浸透いうな (浸透待ちは時に危険)
@tss_ontap_o
Followers
2,722
Following
3
Media
533
Statuses
12,841
Explore trending content on Musk Viewer
FEMA
• 2277863 Tweets
North Carolina
• 1098201 Tweets
Dolly
• 64059 Tweets
#SmackDown
• 58491 Tweets
Release Now
• 36436 Tweets
Anda & Sky in Msia
• 27921 Tweets
Lakers
• 21331 Tweets
Oregon
• 18833 Tweets
#ParmarthiDiwas
• 15690 Tweets
Aces
• 15592 Tweets
Saint Dr MSG Insan
• 15078 Tweets
#GiveAttentionToThisToo
• 13367 Tweets
Kinger
• 12393 Tweets
Michigan State
• 10858 Tweets
鶴丸国永
• 10368 Tweets
Purple Heart
• 10279 Tweets
Pinned Tweet
浸透?を待たないためのドメイン名導入の適切な手順
1. 権威サーバにゾーンを設定し非再帰問合せで確認 (dig +norec @サーバ)
2. 設定済の権威サーバへレジストラを介して委任を向け
3. whois のネームサーバ情報を確認
4. 委任元サーバ (TLD) に非再帰問合せで確認
5. 手元や 1.1.1.1 等での確認は最後
2
90
276
Gmail 利用者は 2024 年 2 月 1 日以降、いろんなところからメールが届かなくなると思っておいた方が良いね。(今でも結構な割合で届かなかったり迷惑メールボックス行きになってると思うけれど)
10
651
2K
踏み台である私のサーバから見ると攻撃元は乗っ取られたパソコンのボットじゃなくて多数の Linux サーバなんですよね。一部を死活監視してみたらグラフのように安定している。まとめてクラックして乗っ取ったのか借り上げたのか。とにかく用意周到。
今起きてるDNS水責め、どこからどう考えてもおかしいんですよ。金目的だと説明がつかないレベルであちこちのボットから攻撃してる。ボットネットを作って売ってる犯罪組織からサービスとして買ってるなら、コスト度外視じゃないとおかしい。
0
148
395
1
473
1K
客「うちのドメイン名が一切引けなくなった。」
私「一週間前に何かしませんでしたか?」
客「使ってないサーバ捨てましたが関係ありますか?」
私「多分それ DNS のプライマリ権威サーバですよ。」
#夏だしフォロワーさんの怖い話教えてください
2
1K
921
攻撃元はほぼネット全域に渡っている。(ただしダウンを引き起こしている主要ノードは特定のデータセンターに集中)
そして攻撃先も千差万別、まさに絨毯爆撃の様相。何が目的なのだろう?
1
409
586
マルチエージェントシミュレータで DNS のキャッシュの動作を模擬してみた。パラメータは各キャッシュサーバへ 1 時間に10回以内のランダムアクセス。TTL は 600 秒。300秒で権威サーバの値を変更。キャッシュが入るサーバ、入らないサーバ、キャッシュが消えゆくサーバがある。これが浸透に見える?
