Submit Search
Upload
DNS悩み多きシステムの基礎から最新状況まで
•
10 likes
•
3,016 views
Yoshiki Ishida
Follow
QUNOG3(2015/10/16)
Read less
Read more
Internet
Report
Share
Report
Share
1 of 45
Download now
Download to read offline
Recommended
JPAAWG2020 送信ドメイン認証・暗号化 Deep Dive! (Sender Auth, Email Encryption Deep Dive!)
JPAAWG2020 送信ドメイン認証・暗号化 Deep Dive! (Sender Auth, Email Encryption Deep Dive!)
Yoshitaka Hirano
迷惑メール対策カンファレンスの DMARC
迷惑メール対策カンファレンスの DMARC
Yoshitaka Hirano
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~
Tomohiro Nakashima
DNS, DNSSECの仕組み
DNS, DNSSECの仕組み
Yoshitaka Hirano
dnsops.jp BoF 2009 - DNS Prefetch の影響
dnsops.jp BoF 2009 - DNS Prefetch の影響
Chika Yoshimura
JANOG24 - DNS prefetchの影響(ライトニングトーク)
JANOG24 - DNS prefetchの影響(ライトニングトーク)
Chika Yoshimura
CDNの仕組み(JANOG36)
CDNの仕組み(JANOG36)
J-Stream Inc.
B1-4 送信ドメイン認証・暗号化 DeepDive ~ DMARCから MTA-STS, DANEまで全部PASSさせるまでの道のり
B1-4 送信ドメイン認証・暗号化 DeepDive ~ DMARCから MTA-STS, DANEまで全部PASSさせるまでの道のり
JPAAWG (Japan Anti-Abuse Working Group)
Recommended
JPAAWG2020 送信ドメイン認証・暗号化 Deep Dive! (Sender Auth, Email Encryption Deep Dive!)
JPAAWG2020 送信ドメイン認証・暗号化 Deep Dive! (Sender Auth, Email Encryption Deep Dive!)
Yoshitaka Hirano
迷惑メール対策カンファレンスの DMARC
迷惑メール対策カンファレンスの DMARC
Yoshitaka Hirano
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~
Tomohiro Nakashima
DNS, DNSSECの仕組み
DNS, DNSSECの仕組み
Yoshitaka Hirano
dnsops.jp BoF 2009 - DNS Prefetch の影響
dnsops.jp BoF 2009 - DNS Prefetch の影響
Chika Yoshimura
JANOG24 - DNS prefetchの影響(ライトニングトーク)
JANOG24 - DNS prefetchの影響(ライトニングトーク)
Chika Yoshimura
CDNの仕組み(JANOG36)
CDNの仕組み(JANOG36)
J-Stream Inc.
B1-4 送信ドメイン認証・暗号化 DeepDive ~ DMARCから MTA-STS, DANEまで全部PASSさせるまでの道のり
B1-4 送信ドメイン認証・暗号化 DeepDive ~ DMARCから MTA-STS, DANEまで全部PASSさせるまでの道のり
JPAAWG (Japan Anti-Abuse Working Group)
DNS におけるセキュリティ&プライバシ動向
DNS におけるセキュリティ&プライバシ動向
Jun Kurihara
Mutualized Oblivious DNS (μODNS): Hiding a tree in the wild forest
Mutualized Oblivious DNS (μODNS): Hiding a tree in the wild forest
Jun Kurihara
メールセキュリティとDNSの蜜月関係 (Mail Security and DNS)
メールセキュリティとDNSの蜜月関係 (Mail Security and DNS)
Yoshitaka Hirano
これから始めるBIMI (JANOG49)
これから始めるBIMI (JANOG49)
Yoshitaka Hirano
ストリーミングのTLS(SSL)化
ストリーミングのTLS(SSL)化
J-Stream Inc.
SSLの最新トレンド
SSLの最新トレンド
J-Stream Inc.
ゼロトラスト・アーキテクチャを無料で(やれるだけ)実現する
ゼロトラスト・アーキテクチャを無料で(やれるだけ)実現する
KeioOyama
CDNのトレンド2017 セキュリティCDNとマルチCDN
CDNのトレンド2017 セキュリティCDNとマルチCDN
J-Stream Inc.
IPv6セキュリティ はじめの一歩
IPv6セキュリティ はじめの一歩
Kenji Ohira
CDNによるInternet支配の現状とICNの可能性
CDNによるInternet支配の現状とICNの可能性
J-Stream Inc.
CDNのトラフィックエンジニアリング:CDNの現状とSDNの可能性
CDNのトラフィックエンジニアリング:CDNの現状とSDNの可能性
J-Stream Inc.
Web 議論の自動ファシリテーションのための事前知識を用いた質問生成手法
Web 議論の自動ファシリテーションのための事前知識を用いた質問生成手法
siramatu-lab
博士学生が語る、4K/8K/VR配信基盤の最先端とコンテンツ配信の未来
博士学生が語る、4K/8K/VR配信基盤の最先端とコンテンツ配信の未来
Takuma Nakajima
TAM 新人ディレクター システムスキルアップ プログラム第3回「Webサーバの選定」
TAM 新人ディレクター システムスキルアップ プログラム第3回「Webサーバの選定」
(株)TAM
次世代CDNのトレンド
次世代CDNのトレンド
J-Stream Inc.
