In modern infrastructures, the ability to scale applications efficiently is no longer a “nice to have” – it’s the standard. As dynamic infrastructures evolve, a load balancer that can quickly adapt without manual intervention is now a necessity. While various systems can orchestrate these changes, ensuring your load balancer integrates flawlessly with these systems is the key to maximizing your ar
2023年3月2日に開催されたAPNICのAnnual General Meeting (AGM、 年次総会)で実施されたAPNIC理事会選挙の期間中に、 APNICの名前を騙る者から、APNIC会員に対して一部候補への投票が要請されたという、 不適切な行為が報告されました。 JPNIC理事の松崎吉伸が当選したことは既報*1の通りですが、 JPNICは、こうした事態をAPNICの統治機構に対する脅威と捉え、 理事長名にて、APNIC理事会および事務局長に宛て、 統治機構の強化を要請する書簡を送りました。 以下に文面を示します。 APNIC EC議長 Gaurab Raj Upadhaya様、 APNIC EC各位、 APNIC事務局長 Paul Wilson様 APNICの統治機構強化に関する要請 APNICはインターネットが機能するために不可欠な一意な識別子であるIPアドレスとAS番号を
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
簡単な結論 1.Gmailへのメール自動転送をやめる 2.利用しているメーリングリストが大丈夫か確認 前提 メール送信者のガイドライン - Gmail ヘルプによって、2024年2月からサーバ管理者の対応が不十分だと、Gmailへメールが届きにくくなります。 SPF,DKIM,DMARCなどの設定は世間の流れでも必要な事項になっていますので、不十分な対応だとGmail以外でも徐々にメールが届きにくくなっています。 基本的にはメール配信側が対応すべき問題ですが、ユーザ側でも気をつけることがいくつもあります。 この記事ではユーザが最も困るだろう事を2つに絞って書きます。 届かなくなりそうなメールの確認方法 現在届いているメールでも迷惑メールに頻繁になるようなメールは認証エラーになっていないか確認しましょう。 Gmailのメールタイトルの時刻の右の点点をクリックしてメッセージのソースを見ましょう
権威DNSサービスへのDDoSと ハイパフォーマンスなベンチマーカ YAPC::Kyoto 2023 at Kyoto Research Park 2023/03/19
Domain Name System(DNS)は、人間にとってわかりやすい「gigazine.net」といったドメイン名をコンピューターが処理できる「192.168.0.1」などのIPアドレスに対応づけるシステムであり、DNSサーバーが入力されたドメイン名に対応するIPアドレスを返します。クラウドセキュリティ企業・Wizの研究者らが、DNSサーバーをホスティングするGoogleやAmazonなどのDNSサービスに欠陥があることを発見したと、2021年8月4日にセキュリティカンファレンスの「Black Hat USA 2021」で発表しました。この欠陥により、多くの企業や政府機関に関する重要な情報が筒抜けになっていたとのことです。 Black Hat 2021: DNS loophole makes nation-state level spying as easy as registeri
はじめに こんにちは。計測プラットフォーム開発本部SREブロックの西郷です。普段はZOZOSUITやZOZOMAT、ZOZOGLASSなどの計測技術に関わるシステムの開発、運用に携わっています。先日私達のチームでは、シングルクラスタ・マルチテナントを前提として構築したEKSクラスタにZOZOMATシステムを移行しました。本記事では移行ステップや作業時に工夫した点について紹介したいと思います。 目次 はじめに 目次 移行の概要とそのアプローチ 前提 要件 移行方針 各移行ステップとその詳細 STEP1:移行先CFnスタックへのAWSリソース作成、インポート STEP2:移行先へのデータマイグレーション S3 注意点 RDS 注意点 STEP3:移行先のクラスタにkubernetesリソースを追加 STEP4:EKSクラスタの切り替え external-dnsのdomain-filterをマル