2
178
387
GMO の例のネットde診断、サブドメイン探索でワイルドカードを見つけて延々とサブドメイン名を生成しつづけやがりました。おい。
1
133
330
TEPCO¥.CO¥.JP (東電) さん、4月に攻撃された後、自前のネームサーバを akam¥.net に切り替えたのは良いのだけれど、止めた自前 NS をゾーンデータから消すのを忘れている。4割 の確率で応答しない NS に当たる。原発も 4 割の確率で事故りそう。
2
103
298
8.8.8.8 は日本にあるけれど 8.8.8.8 の後ろで動いているリゾルバはシンガポールにあったりする。それに有名どころは偽物が発生しやすいから使うのはやめとけ。
DNSサーバの指定はISPにしたほうがネットが速い(便宜上の表現)っての、うーん理論上はそうかもだけど、なんかISPのサーバの応答がおかしいってよくあるし、今のパブリックDNSはIP Anycastつかって、近いリージョンがリゾルバになるからCDNとの相性問題も克服されてるし微妙な感じ
1
6
46
2
63
254
無能だな。浸透いうな。
@Lyuuta_Capoeira
これをDNSの浸透期間といい、弊社でも制御ができないものとなりますため、何とぞご理解賜りますようお願い申し上げます。
ご心配をおかけしておりますこと重ねてお詫び申し上げます。
2
110
106
2
92
223
ドメイン管理べからず集
1. ゾーンを作る前にドメイン名を登録してはいけない
2. ゾーンを作っていないところへドメインを移転してはいけない
3. ドメインを移転してすぐに古いゾーンを消してはいけない
4. 移転をツイートしてはいけない (浸透いうな)
※DNS を十分理解しないまま以上を怠ると危険
4
70
211
それは大体 DNS ではなくアプリケーションがキャッシュしてるから。場合によっては 30 日待つ羽目になる。
dns 浸透言うなってよく言われるが、実際TTLを1分にしてたとしてもIP変更後一時間経っても古いIPでアクセスしてくるのがいるんだよな。
0
1
10
1
40
202
呑んでたので今やっと見たけれど図が間違ってますね。説明はしたのだけれど、図を書くから待っててといったまま送らなかった私が悪いな。少なくとも数百台のデータセンタのサーバから大量のオープンリゾルバへクエリを送信し、それらから被害ドメインの権威サーバにそのクエリを中継するのが正解。
今年3月以降、企業や中央省庁、地方自治体のウェブサイトを狙った特殊なサイバー攻撃が頻発していることが29日、関係者への取材で分かりました。大量のデータを送り付けシステム障害を起こすDDoS攻撃の一種ですが、サイトの重要サーバーを狙った特殊な手法を使っていました。
0
34
33
1
123
197
サポートから許可を得たので注意喚起します。さくらインターネットの「ドメインメニュー」にはドメインハイジャックの運用上の脆弱性があります。この問題 はまだ解決していません。ゾーンを適切に設定、管理できていない場合、決して委任先をさくらに向けてはいけません。
5
160
154
ばーか、ばーか
"「サーバーを切り替えた」という情報がインターネットを通じて、世界のDNSサーバーへ徐々に浸透していき、情報がいきわたるまでの時間を浸透時間といいます。
階層のDNSキャッシュ更新が関係するため、一般的に浸透期間は最大72時間かかるとされています。"
1
37
135
さくらインターネットの VPS たちに毎日といって良いくらい送信元詐称パケットが飛び込んできています。DNS クエリなのでリゾルバを運用している人は気をつけてください。今のところは調査目的と見られますがいつでも水責めなどの攻撃は可能と思います。(ICMP も来ているけれど意図不明)
1
32
133
4/13 のフィンガープリント分析
287 os=Linux 2.2.x-3.x
1 os=Linux 2.2.x-3.x (no timestamps)
1 os=Windows NT kernel
6 os=Linux 3.11 and newer
7 os=???
送信元が ISP より データセンター事業者のほうが大多数であることからもわかる。
2
47
108
残念ながら NS の変更は委任のTTL が制御できないので、やるべきことは旧権威サーバで NS を新しい方に向けること。(切り戻しも同じ)
そしてそれ以外のゾーンデータをコピーして揃えることです。それを事前にも障害後にもサポートしてあげるべきなのをしていないのが問題。
1
26
108
攻撃手法を説明したがらないのは日本のセキュリティ界隈の悪い癖。まあ説明すると警察が捕まえにくるのでしょうがないのだろうね。私も黒塗りにしているし (これは皮肉)
1
22
106
謎電波だ!>
インターネットは突き詰めると、ある4つの企業が持っているネットワークの塊が相互接続しているだけのものなのでネットワーク的に絶対の存在が存在しません。
※ ちなみにこの4つのネットワークのうち、3つまではアメリカの企業で、残り1つはNTTになります。
2
33
96
DNS の浸透()なんて待つ必要はない。