TAM 新人ディレクター システムスキルアップ プログラム第1回「サーバ概要」
TAM 新人ディレクター システムスキルアップ プログラム第1回「サーバ概要」
(株)TAM
TAM 新人ディレクター システムスキルアップ プログラム第2回「システム案件のヒアリング」
TAM 新人ディレクター システムスキルアップ プログラム第2回「システム案件のヒアリング」
(株)TAM
通信と放送の融合を考えるBoF 5
通信と放送の融合を考えるBoF 5
Masaaki Nabeshima
ドメイン名の ライフサイクルマネージメント20171031
ドメイン名の ライフサイクルマネージメント20171031
Yoshiki Ishida
10分でわかる幽霊問題-事後資料
10分でわかる幽霊問題-事後資料
Yasuhiro Morishita
DNS RFCの歩き方(短縮版)
DNS RFCの歩き方(短縮版)
Takashi Takizawa
DNSのRFCの歩き方
DNSのRFCの歩き方
Takashi Takizawa
More Related Content
What's hot
DNS におけるセキュリティ&プライバシ動向
DNS におけるセキュリティ&プライバシ動向
Jun Kurihara
Mutualized Oblivious DNS (μODNS): Hiding a tree in the wild forest
Mutualized Oblivious DNS (μODNS): Hiding a tree in the wild forest
Jun Kurihara
メールセキュリティとDNSの蜜月関係 (Mail Security and DNS)
メールセキュリティとDNSの蜜月関係 (Mail Security and DNS)
Yoshitaka Hirano
これから始めるBIMI (JANOG49)
これから始めるBIMI (JANOG49)
Yoshitaka Hirano
ストリーミングのTLS(SSL)化
ストリーミングのTLS(SSL)化
J-Stream Inc.
SSLの最新トレンド
SSLの最新トレンド
J-Stream Inc.
ゼロトラスト・アーキテクチャを無料で(やれるだけ)実現する
ゼロトラスト・アーキテクチャを無料で(やれるだけ)実現する
KeioOyama
CDNのトレンド2017 セキュリティCDNとマルチCDN
CDNのトレンド2017 セキュリティCDNとマルチCDN
J-Stream Inc.
IPv6セキュリティ はじめの一歩
IPv6セキュリティ はじめの一歩
Kenji Ohira
CDNによるInternet支配の現状とICNの可能性
CDNによるInternet支配の現状とICNの可能性
J-Stream Inc.
CDNのトラフィックエンジニアリング:CDNの現状とSDNの可能性
CDNのトラフィックエンジニアリング:CDNの現状とSDNの可能性
J-Stream Inc.
Web 議論の自動ファシリテーションのための事前知識を用いた質問生成手法
Web 議論の自動ファシリテーションのための事前知識を用いた質問生成手法
siramatu-lab
博士学生が語る、4K/8K/VR配信基盤の最先端とコンテンツ配信の未来
博士学生が語る、4K/8K/VR配信基盤の最先端とコンテンツ配信の未来
Takuma Nakajima
TAM 新人ディレクター システムスキルアップ プログラム第3回「Webサーバの選定」
TAM 新人ディレクター システムスキルアップ プログラム第3回「Webサーバの選定」
(株)TAM
次世代CDNのトレンド
次世代CDNのトレンド
J-Stream Inc.
TAM 新人ディレクター システムスキルアップ プログラム第1回「サーバ概要」
TAM 新人ディレクター システムスキルアップ プログラム第1回「サーバ概要」
(株)TAM
TAM 新人ディレクター システムスキルアップ プログラム第2回「システム案件のヒアリング」
TAM 新人ディレクター システムスキルアップ プログラム第2回「システム案件のヒアリング」
(株)TAM
通信と放送の融合を考えるBoF 5
通信と放送の融合を考えるBoF 5
Masaaki Nabeshima
ドメイン名の ライフサイクルマネージメント20171031
ドメイン名の ライフサイクルマネージメント20171031
Yoshiki Ishida
What's hot
(19)
DNS におけるセキュリティ&プライバシ動向
DNS におけるセキュリティ&プライバシ動向
Mutualized Oblivious DNS (μODNS): Hiding a tree in the wild forest
Mutualized Oblivious DNS (μODNS): Hiding a tree in the wild forest
メールセキュリティとDNSの蜜月関係 (Mail Security and DNS)
メールセキュリティとDNSの蜜月関係 (Mail Security and DNS)
これから始めるBIMI (JANOG49)
これから始めるBIMI (JANOG49)
ストリーミングのTLS(SSL)化
ストリーミングのTLS(SSL)化
SSLの最新トレンド
SSLの最新トレンド
ゼロトラスト・アーキテクチャを無料で(やれるだけ)実現する
ゼロトラスト・アーキテクチャを無料で(やれるだけ)実現する
CDNのトレンド2017 セキュリティCDNとマルチCDN
CDNのトレンド2017 セキュリティCDNとマルチCDN
IPv6セキュリティ はじめの一歩
IPv6セキュリティ はじめの一歩
CDNによるInternet支配の現状とICNの可能性
CDNによるInternet支配の現状とICNの可能性
CDNのトラフィックエンジニアリング:CDNの現状とSDNの可能性
CDNのトラフィックエンジニアリング:CDNの現状とSDNの可能性