Ubuntu Weekly Recipe 第834回Unboundでお手軽に家庭内DNSサーバーを作ろう[Ubuntu 24.04 LTS対応版] 第386回では、Unboundを使って家庭内DNSサーバーを構築しました。ですがこの記事から9年が経ち、Ubuntuのネットワークまわりも変化しました。当時とは状況も変わってきていますので、改めて最新のLTSである24.04を使い、Unboundの構築方法を紹介します。 家庭内DNSサーバーが必要な理由 DNSサーバには大きく分けて、ゾーン情報を管理するコンテンツサーバーと、名前解決を代行するキャッシュサーバーの二種類に分けられます。コンテンツサーバーは、そのドメインの名前情報を管理するサーバーで、インターネット全体に対してサービスを提供しなければなりません。そのため基本的に、ご家庭内には不要なサーバーです。 対してキャッシュサーバーは、どのご
![第834回 Unboundでお手軽に家庭内DNSサーバーを作ろう[Ubuntu 24.04 LTS対応版] | gihyo.jp](https://cdn-ak-scissors.b.st-hatena.com/image/square/5a3d627876f00cb8e66167afde9073898d91f595/height=288;version=1;width=512/https%3A%2F%2Fsiteproxy.ruqli.workers.dev%3A443%2Fhttps%2Fgihyo.jp%2Fassets%2Fimages%2FICON%2F2022%2F1902_ubuntu-recipe.png)
Spotifyが全世界でログインできなくなった3月8日の障害について原因を報告。Google CloudのTraffic Directorの障害がgRPCライブラリのバグを踏んだと 音楽配信サービスのSpotifyは先週、2022年3月8日の18時頃(世界協定時。日本時間9日午前3時頃)から2時間以上、ログインができなくなるなどの障害がグローバルに発生していました。20時半頃には障害が収束し、正常化しました。 Spotifyのエンジニアリングチームは、この障害の原因についての報告を、ブログの記事「Incident Report: Spotify Outage on March 8」として公開し、Google CloudのTraffic Directorの障害が引き金であったことなどを説明しています。 Google Cloud Traffic Directorの障害が引き金に Spotify
IoTや産業用デバイス向けにセキュリティソリューションを提供するForescoutが、「NAME:WRECK」と呼ばれる数百万台のIoTや産業用デバイスに影響をおよぼす可能性のある脆弱性の存在を報告しています。 NAME:WRECK - Forescout https://www.forescout.com/research-labs/namewreck/ NAME:WRECK vulnerabilities impact millions of smart and industrial devices | The Record by Recorded Future https://therecord.media/namewreck-vulnerabilities-impact-millions-of-smart-and-industrial-devices/ How the NAME:W
こんにちは、SREチームの小川です。 「夏への扉」を読みました。過去・現在・未来の時間軸が最後にかち合った時には感動を覚えました。月並みですが、さすがSFの金字塔ですね。 今回は「外資就活への扉」である、ALB・Route53をSREがどのように管理しているか紹介したいと思います! はじめに 以前よりSREチームが「外資就活ドットコム」のインフラをEC2中心のものから、コンテナ中心のEKSへと移行したお話をしてきました。 今回はKubernetesを導入した際に、トラフィックの流入元であるALBをAWS Load Balancer ControllerとExternalDNSを利用して管理を行うようにしたお話しをします。 EKSのサービスをALBを利用して公開する際に、アプリケーションコンテナをNodePortで公開し、ALBがNodeGroupの特定のNodePortにリバースプロキシす
2023/12/23 追記: RFC 9520 になりました == 「Negative Caching of DNS Resolution Failures」という提案が、Verisignの方らによって提案されています。 DNSの名前解決の結果はつぎのいずれかです。 1) 要求されたデータを含む応答 2) 要求されたデータが存在しないことを示す応答 3) ネットワークエラーや、データ不整合などの、有用な情報が得られない(失敗) 今回の提案では、(3)のエラーについても最低5秒間ネガティブキャッシュするよう要求します(5分以上キャッシュしてはいけない)。 RFC2308 「Negative Caching of DNS Queries」では、サーバが落ちていたり接続できない場合に、オプショナルでキャッシュする事が記述されてはいます。 モチベーション 提案仕様のなかで、DNSのエラーが起こり、