権威サーバの応答と委譲の応答を非再帰問い合わせで確認、その後フラッシュした手元のキャッシュサーバで再帰検索してみる。それで十分。世界のどこかにあるかもしれない不良実装への反映を待つなんてことは無意味だし不可能。
1
24
85
さくらインターネットのデータセンターで動かしている DNS キャッシュサーバに隠れオープンリゾルバ狙いの詐称クエリが到来していた。利用者は気をつけた方が良い。
1
20
85
予断を持つ人が多いので CN も一週間分調べてみました。gov\.cn も攻撃されています。
2
42
83
ひどいデマだ。総務省に通報した。 > "また、IPv6はパケット通信の暗号化方式IPsecを導入し、セキュリティの強化が図られているため、従来の規格(IPv4)と比べて、より安心してインターネット接続がご利用いただけます。”
1
191
83
14:34 攻撃開始
14:47 全てのネームサーバがダウン
18:45 一部のサーバが復活し断続的に応答再開
18:54 の復活を観測
22:51 現在も攻撃は継続中
1
45
80
中京大学 工学部 「コンピュータネットワーク」第1週 - 第2週の教材「インターネットとは何か? (その崩壊論)」を公開しました。
0
28
76
逆引き不適切、HELO不適切、再送戦略不適切、SPF間違いだらけ等々な巷のメールサーバたちがグーグルのガイドラインに揃って適応できるわけがない。2月になったら Gmail は使いものにならなくなると思う。
1
35
74
不用意に使うと古いキャッシュを世界にばら撒いてしまって却って待つ羽目になるやつ。DNS 分かってない人は使わない方が良いし分かっている人は大抵不要。
1
18
74
こうすれば DNS は簡単
・外部名は使わない
・キャッシュと権威は分ける
・応答は 512 バイトに納める(馬鹿みたいに TXT とか増やさない)
・親子ゾーンは分離する
・CNAME を無闇に使わない
・ダメな事業者は避ける (自分で運用するのが実は一番楽 / みんな騙されてる)
・BIND は避ける
・DNSSECは論外
3
21
72
DNS を学びたいならデタラメだらけの同人誌よりは JPRS が出している『実践DNS』を読んだ方がよいですよ。間違いや読まなくていいところもいろいろありますけれどデタラメってほどではありません。
1
35
68
これだと DNS 水責めは把握していないように見える。隠しているのでなければ無能だな。(私は情報提供してますよ)
1
28
64
Route53 で使用していたゾーンを消すのは時として大変危険です。ドメイン名登録業者を通した設定 (上位ドメインへ登録された NS やその A) の状態 (あるいは設定変更からの経過時間) によっては、削除した途端にドメインが乗っ取られる危険性があります。(lame delegation がわからない人向け注意喚起)
作っては消し作っては消しよりも効率良く乗っ取る方法があることがわかった。Route53 で lame delegation を発生させるのはとても危険。
1
14
23
2
35
63
現在 mufj\.jp に登録してある ed448\.mufj.jp. の DS は改竄してある。それにも関わらず 8.8.8.8 や 1.1.1.1 などは検証を行わず fake2\.ed448.mufj.jp に対して NOERROR を返す。DNSSEC は無能と言っていい。
2
22
64
原因は
#DNS
水責め ですよ。
今回起きた事象の原因の推測
申請者<>処分権者の間(①⑤)の部分が登記供託オンライン
法務省の商業登記認証局が発行した電子証明書の検証を、ブリッジ認証局(④)で行うが、ここが停止しているので、検証できない(検証エラー)を回答。検証できない=改ざん可能性があるデータなので却下処理
1
0
4
1
17
63
浸透いうなというのは浸透という言葉を選ぶなという意味ではなく、それを言う状況に問題があるということです。作業の失敗、あるいはドメインの乗っ取りを呼び込んでいる状況かもしれないからです。
0
34
62
せっかく手間をかけたので 中京大学 工学部 コンピュータネットワーク 2週分の講義を公開します。(1週目はライブ、2週目は再録)
インターネット崩壊論 音声1
インターネット崩壊論 音声2
インターネット崩壊論 スライド
1
32
62
DNS が詐称されても HTTPS なら安心という論があるけれど、認証局がキャッシュポイズニングされて証明書を詐取されたことがあるから安心してはいけません。あと期限の残ってる証明書を持ったままドメイン名を放流する技もある。
1
12
62
は? FreeBSD 一択でしょ
1
16
61
リンクしないけれど "ブラウザからDBに行き着くまでただまとめる" という記事をみな引用 RT で絶賛しているけれど盛大に間違っているので社内教育なんかに使わないで欲しい。
2
16
59
わかっていない人を発見。JPNIC なんかじゃなくてこっちを観て欲しい。
隠れオープンリゾルバって何を言ってるのか分からなかったけど、このページ見てやっと意味が理解できた。
というか、これ、DNS立ち上げるときに必ず設定(対策)するところじゃないの?