Web 議論の自動ファシリテーションのための事前知識を用いた質問生成手法
Web 議論の自動ファシリテーションのための事前知識を用いた質問生成手法
博士学生が語る、4K/8K/VR配信基盤の最先端とコンテンツ配信の未来
博士学生が語る、4K/8K/VR配信基盤の最先端とコンテンツ配信の未来
TAM 新人ディレクター システムスキルアップ プログラム第3回「Webサーバの選定」
TAM 新人ディレクター システムスキルアップ プログラム第3回「Webサーバの選定」
次世代CDNのトレンド
次世代CDNのトレンド
TAM 新人ディレクター システムスキルアップ プログラム第1回「サーバ概要」
TAM 新人ディレクター システムスキルアップ プログラム第1回「サーバ概要」
TAM 新人ディレクター システムスキルアップ プログラム第2回「システム案件のヒアリング」
TAM 新人ディレクター システムスキルアップ プログラム第2回「システム案件のヒアリング」
通信と放送の融合を考えるBoF 5
通信と放送の融合を考えるBoF 5
ドメイン名の ライフサイクルマネージメント20171031
ドメイン名の ライフサイクルマネージメント20171031
Viewers also liked
10分でわかる幽霊問題-事後資料
10分でわかる幽霊問題-事後資料
Yasuhiro Morishita
DNS RFCの歩き方(短縮版)
DNS RFCの歩き方(短縮版)
Takashi Takizawa
DNSのRFCの歩き方
DNSのRFCの歩き方
Takashi Takizawa
DNS RFC系統図
DNS RFC系統図
Takashi Takizawa
20111029 part2-dnsトリビア(出張版)-事後資料
20111029 part2-dnsトリビア(出張版)-事後資料
Yasuhiro Morishita
20111029 part1-dnsをあえてdisってみる-事後資料
20111029 part1-dnsをあえてdisってみる-事後資料
Yasuhiro Morishita
DNS再入門
DNS再入門
Takashi Takizawa
セキュリティの都市伝説を暴く
セキュリティの都市伝説を暴く
Hiroshi Tokumaru
Viewers also liked
(8)
10分でわかる幽霊問題-事後資料
10分でわかる幽霊問題-事後資料
DNS RFCの歩き方(短縮版)
DNS RFCの歩き方(短縮版)
DNSのRFCの歩き方
DNSのRFCの歩き方
DNS RFC系統図
DNS RFC系統図
20111029 part2-dnsトリビア(出張版)-事後資料
20111029 part2-dnsトリビア(出張版)-事後資料
20111029 part1-dnsをあえてdisってみる-事後資料
20111029 part1-dnsをあえてdisってみる-事後資料
DNS再入門
DNS再入門
セキュリティの都市伝説を暴く
セキュリティの都市伝説を暴く
Similar to DNS悩み多きシステムの基礎から最新状況まで
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
DDoS対処の戦術と戦略
DDoS対処の戦術と戦略
Tomohiro Nakashima
本当は恐ろしい分散システムの話
本当は恐ろしい分散システムの話
Kumazaki Hiroki
実践!DBベンチマークツールの使い方
実践!DBベンチマークツールの使い方
Fujishiro Takuya
次世代の企業ITインフラを支えるエンジニアとは
次世代の企業ITインフラを支えるエンジニアとは
Trainocate Japan, Ltd.
Office 365 ネットワーク接続の原則
Office 365 ネットワーク接続の原則
Takashi Ushigami
Yamakawa@shirahama v4.0 20120517
Yamakawa@shirahama v4.0 20120517
Tomohiko Yamakawa
COVID-19によるリモートワークIT環境強化の裏側 ~NTTデータにおける同時接続数拡大との戦い~(NTTデータ テクノロジーカンファレンス 2020...
COVID-19によるリモートワークIT環境強化の裏側 ~NTTデータにおける同時接続数拡大との戦い~(NTTデータ テクノロジーカンファレンス 2020...
NTT DATA Technology & Innovation
日本の組織をターゲットにした攻撃キャンペーンの詳細 by 朝長 秀誠 & 中村 祐 - CODE BLUE 2015
日本の組織をターゲットにした攻撃キャンペーンの詳細 by 朝長 秀誠 & 中村 祐 - CODE BLUE 2015
CODE BLUE
安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)
安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)
JPCERT Coordination Center
Newsletter20110102
Newsletter20110102
one corporation
セキュリティ管理 入門セミナ
セキュリティ管理 入門セミナ
Masaaki Nabeshima
設備業It推進会資料
設備業It推進会資料
Minna no Cloud, General Incorporated Associates
Share pointを支えるsql server2014最新情報 tokyo_公開用
Share pointを支えるsql server2014最新情報 tokyo_公開用
Yukio Kumazawa
Internetトラフィックエンジニアリングの現実
Internetトラフィックエンジニアリングの現実
J-Stream Inc.