先日、TerraformのVersion 1.0.1がGAになりました。新機能をチェックしてみたいと思います。 とはいっても、今回の新機能は1つだけ、かつ細かいアップデートのようです。JSONアウトプットにsensitive属性情報が追加されました。 JSONアウトプット? plan 通常terraform planを実行すると、applyした場合にどのような変更が発生するか(=plan結果)が出力されますよね。この時-out=<PATH>というオプションを追加すると、画面にplan結果を出力する代わりに、<PATH>位置にplan結果をバイナリファイルとして出力してくれます。バイナリなのでそのままファイルを見ることはできません。見るときはterraform show <FILE>というコマンドを使います。 $ terraform show plan-binary Terraform us
個人的にはビッグニュースなのに、あまり話題にしている人がいなかったのでメモ的に書いておきます。 nginxは最近開発がGitHubに移ってから、開発が活発になっており、以前から期待されていたupstreamでresolveを指定する機能がOSS版でも使えるようになりました(有料版では以前から使えていた)。 今までの問題 nginxのproxy_passにドメインを指定すると、起動時に名前解決が走り、その後はずっとそのIPアドレスに対してproxy_passされます。よってDNSが更新されても古いIPアドレスにリクエストが行く問題がありました。 その状態で直したい場合はreloadすればまた名前解決されるので、reloadするくらいしかありません。 reloadをせずにDNS更新を反映させる方法としては、以下のように一度変数にsetするという荒技もありました。 resolver 8.8.8.
最近公開した暗号化DNSサーバ(DoH)の運営や技術的な話です。 暗号化DNSサーバーはiOSの280blockerアプリ利用者だけに公開しています。最新版アプリの高度な設定から利用が可能でsafari以外の広告もブロックできます。サービスを利用するだけなら特に知らなくても良い話です。 DNSサーバ DNSサーバーは端末から問い合わせのあったサイトのドメイン名をipアドレスへ変換して応答する作業をしています。端末はその情報を利用して、閲覧したいサイトのIPアドレス宛にデータを要求します。 DNSサーバーがドメインの問い合わせに対してそのサーバーは存在しない(NXDOMAIN)という応答にすると、端末はデータが要求できなくなり、そのドメインとの通信をブロックできます。これがDNSサーバを利用した広告ブロックです。 ちなみにDNSサーバへの問い合わせの中で、広告系ドメインの問い合わせの割合はざ
10月1日午前1時30分ごろから、企業向けコラボレーションツール「Slack」で接続障害が発生している。11時00分現在、米Slack Technologiesは、1%未満のユーザーに接続障害が発生していると発表した。 同社では障害の原因について「DNS関連の問題を認識している」と説明。Slack側の変更により発生したものだという。この問題の解決には、ISP(インターネットサービスプロバイダー)がslack.comのDNSレコードのキャッシュをクリアする必要があるという。午前4時50分時点で、全てのユーザーの接続障害は、24時間以内に解決する予定と説明する。 最新のステータスでは「改善の兆しが見られる」として、Slackをリロードすることで、再度ロードできる場合があると案内。ただし、全てのユーザーがこの方法で解決されるわけではなく、引き続き不具合の解消を進めるとしている。 関連記事 Sla
2020 年 10 月 3 日開催の、Kaigi on Rails で発表した内容です。(発表時間 20 分) ## 2020/10/12 追記 このスライドの説明だけですと攻撃の特性がわかりづらかったので、個人ブログの以下の記事にて追加の説明を行いました。 https://yucao24ho…
This post is also available in: English (英語) 概要 .com、.net、.xxx、.huなどのトップレベルドメイン(TLD)は、ドメインネームシステム(DNS)の名前付け階層の最上位に位置します。ユーザーがドメイン名(たとえばpaloaltonetworks.com)を取得しようとする場合、通常は、TLDに直接登録するか、1つ下の階層(たとえばgoogle.co.uk)に登録する必要があります。TLDの価格、登録制限、セキュリティ慣行、他のTLDとの字句の類似性(たとえば.cmと.com)などのTLDの特性やポリシーは、犯罪者が活動をしていく上でこれらのTLDに魅力を感じるかどうかに影響します。 1,000個以上あるTLDのうち、「悪意のあるドメイン(悪性ドメイン)」の数別で見て上位25個のTLDが、悪性ドメイン名全体の90%以上を占めています。