うちが立てたDNSは全て設定(対策)済みです。
1
1
6
1
8
57
tepco\.co.jp の NS が狭いネットワークに集中しているのは脆弱だと思う。(DDoS 耐性のある外部サーバもセカンダリで借りると良いと思う)
0
31
54
DNS の基礎を学ぶには djbdns が一番。今時の機能を使いたいなら権威サーバなら NSD、キャッシュサーバなら Unbound あたりかな。(一番いいとは言わない / 一番ましな部類)
2
17
54
一瞬で反映されないなら古い (ネガティブ) キャッシュが残っているか各所のサーバが死んでいるかなので確認の意味はない。確認すべきは権威サーバの方。そして権威サーバの応答を確認せずこれを使用すると不要に古い応答やネガティブキャッシュを世界にばら撒くことになるので使用は慎重に。
DNS設定した後で、全世界への伝播状況が確認できて、かっこいい。数分で世界に設定が反映されるのを見るとちょっと感動します。
0
0
4
1
14
51
隠れオープンリゾルバで情けないのは AC .JP たち。工学部がある大学も多い。AXIES でも発表したんですけどねぇ。
1
18
50
「dig の適切な使い方」... DNS の掘り方について1時間半喋ります。dig は使わない方が適切だったりする話とかとか。dig って初学者の DNS の理解を阻害するんですよね。
1
16
48
世界中には広がりません。アクセスした人の DNS キャッシュサーバがキャッシュするだけ。
新規ドメインの登録反映待ちのこの時間。世界中のDNSサーバーに登録が広がっている今まさにこの時間のことを考えると、ロマンあるよな?
0
1
13
0
6
48
@infragirl755
高度な標的型攻撃は社内のメールサーバからに見せかけるのですよ。あるいは社内や取引先の本物のアカウントを盗む。本当に訓練で必要なのは偽物を見つけさせることではなく、本物をちゃんと読んでもらえるようにすること。それを比較しない訓練に意味はないと思う。技術者は技術に騙される。
1
18
45
@jj1bdx
(バグとtypoと色を��正)
DNS のキャッシュの動作をシミュレーションしてみた。パラメータは各キャッシュサーバへ 1 時間に10回以内のランダムアクセス。TTL は 600 秒。300秒で権威サーバの値を変更。キャッシュが入るサーバ、入らないサーバ、キャッシュが消えゆくサーバがある。これが浸透に見える?
2
34
46
DNS がわからんと言ってる人には2種類の人がいます。学びもせずにわからんと言ってる人と、学んだせいでなるほどわからんとなってる人ですね。
1
8
47
JPCERT/CC に従ってみることにします。このアカウントに鍵をかけました。ハニーポットの情報を公開していたページにもアクセス制限をかけました。
😎
0
0
47
家庭用 NAT箱の DNS プロキシが腐ってるってのもよくあるのでプロキシ通さず外のリゾルバを直接指定した方が良かったりすることはある。(それをもってパブリックリゾルバ速いと勘違いしている例は多そう)
筆者より補足。もちろん、もともと使っていたのがまともに動いてないDNSサーバなら、まともに動いてるDNSサーバに変更することで大きな改善が見込めます。でもそれは「速くなる」ではなく「まともになる」です。そういうケースは今回の記事の考慮外です。
1
44
96
2
24
47
やはり stt\.khoury.northeastern.edu. が気になる。今日もトップ。なぜ大学の一研究室が何日も執拗に攻撃され続けているのだろう。セキュリティ系の優秀な研究室らしく Google への就職者も多い。攻撃者はここに恨みか何かある?