CNNチュートリアル
CNNチュートリアル
Ikuro Sato
Vantio Caching DNS Solution
Vantio Caching DNS Solution
Yutaka Ikeda
Webinar - Cyber Security basics in Japanese
Webinar - Cyber Security basics in Japanese
Cloudflare
なぜ情報漏洩事故は繰り返されるのか? ~当社の運用事例にみる、サイバー攻撃の実際と効果的な対策~ NTTコミュニケーションズ セキュリティ・エバンジェリス...
なぜ情報漏洩事故は繰り返されるのか? ~当社の運用事例にみる、サイバー攻撃の実際と効果的な対策~ NTTコミュニケーションズ セキュリティ・エバンジェリス...
satoru koyama
Shusei tomonaga pac_sec_20171026_jp
Shusei tomonaga pac_sec_20171026_jp
PacSecJP
Similar to DNS悩み多きシステムの基礎から最新状況まで
(20)
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
DDoS対処の戦術と戦略
DDoS対処の戦術と戦略
本当は恐ろしい分散システムの話
本当は恐ろしい分散システムの話
実践!DBベンチマークツールの使い方
実践!DBベンチマークツールの使い方
次世代の企業ITインフラを支えるエンジニアとは
次世代の企業ITインフラを支えるエンジニアとは
Office 365 ネットワーク接続の原則
Office 365 ネットワーク接続の原則
Yamakawa@shirahama v4.0 20120517
Yamakawa@shirahama v4.0 20120517
COVID-19によるリモートワークIT環境強化の裏側 ~NTTデータにおける同時接続数拡大との戦い~(NTTデータ テクノロジーカンファレンス 2020...
COVID-19によるリモートワークIT環境強化の裏側 ~NTTデータにおける同時接続数拡大との戦い~(NTTデータ テクノロジーカンファレンス 2020...
日本の組織をターゲットにした攻撃キャンペーンの詳細 by 朝長 秀誠 & 中村 祐 - CODE BLUE 2015
日本の組織をターゲットにした攻撃キャンペーンの詳細 by 朝長 秀誠 & 中村 祐 - CODE BLUE 2015
安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)
安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)
Newsletter20110102
Newsletter20110102
セキュリティ管理 入門セミナ
セキュリティ管理 入門セミナ
設備業It推進会資料
設備業It推進会資料
Share pointを支えるsql server2014最新情報 tokyo_公開用
Share pointを支えるsql server2014最新情報 tokyo_公開用
Internetトラフィックエンジニアリングの現実
Internetトラフィックエンジニアリングの現実
CNNチュートリアル
CNNチュートリアル
Vantio Caching DNS Solution
Vantio Caching DNS Solution
Webinar - Cyber Security basics in Japanese
Webinar - Cyber Security basics in Japanese
なぜ情報漏洩事故は繰り返されるのか? ~当社の運用事例にみる、サイバー攻撃の実際と効果的な対策~ NTTコミュニケーションズ セキュリティ・エバンジェリス...
なぜ情報漏洩事故は繰り返されるのか? ~当社の運用事例にみる、サイバー攻撃の実際と効果的な対策~ NTTコミュニケーションズ セキュリティ・エバンジェリス...
Shusei tomonaga pac_sec_20171026_jp
Shusei tomonaga pac_sec_20171026_jp
More from Yoshiki Ishida
QUNOG20221006.pdf
QUNOG20221006.pdf
Yoshiki Ishida
Ixp and-internet-governance
Ixp and-internet-governance
Yoshiki Ishida
ドメイン名の ライフサイクルマネージメント20180209
ドメイン名の ライフサイクルマネージメント20180209
Yoshiki Ishida
ドメイン名の ライフサイクルマネージメント20170222
ドメイン名の ライフサイクルマネージメント20170222
Yoshiki Ishida
運用自動化に向けての現場からの課題
運用自動化に向けての現場からの課題
Yoshiki Ishida
ドメイン名の ライフサイクルマネージメント
ドメイン名の ライフサイクルマネージメント
Yoshiki Ishida
ゼロレーティングの現況について
ゼロレーティングの現況について
Yoshiki Ishida
昨今のトラフィック状況
昨今のトラフィック状況
Yoshiki Ishida
トラフィック制御から考えるネットワーク中立性
トラフィック制御から考えるネットワーク中立性
Yoshiki Ishida
Itu cwg internetオープンコンサルテーションへの対応について20150928
Itu cwg internetオープンコンサルテーションへの対応について20150928
Yoshiki Ishida
スマートハウスはどのように見えるのか ~ICTの視点から
スマートハウスはどのように見えるのか ~ICTの視点から
Yoshiki Ishida
なぜいまインターネット・ガバナンスなのか20140516
なぜいまインターネット・ガバナンスなのか20140516
Yoshiki Ishida
Importance of ip peering
Importance of ip peering
Yoshiki Ishida
PSLってどうよ?
PSLってどうよ?
