメイン業者(ICANN)

Internet/ガバナンス

共用DNSサービスに深刻な影響を与えるだろう。

gTLDレジストリとしてまともに運用ができる業者がどれだけあるのだろう。

1.6. query source port 固定リゾルバー

利用者に対して警告表示したのが効果を示したかどうかは疑問だが、 ポート固定リゾルバーは減少しているようなので、qmail.jp では警告表示をやめた。

ただし、DNS(権威)サーバでは返答をしないこととした。 そして、権威サーバとは兼用でないことを確認できたものはドメイン名を公表することとした。 -- ToshinoriMaeno 2012-11-25 11:27:47

source port 53 のものにうっかり返事をするとDoSに利用される。返答しないのがよい。

友人の使っていたリゾルバーがport 固定だった。:-<

1.7. レジストラが乗っ取られた

1.7.1. ie TLD

joomla の不良だそうだ。

On Nov. 9, the .IE Domain Registry (IEDR) issued a statement saying that 
the incident was the result of hackers exploiting a vulnerability in the registry’s website.

1.7.2. google.com.pk などのDNSレコードが書き換えられた

PKNICに侵入されて、ゾーンが書き換えられたらしい。PKNICの報告

1.7.3. google.ro などのDNSレコードが書き換えられた

8.8.8.8, 8.8.4,4 で発覚したらしいが、OpenDNS などにも偽サイトのAレコード。 11/27 ? -- ToshinoriMaeno 2012-11-30 04:10:40

ro ISPではhijackを観察していないとの記事もある。レジストリではないのかも。

1.8. facebook.com DNS エラー

一部で使えなくなったのか、DNSの修正の間違いだったという説明だが、よく分からない。

1.9. tumblr.com DNS

こっちはネットワークのトラブル対策でDNSが利用されたということらしい。

1.10. DNS エラー

twitter で 「DNSエラー」 という悲鳴を見かけたので、調べてみた。

1.11. 512 バイト越え問題

DNSエラーのなかにはiOSのダウンロードができないという話と類似のものがあった。

http://iphone.apple-stream.com/ios-5-1_dns_trouble/

ブロードバンドルータに 512byteを越える応答が扱えない障害を抱えています。
あるいは ISP の DNSキャッシュサーバが TCP や EDNS0 に対応していない可能性も排除できません。
途中のネットワークに TCP 53 をフィルターするファイアウォールが入っている可能性もあります。

1.12. FBIがDNS Changer対策用代替サーバーの運用を終了

さっさと止めるべきだったと思う。

MoinQ: DNS/歴史/2012 (last edited 2022-04-19 23:54:20 by ToshinoriMaeno)