2
13
46
ああ、saisoncard\.co.jp が今死んでますね。
で、ns[12].dhs.jtidc.jp 利用のドメインたちが道連れですね。
2
25
46
@GMOcloudsupport
普段から社をあげて「浸透」で誤魔化しているのだし、今回は杜撰な移行を行ったのは担当者ではないのだから厳しく反省しなくてはいけないのは組織全体ですよ。そもそも NS を利用者が書き換えられないようなサービスを提供しておいて自分たちまで適切な変更手順が踏めないのは論外です。
1
20
45
ちなみにうちのゼミのネットワークにもたまに 8.8.8.8 の偽物が現れることがあるので学生は気をつけるように w
0
8
46
DNS を学ぶに当たっては二次情報は大抵間違っていたり規格が曖昧な点は解釈が介在するので、RFC を必ず読みましょうね。(DNS 温泉も私の解釈に縛られないよう RFC を示しつつ自分で考えられるように情報提供しているつもりです。私の解釈に異議を唱えてくれる人を待っています)
2
24
46
オープンキャンパスで模擬講義します。
中京大学工学部オープンキャンパス情報
7月13日(土)名古屋キャンパスにて開催
7月21日(日)豊田キャンパスにて開催※情報工学科、メディア工学科のみ
いずれの日程も研究紹介・相談コーナー、研究トピックス紹介あり(要予約)
0
2
4
1
10
45
気象庁が消えて go .jp がなくなりました。あと大学が 3 つなど、10 ドメイン減りました。リスト公開の効果が上がりつつあるようです。あちこちでざわざわしているようですね。
1
16
44
8.8.8.8 の中の人より:
slack\.com に NTA を設定してはいない。ユーザからのキャッシュフラッシュ要求によって解消した。そして ”Our general policy on NTAs is to only add them after evaluating the specific scenario. We never add them by default.”
0
29
45
DNS が複雑じゃないんだよ。使う人が複雑にしちゃうんだよ。それと後付け機能増やす技術者たち。(DNS camel の問題は荷物)
2
12
43
私の監視では落ちるところまでは行っていないのだけれど、、、
1
13
42
新年度 ED448 対応状況
1.1.1.1 : 非対応、偽署名を素通し
8.8.8.8: 同上
9.9.9.9: 対応済、偽署名は当然 SERVFAIL
208.67.222.222 (OpenDNS): 同上
2
14
42
リダイレクトされたらその人はずっと最初 http で通信を開始し続ける可能性がありますね。それは危険です。接続不能で良いのです。ただし新リンクを生成して表示してあげるのが親切。
e-Gov法令検索サイトのhttps化に伴い、せっせと構築したブラウザのブックマークが全て接続不能に・・・。移行を促すファイル名が"sorry"であった。
0
199
178
2
27
41
技術を複雑化、難解化、巨大化する人たちには注意しなければなりません。パソコンや Unix やインターネットはそうした技術の権威化や独占化への反抗から生まれたコンヴィヴィアルな技術だったはずです。K.I.S.S.
1
14
42
jp への攻撃はどうなっている? という皆様への現在の状況をお見せします。まばらだし NXDOMAIN な query が少ないです。
1
5
42
今日攻撃されている incapsula\.com って DDoS 対策の会社では? さあ面白くなってきましたかね?
3
8
42
🙅♂️ドメイン買う
🙆♂️ドメイン名を登録する
サーバを立てるって言うと難しく感じるかも知れないけど、基本的に
- ドメイン買う
- DNS設定して自宅あるいはVPSのIPアドレスをAレコードに設定する
- Linux入れてサービス起動する
- 自宅ならルーターのポートをサーバに転送する
これだけ。
1
6
48
2
14
42
遠隔授業用に ■ DNS の仕組みを解説するスライドを作成した
0
15
42
#dnstext
結論、『DNSがよくわかる教科書』は初学者の必読書だと思います。冗長ながら最低限のことは書いてあるし、間違ったことは少ししか書いてないし、特にうっかり巷のデタラメな入門書をわかりやすいと言いながら読んでしまった人はこの本で頭を洗い直すと良いでしょう。なお RFC の確認も必須。
0
27
40
そうか、言いたいのはこれなのかもしれない。
"捜査途中での公表は異例"
去年ので今頃、まして今捜査中のものは、、、それでもなんとか注意喚起したい。そういうこと?
一応オープンリゾルバの注意喚起は含まれているけれど、隠れオープンリゾルバでは詐称対策が inbound が不足だし、権威サーバ(字数
1
18
40
攻撃元は DigitalOcean の 137.184.13.70 で TCP も含まれるので詐称ではなさそう。
1
21
41
ごめんね
5
165
353
1
13
40
DNS 温泉 8 の案内を公開しました。申し込みは 7/31 (月) 7:00 から開始します。発表者枠は抽選となっていますが選考しますので私まで内容についてご連絡ください。一般枠は先着順です。
2
24
40