Yoshiki Ishida
進化するIX
進化するIX
Yoshiki Ishida
IX事業者とインターネットの未来
IX事業者とインターネットの未来
Yoshiki Ishida
More from Yoshiki Ishida
(16)
QUNOG20221006.pdf
QUNOG20221006.pdf
Ixp and-internet-governance
Ixp and-internet-governance
ドメイン名の ライフサイクルマネージメント20180209
ドメイン名の ライフサイクルマネージメント20180209
ドメイン名の ライフサイクルマネージメント20170222
ドメイン名の ライフサイクルマネージメント20170222
運用自動化に向けての現場からの課題
運用自動化に向けての現場からの課題
ドメイン名の ライフサイクルマネージメント
ドメイン名の ライフサイクルマネージメント
ゼロレーティングの現況について
ゼロレーティングの現況について
昨今のトラフィック状況
昨今のトラフィック状況
トラフィック制御から考えるネットワーク中立性
トラフィック制御から考えるネットワーク中立性
Itu cwg internetオープンコンサルテーションへの対応について20150928
Itu cwg internetオープンコンサルテーションへの対応について20150928
スマートハウスはどのように見えるのか ~ICTの視点から
スマートハウスはどのように見えるのか ~ICTの視点から
なぜいまインターネット・ガバナンスなのか20140516
なぜいまインターネット・ガバナンスなのか20140516
Importance of ip peering
Importance of ip peering
PSLってどうよ?
PSLってどうよ?
進化するIX
進化するIX
IX事業者とインターネットの未来
IX事業者とインターネットの未来
DNS悩み多きシステムの基礎から最新状況まで
1.
DNS(Domain Name System) 悩み多きシステムの 基礎から最新状況まで 日本DNSオペレーターズグループ 代表幹事
石田慶樹 QUNOG3 2015/10/16 1Copyright(C) JPIX 2015, All Right Reserved.
2.
本日の予定 基礎とあれこれ(30分) 担当:石田慶樹 最新状況(15分) 担当:末松慶文さん@QTNet 質疑応答(15分) 2Copyright(C) JPIX 2015,
All Right Reserved.
3.
自己紹介 氏名:石田慶樹(いしだよしき) 所属: 日本インターネットエクスチェンジ株式会社 経歴: 1988年 東京大学助手 1994年 九州大学講師 1998年
インターネット事業会社へ転職 2007年より現職 2006年6月~ 日本DNSオペレーターズグループ代表幹事 3Copyright(C) JPIX 2015, All Right Reserved.
4.
目次 イントロダクション ドメイン名とDNSの基礎 DNSにまつわるあれこれ DNSOPS.JP Copyright(C) JPIX 2015,
All Right Reserved. 4
5.
DNSとは Domain Name System/ドメインネームシステム ドメイン名とIPアドレスの対応付けを行うためのメカニ ズム(の一つ) 数字の羅列ではなく人間にとって覚えやすい意味の ある文字列を利用するため 世界規模の(唯一成功した)分散管理データベース 商標やブランドに密接に関係 Copyright(C)
JPIX 2015, All Right Reserved. 5
6.
なぜDNSは悩み多きシステムなのか? 設計 古い 曖昧
実装依存 ソフトウェア 2つ異なる機能 明文化されていない機能の実装 追加機能による高機能化 設定 見よう見まねで何となく動く 正しく設定されなくてもなんとかなっている コンフィグファイルとデータ(ゾーン)の区別 設定と挙動に関する誤解 Copyright(C) JPIX 2015, All Right Reserved. 6
7.
目次 イントロダクション ドメイン名とDNSの基礎 DNSにまつわるあれこれ DNSOPS.JP Copyright(C) JPIX 2015,
All Right Reserved. 7
8.
ドメイン名とは ドメイン名 www.example.jp www.ドメイン名例.jp (www.xn--eckwd4c7cu47r2wf.jp) mail.example.com 8Copyright(C) JPIX 2015,
All Right Reserved.
9.
ドメイン名の構造 ツリー構造 ルート ドメイン トップ レベル
ドメイン Top Level Domain TLD セカンド レベル ドメイン Second Level Domain SLD . de netjp exampleexampleドメイン名例 com co www www mailns FQDN:Fully Qualified Domain Name トップレベルドメインまでのすべてを含むドメイン名 9Copyright(C) JPIX 2015, All Right Reserved.
10.
TLDの種類 gTLD(分野別トップレベルドメイン名) 750以上→最終的には1200程度 generic
top-level domain .com, .net, .xxx, .みんな, .moe ccTLD(国コードドメイン名) 301種類 country-code top-level domain , .jp, .de, .uk, .tv, .cc, .香港, .台灣 予約済TLD test, example, invalid, localhost, local 10Copyright(C) JPIX 2015, All Right Reserved.
11.
ドメン名の管理構造 . de netjp exampleexampleドメイン名例 com co www www
mailns ICANN/IANA レジストリ レジストラント レジストラ リセラー オペレータ サービス プロバイダー 11Copyright(C) JPIX 2015, All Right Reserved.
12.
gTLDに関わる主要当事者 ICANN レジストリ レジストラ
(リセラー) レジストラント 1TLDあたり1レジストラ リセラーを経由せずにレ ジストラントはレジストリと の直接契約もあり ドメイン名の登録者 ICANNと契約 レジストリ/レジストラ間契約 再販契約/登録取次レジストラ認定契約 ドメイン名登録 12Copyright(C) JPIX 2015, All Right Reserved.
13.