Ubuntu Weekly Recipe 第852回Sambaで作るActive Directory互換環境 (1) その特性と1台目のドメインコントローラーの構築 SambaはWindows OSの持つ各種ネットワーク機能を実装したフリーソフトウェアです。中でも、利用できるファイル共有サーバー(第85回)やプリントサーバー(第218回)の機能を提供することは有名です。 実はこのSambaはActive Directory(以下、AD)のドメインコントローラー(以下、DC)互換の機能も提供しています。Sambaを使ったAD互換環境の構築方法を複数回に分けて解説します。 Samba ADのメリット・デメリット Samba ADのメリット・デメリットを整理しておきます。 そもそもSamba ADというよりAD自体のメリットですが、第836回でも触れた通りユーザーやコンピューターを一元的に管理や
この記事はEEIC Advent Calendar 2022 4 日目の記事として作成しました はじめに こんにちは。EEIC2022 の hososuke です。最近自作 PC をしたんですが、せっかく組んだ性能のいい PC を大学にいるときや、実家に帰省したときでも使えるようにしたいと思い、色々と試行錯誤したことをこの記事に書きたいと思います。 記事のタイトルを「自宅の PC をクラウド化する」なんて大げさに書いてしまいましたが具体的に行ったことは次の 3 つになります。 外出先からも自宅の PC に SSH 接続できるようにする 自宅の PC を遠隔で起動できるようにする 自宅の PC の状態(起動しているかどうか)を監視する 若干タイトル詐欺気味になってしまうのですが、もし興味があれば最後までお付き合いいただければと思います笑 概説 以下に、ネットワークの概略図を載せます。 まず、
Apple’s new iCloud Private Relay service allows users to hide their IP addresses and DNS requests from websites and network service providers. In this article, we’ll demonstrate how this security feature can be circumvented and discuss what users can do to prevent their data from being leaked. You’ll need to turn on iCloud Private Relay to test the vulnerability. At the moment iCloud Private Relay
Subdomain & Certificate Transparency Uncover Hidden Subdomains and CertificatesDiscover subdomains and SSL/TLS certificates from across the internet. Our search engine provides valuable insights into the digital assets and trust infrastructure of any organization, enhancing your security research and reconnaissance capabilities. Our subdomain and certificate transparency search engine empowers you
米Facebookは10月5日(現地時間)、前日の日中に発生したInstagramやOculusも含むすべてのサービスに影響した障害について、その原因と復旧方法について説明した。 今回の停止は、前日簡単に説明したように、グローバルバックボーンネットワーク容量を管理するシステムによって引き起こされたものだが、約6時間にもわたり、非常に重要なことであるため、もう少し詳しく説明する価値があると考えたとしている。 グローバルバックボーンは、Facebook全社のコンピューティング施設を接続するネットワークで、世界中を数万マイルの光ファイバーケーブルで接続している。このインフラの保守のため、エンジニアは通常、バックボーンにオフラインで接続し、ファイバーの修理、容量追加、ルータのソフトウェア更新などを行う。 昨日の停止は、こうした定期的なメンテナンスの一環として、容量を評価するコマンドを発行したところ