主要当事者と主要システム ICANN レジストリ レジストラ
(リセラー) レジストラント レジストリ システム TLD DNS whois システム レジストラ システム DNS DNS ルートサーバ DBオペレータ DNSオペレータ DNSオペレータ このいずれかに存在 13Copyright(C) JPIX 2015, All Right Reserved.
14.
DNSとは Domain Name System/ドメインネーム システム FQDNとIPアドレスの対 応付けを行うためのメ カニズム(の一つ) 数字の羅列ではなく人 間にとって覚えやすい 意味のある文字列を利 用するため 世界規模の(唯一成功 した)分散管理データ ベース . de netjp exampleexampleドメイン名例 com co www
www mailns DNS DNS DNS DNS DNSDNS 14Copyright(C) JPIX 2015, All Right Reserved.
15.
DNS インターネットそのものを支える基盤技術 FQDNからIPアドレスを解決するディレクトリサービ ス ツリー状の分散データベースにより実現一見うまく 動いているかに見える 実際には様々な問題点が散見される 昔の問題あるソフトウェアの利用 設定の正しくないサーバ/クライアントの存在 ミドルボックスによる意図しない妨害 プロトコル自体の問題点 脆弱性を狙った攻撃 問題解決は運用組織の自主性に任されている 15Copyright(C) JPIX 2015,
All Right Reserved.
16.
DNSサーバ 権威DNSサーバ DNSのドメインに関するデータを保持するサーバ DNSキャッシュサーバからの問い合わせに対して応 える キャッシュDNSサーバ クライアント端末からのDNSの問い合わせに対し てルートから順に再帰的に問い合わせをすること により解決しクライアントに答えるサーバ データを一定時間に保持(キャッシュ)することから DNSキャッシュサーバと呼ばれる 16Copyright(C) JPIX 2015,
All Right Reserved.
17.
DNSのサーバ 権威DNSサーバ Authoritative
Name Server 権威ネームサーバ DNS権威サーバ 権威サーバ コンテンツサーバ キャッシュDNSサーバ Full-Service Resolver, Full Resolver Recursive Server, Recursive Name Server キャッシュ ネームサーバ DNSキャッシュサーバ キャッシュサーバ スタブ リゾルバ(Stub Resolver) 色々な呼び方がされているのが 分かりにくくしている一因 17Copyright(C) JPIX 2015, All Right Reserved.
18.
DNSの構成 . jp example.jp NS ネームサーバ 問い合わせ 返答 example.jp .. jpjp root-servers 13系列 JP DNS
サーバ 5系列 primary secondary NS 上位サーバ 上位サーバ PC クライアント スタブリゾルバ キャッシュDNSサーバからは Primary/Secondaryの区別はない 権威DNSネームサーバキャッシュDNSサーバ 反復的に問い合わせを行い 名前を解決する 上位から下位のサーバ を指定することを委任 (delegation)と呼ぶ 18Copyright(C) JPIX 2015, All Right Reserved.
19.
目次 イントロダクション ドメイン名とDNSの基礎 DNSにまつわるあれこれ DNSOPS.JP Copyright(C) JPIX 2015,
All Right Reserved. 19
20.
脅威にさらされるDNS DNSへの脅威 1. DNSサーバへの脅威 2. 保持しているデータへの脅威 3.
DNSを踏み台とした脅威 脅威の原因 UDPであること(パケットの一方的送付が可能) Source Address Spoofingが容易な接続環境 プロトコル/仕様そのものに起因する要因 不適切に設定されたDNSサーバ群 一部機器での不用意なDNSの実装 20Copyright(C) JPIX 2015, All Right Reserved.
21.
1. DNSサーバへの脅威 ソフトウェアの脆弱性 特に主流のソフトウェアであるBINDは毎年多数の重要性 の高い脆弱性が発見されている(年間5件程度)
特に夏頃に脆弱性の報告が多い(BINDの夏) BINDは多機能で権威/キャッシュの両方に利用可能なた め利用者数が多い 解決策としては別の実装やアプライアンスの利用 権威DNSサーバ側 NSD Knot DNS キャッシュDNSサーバ側 UNBOUND 21Copyright(C) JPIX 2015, All Right Reserved. 「重複」!
22.
2. 保持しているデータへの脅威 ドメイン名の乗っ取り レジストリやレジストラのデータの書き換え ドメイン名登録/変更用のアカウントの乗っ取り 権威DNSサーバの乗っ取り 脆弱性を利用した権威DNSサーバの乗っ取り キャッシュDNSサーバへの毒入れ キャッシュポイズニングとも呼ばれる カミンスキー型攻撃 22Copyright(C) JPIX
2015, All Right Reserved.
23.
カミンスキー型攻撃 カミンスキー氏が2008年に発表 力技による毒入れ手法 http://jprs.jp/related-info/guide/009.pdf より 23Copyright(C) JPIX
2015, All Right Reserved.
24.
カミンスキー型攻撃 カミンスキー攻撃を招いた3つの脆弱性 UDPの本質的脆弱性 Source
Address Spoofingが容易 ⇒BCP38 DNSの脆弱性 Query/Responseに対してのセキュリティ不在 ⇒DNSSEC BIND等ソフトウェアもしくは設定の脆弱性 ソースポート固定 エントロピーの不足 ⇒パッチの適用 24Copyright(C) JPIX 2015, All Right Reserved.
25.
カミンスキー型攻撃へのDNSでの対策 ランダム性を増加させる キャッシュDNSサーバのポートランダム化は必須 権威DNSサーバ側でも危険性を軽減する方策は 可能 本質的対策はDNSSEC DNSSECによりデータが改ざんされたことを検出 毒入れされた相手には接続できない 25Copyright(C) JPIX 2015,
All Right Reserved.
26.
DNSSECとは DNSSEC: DNS SECurity
extensionの略 RFC4033, RFC4044, RFC4045 電子署名によりデータの内容を保証 権威DNSサーバのデータを証明書で署名することに よりキャッシュDNSサーバ側でそのコンテンツが正当 であるかの判定ができる DNSのツリー構造の中に証明書を登録することによ りDNSの中に閉じて解決が可能 但しルートの証明書についてだけは別途正当性の確 認が必要 26Copyright(C) JPIX 2015, All Right Reserved.
27.
DNSSECの構造 . jp example.jp NS ネームサーバ 問い合わせ 返答 .. jpjpNS PC クライアント ゾーン データ ZSK 秘密鍵 KSK 秘密鍵ZSK 公開鍵 KSK 公開鍵 署名 ゾーン データ 署名 ZSK 公開鍵署名 署名 登 録 KSK 公開鍵と 等価情報 権威DNSネームサーバキャッシュDNSサーバ 27Copyright(C) JPIX 2015,
All Right Reserved.
28.
3. DNSを踏み台とした脅威 DDoSのツールとしてDNSを利用 主としてUDPなので利用しやすい 不適切に設定されたDNSサーバが多い 不用意な実装された機器が多い 同様な例はUDPを使うNTPでも発生 最近の傾向としてDNSに着目した攻撃も多発 Webサーバの攻撃の替わりにDNSを攻撃 抜本的対策が難しい側面も 28Copyright(C) JPIX
2015, All Right Reserved.
29.
DNS Reflector Attacks インターネット 攻撃者 踏み台 踏み台 クエリ クエリ 被害者 リプライ リプライ オープン リゾルバ
ソースアドレスを 被害者のアドレスに偽造 オープン リゾルバ DNS コンテンツ サーバ クエリ リプライ クエリ リプライ 29Copyright(C) JPIX 2015, All Right Reserved.
30.
DNS Reflector Attacksの対策 ①
ソースアドレスを偽造したIPパケットの停止 ⇒ BCP38 ☆ ISPが対応 ② 設定の間違ったDNSサーバやオープンリゾルバの停止 ⇒ サーバやホームルータの設定の見直し ⇒ レンタルサーバやVPSの設定の見直し ☆ ISP, サーバ関連事業者やベンダが対応 ③ コンテンツサーバでの対策 ⇒ レスポンスが特定アドレスに集中しないような対策 ⇒ DNS Response Rate Limitingの導入 ☆ DNS提供者が対応 30Copyright(C) JPIX 2015, All Right Reserved.
31.
DNS Reflector Attacks インターネット 攻撃者 踏み台 踏み台 クエリ クエリ 被害者 リプライ リプライ オープン リゾルバ
ソースアドレスを 被害者のアドレスに偽造 オープン リゾルバ DNS コンテンツ サーバ クエリ リプライ クエリ ① ① ② ② ③ 31Copyright(C) JPIX 2015, All Right Reserved.
32.
DNSを踏み台とした攻撃 DNS水責め攻撃 DNSのサーバへの攻撃 DNS Reflection Attackの変形 カミンスキー型攻撃との組み合わせ オープンリゾルバやbotを介した攻撃 ターゲットとされたドメイン名を使えなくするこ とが目的(?) 本質的な対処は難しい側面も 32Copyright(C)
JPIX 2015, All Right Reserved.
33.
DNS水責め攻撃 ① 攻撃者はソースアドレスを偽ってオープンリゾルバとなってい るホームルータやbot(「踏み台」と呼ぶ)に対して特定(攻撃 対象?)のドメイン名(「対象ドメイン名」と呼ぶ)に関して 001.example.jp 002.example.jp … といった問い合わせを行う ② 「踏み台」からはISPのキャッシュDNSサーバに対して問い合 わせを行う ③
ISPのキャッシュサーバは「対象ドメイン名」の権威DNSサーバ に問い合わせを行う ④ そのようなFQDNは存在しないのでエラーとなる ⑤ エラーとなったデータはキャッシュされない 33Copyright(C) JPIX 2015, All Right Reserved.
34.
DNS水責め攻撃(続き) ⑥ ISPのキャッシュDNSサーバは大量に類似の問い合わせを受 け負荷が高まる ⑦ 「対象ドメイン名」の権威DNSサーバも大量に問い合わせを 受けて負荷が高まる ⑧
ISPも「対象ドメイン名」も機能不全に陥る 34Copyright(C) JPIX 2015, All Right Reserved.
35.
DNS水責め攻撃 35 インターネット 攻撃者 BOT クエリ 対象ドメイン名オープン リゾルバ クエリ 権威 DNS サーバ キャッシュ DNS サーバ クエリ キャッシュ DNS サーバ BOT クエリ クエリ クエリ 35Copyright(C) JPIX
2015, All Right Reserved. クエリ
36.