第一報に関してはこちらよりご確認ください QUOINE株式会社(本社:東京都千代田区、代表取締役:栢森 加里矢、以下当社)は、2020年11月15日に発表した不正アクセスに関する事象について、さらに社内調査を進めた結果を以下のように報告致します。 このような事態が発生し、お客様に多大なご迷惑をおかけしましたことをあらためて深くお詫び申し上げます。 なお本事案に関しましては適宜監督官庁へ報告を行っております。 1.発生事象 2020年11月13日、当社のコアドメイン名の1つを管理するドメインホスティングプロバイダー(GoDaddy社)において、当社アカウント・ドメインの登録情報が悪意のある第三者(以下、第三者)に変更されました。 これにより、第三者は当社のDNS(ドメイン・ネーム・システム)レコードを変更し、複数の内部の電子メールアカウントを制御できるようになり、当社のシステム・インフラの一
Table 1 — Queries issued for systematic testing of amplification power of open resolvers. Let’s now dive into a couple of our findings. Redefinition of open resolvers Traditionally, network-attached devices are considered open resolvers if they respond to ‘A’ queries. However, our study shows that being open (as in answering ‘A’ queries) is not necessarily equivalent to successfully resolving othe
隠れオープンリゾルバを放置している日本のドメイン 下記リストのドメインは一つないし複数の隠れオープンリゾルバがネットワーク内に見つかっているものです。ドメイン名の前の数字が見つかったリゾルバの数です。 (サブドメインは親ドメインに集約しています / PTR が複数ある場合は 1 つだけ選択しておりラウンドロビンで差し変わる場合があります) 隠れオープンリゾルバとはサーバにはアクセス制限がかけられているものの、ソース IP アドレスを詐称したクエリが到達してしまうものを指して私が名づけたものです。これらが属するネットワークは外部との境界ルータでソース IP アドレス詐称パケットをフィルタリングしていないと考えられ、調査対象のリゾルバを含むネットワークが各種ソース IP アドレス詐称攻撃に脆弱である可能性が高いと考えられます。(一部は真正のオープンリゾルバも含まれています) なおスキャン対象は
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
Last Updated on 2024.08.5 Eメールは、多数の顧客へ効率よくアプローチできる優れた手段です。しかし近年、増え続けるスパムメールや「なりすましメール」の対策として迷惑メールフィルターが強化された結果、内容に問題がないメールにもかかわらず、メールが届かないケースが散見されます。メールの不達を防ぐためにも、送信ドメイン認証の導入は必須といえるでしょう。 とりわけ、送信ドメイン認証の中でも特に普及率が高いSPFについては、もし自社のドメインに導入していない場合は早急に実装すべきでしょう。ここでは、SPFレコードに関する基礎知識と具体的な実装方法(SPFレコードの記述方法)について紹介しています。 SPFとは? SPFとは SPF(Sender Policy Framework)とは、送信元IPアドレスの正当性を検証する送信ドメイン認証技術の方式です。メールはその仕組み上、送
私がこれを書く動機 私はKaigi on Railsのオーガナイザーのひとりです。Kaigi on Rails 2023は物理会場にて開催されることが公開されました。そうなるともちろん、会場でのインターネットについてはどうなる、どうする、という問題が出てきます。それに備えて、先輩イベントであるRubyKaigiを参考にしようというわけで、自分の理解のために書くことにしました。 おことわり 私はRubyKaigi 2022のネットワークをお手伝いしましたが、ケーブルの巻き直し、APの設営、撤収時の諸々を手伝ったのみです。よってこれから言及する内容については、一般参加者に毛が生えた程度の事前知識しかありません。 またこれから読み解くコードにおいて、コメントする内容の正確性は一切ないものと思って読んでください。 RubyKaigiのネットワークについて RubyKaigiのネットワークにおけるL
Akamai Status
Message and data rates may apply. By subscribing you agree to our Privacy Policy, the Atlassian Terms of Service, and the Atlassian Privacy Policy. This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