対策 対策が困難 本質的解決 ソースアドレスのValidation オープンリゾルバ/BOTの排除 一時的な解決 対象ドメイン名に対する何らかの制御 不審な問い合わせの制御 自網外からのDNSの問い合わせの制御 いずれも リソースを要する 36Copyright(C) JPIX 2015,
All Right Reserved.
37.
名前衝突の問題 「新gTLDの外部のサイトが見えない」 .corp 勝手TLD 新gTLD追加前 .com .org インターネット .jp企業やISP ネットワーク .corp 勝手TLD 新gTLD追加後 .corp 新gTLD .com .org 衝 突 インターネット .jp企業やISP ネットワーク 矢印:
ドメイン名の問合せ 凡例 四角: ドメイン名 新gTLD 追加 !? 同じTLDのサイトが 存在することによって 予期せぬ問題が発生 37Copyright(C) JPIX 2015, All Right Reserved.
38.
【対策】勝手TLDは使わない ・勝手TLDは使わない server.tokyo → server.tokyo+(会社ドメイン) ・短縮名・サーチリストは使わない 問題起きてからの対策は大変 ユーザサポート・教育コスト システム変更 証明書入替え 早めにシステムを点検し対応を 38Copyright(C) JPIX
2015, All Right Reserved.
39.
目次 イントロダクション ドメイン名とDNSの基礎 DNSにまつわるあれこれ DNSOPS.JP Copyright(C) JPIX 2015,
All Right Reserved. 39
40.
日本DNSオペレーターズグループ (DNSOPS.JP) http://dnsops.jp/ ■名称 本会は正式名称を「日本DNSオペレーターズグループ(英文名称: DNS
Operators' Group, Japan)」とし、略称を「DNSOPS.JP」とします。 ■設立趣意 ドメインネームシステム(DNS)のオペレーションを通して社会基盤としてのインターネットの安定運 用に寄与することを目的とし、「日本DNSオペレーターズグループ(DNSOPS.JP)」を設立します。 本会は、DNSのオペレーションに関し、参加者間の情報交換、共有、議論の場の提供、円滑な運 用のための情報公開、および国内外における関係各組織との連携等を行います。 ■設立背景 DNSは、インターネットにおける重要な基盤技術の一つであり、円滑なインターネットの利用のため には、安定運用が必須です。昨今のADSL・FTTHの普及や、携帯電話・PHS等のモバイル機器に よるインターネット利用環境の多様化等によりわが国におけるインターネットの利用は急速に拡大 しており、それに伴いDNSの重要性はますます高くなっています。 また、DNSは、各家庭や企業等に設置されているPCやブロードバンドルータから、ISPやインター ネットレジストリが管理運用する大規模なDNSサーバに至るまで、多種多様な要素により構成され ています。 そのため、DNS全体の安定運用を実現するためには、実際のDNSサーバのオペレータ間における 連携のみならず、ネットワークのオペレータ、各種ネットワーク機器の開発者、DNSに関する研究 者・専門家・識者等を含んだ、横断的かつ全体的な連携が必要となり、これを行う場の設立が望 まれています。 Copyright(C) JPIX 2015, All Right Reserved. 40
41.
QUNOGとDNSOPS.JP Copyright(C) JPIX 2015,
All Right Reserved. 41 Routing/BGP: IRS Web/TLS: PKI E-mail: JEAG, DKIM.jp DNS: DNSOPS.JP ENOG JANOG QUNOG
42.
DNSOPS.JPの活動 イベント(DNS Summer Days)の開催 2012年より毎年開催 DNSに関するチュートリアル→ビデオアーカイブ ホットな話題 BoFの開催 Internet
Weekの中で開催 ライトニングトークが主 今年もやります。 Copyright(C) JPIX 2015, All Right Reserved. 42
43.
DNS Summer Days/Tutorial 発表者
タイトル 発表年 ジャンル 森下 泰宏 DNS入門 2012 成り立ち 滝澤 隆史 DNS再入門 2014 仕様 滝澤 隆史 DNSのRFCの歩き方 2012 山口 崇徳 DNSのシステム設計 2013 設計 高嶋 隆一 DNS設定例の紹介(オーソリティティブ) 2014 設定山口 崇徳 DNS設定例の紹介(キャッシュ) 2014 東 大亮 DNSキャッシュサーバの設定ノウハウ 2014 水野 貴史 初心者のためのDNS運用入門 2014 運用伊藤 高一 DNSのよくある間違い 2012 山口 崇徳 DNSトラブルシューティング 2012 森下 泰宏 教科書には載っていないDNS 2013 仕様(応用) Copyright(C) JPIX 2015, All Right Reserved. 43
44.
DNS Summer Days/Tutorial Copyright(C)
JPIX 2015, All Right Reserved. 44 DNS Summer Daysの チュートリアルの歩き方 2015年7月24日 DNS Summer Days 2015 株式会社日本レジストリサービス(JPRS) 平林有理 Copyright © 2015 株式会社日本レジストリサービス 1 2015年7月27日更新 http://dnsops.jp/event20150724.html
45.
Copyright(C) JPIX 2015,
All Right Reserved. 45
Download now