3. プライバシー保護 今回は個人用ドメインなのでプライバシー保護が必須でした。 Route 53、Cloudflareともにプライバシー保護に関する機能は存在するのですが、その内容は両者で異なります。 Route 53 Route 53には名前通り「プライバシー保護」機能がありドメインの連絡先情報を「レジストラの情報に置き替え」または「REDACTED FOR PRIVACYで置き替え」してくれます。 どちらの方法で置き換えられるのかはAWSにより自動的に決められます。 ドメインの連絡先情報のプライバシー保護の有効化/無効化 ただし、保護される内容はTLDにより異なるため都度ドキュメントで確認する必要があります。 今回の.techドメインでは 組織名を除くすべての情報が非表示になります。 .tech という扱いでした。 Cloudflare Cloudflareではデフォルトでプライバシ
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
こんにちは!AWS事業本部コンサルティング部のたかくに(@takakuni_)です。 今回は、snyk iac describeコマンドを利用して、Terraformで作ったリソースのドリフト検出をしてみようと思います。 Snyk IaC describeコマンドとは snyk iac describeでは次の2つを検出できるコマンドです。Terraformのtfstate内のリソースとクラウドプロバイダーの実際のリソースを比較して検出するため、CloudFormationで書かれたファイルには使えません。 ドリフト(現在の状態とtfstateとの差異を検出) 該当リソースがIaC(Terraform)で管理されているかどうかを検出 今回は1つめのドリフトを検出してみようと思います。 やってみた 今回は次のコードを使用してドリフト検出を試してみようと思います。 注目いただきたいのが、「en
Usage: q [OPTIONS] [@server] [type...] [name] All long form (--) flags can be toggled with the dig-standard +[no]flag notation. Application Options: -q, --qname= Query name -s, --server= DNS server(s) -t, --type= RR type (e.g. A, AAAA, MX, etc.) or type integer -x, --reverse Reverse lookup -d, --dnssec Set the DO (DNSSEC OK) bit in the OPT record -n, --nsid Set EDNS0 NSID opt -N, --nsid-only Set E
2024年12月24日、JPドメイン名を管理運用する「株式会社日本レジストリサービス(JPRS)」が、恒例となっている2024年度版の「ドメイン名重要ニュース」を発表した。JPRSのドメインネームニュース担当者が選んだ今年の話題とは? ■ 1. ICANN、新gTLDプログラムの申請受付開始を2026年4月に向けて計画 最初の話題は、ICANNが進めている新gTLDプログラムの話題である。 新gTLDの次回募集については、2019年11月に開催されたICANNモントリオール会合で次回募集のポリシーを策定するGNSOのSubPro WGから「2020年3月までにICANN理事会に勧告を提出し、2021年第2四半期に新gTLDの申請者向けにプログラムの内容を記述した申請者ガイドブック(AGB:Applicant Guidebook)を完成させられれば、最速で2022年4月~6月ごろから次回募集
長野雅広といいます。 Twitter / GitHub は @kazeburo というIDでやっておりますので、フォローいただけたらと思っております。 現在はさくらインターネット株式会社のクラウド事業本部 SRE室というところで室長を務めさせていただいております。 ずっとWebアプリケーションの運用やSREをやっておりまして、ISUCONの本を書いたりもしているのですけれども、JANOGは実は初めての参加になりますので、ぜひよろしくお願いいたします。 今回は、DNS権威サーバのクラウドサービス向けに行われた攻撃および対策について、お話しさせていただきます。 SRE室の取り組み SRE室がどんなことをやっている部署かという話ですが、2022年7月、去年の夏に発足した、新しめの部署になります。ミッションとして、クラウドサービスの信頼性を高めるとか、お客様や社会のDXをしっかり支えるということを
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
AmazonやGoogleのDNSサービスに存在する欠陥を研究者が発見、企業の重要な情報が筒抜けに
