こんにちは、インフラチームの加藤です。 この記事は Enigmo Advent Calendar 2020の23日目の記事となります。 本記事では、リモートワーク環境のため、擬似DNSを社内提供したお話をします。 エニグモでは、今年の2月頃から全社的にリモートワークを開始しました。 それに伴いインフラチームでは、リモートワークのネットワーク周りの対応を行いました。 エニグモが運用しているサーバ群 エニグモの運用するサーバは、データセンター内に構築したものとAWSのものがあります。 情シスの足立さんが、SaaS導入を進めて下さったためオフィス内にサーバはほぼありません。 サーバへの疎通経路 オフィス・リモート環境共にVPN経由(+ファイアウォール)で、サーバ群へアクセス可能です。 リモートワーク開始後のサーバアクセスの問題 リモートワーク開始直後から、ネットワーク設定に関するお問い合わせと、
Features Human-readable output with color-coded and tabular format JSON output support for easy scripting and parsing Multiple transport protocols: DNS over HTTPS (DoH) DNS over TLS (DoT) DNS over QUIC (DoQ) DNS over TCP DNS over UDP DNSCrypt Support for ndots and search configurations from resolv.conf or command-line arguments Multiple resolver support with customizable query strategies IPv4 and
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? はじめに たいろーさんのvoicyラジオの中で「パブリックDNSを使うとネットが早くなるよ」という話があり、気になったので調べてみました。 https://voicy.jp/embed/channel/1232/704106 そもそもDNSとは DNS(Domain Name System)とは、IPアドレスとドメイン名を紐づけし、IPネットワーク上で管理するシステムです。 IPアドレス(例:17.253.144.10)とはコンピューターやネットワークを識別するためのものであり、それを文字で名づけたものをドメイン(例:apple.com
あいさつ 平澤です。スプラトゥーン大好きエンジニアです。スプラトゥーン3のプレイ時間は500時間です🦑 今回は、『世界初への挑戦!インターネットを快適にするNAT64/DNS64とは?』をやったときに開発した技術をご紹介します。 style.biglobe.co.jp あいさつ NAT64/DNS64とは DNS64をどうやって使ってもらうか 実現したいこと 特許の概要 送信元IPアドレスを見てDNSサーバーを振り分け 実現できた もしもユーザーのDNSサーバーを自由に振り分けできたら BIGLOBEの特許出願事情 おわりに NAT64/DNS64とは BIGLOBEは快適なIPv6でのインターネット接続をおすすめしています。既存技術では、MAP-E機能付きのブロードバンドルーターがユーザーの負担となっていました。 ユーザーの負担が無いIPv6接続「NAT64/DNS64」で多くのユーザ
こんにちはカスタマーソリューション部のこーへいです! 今回はRoute53のDNS切り替え作業時に、ドメインが新しいネームサーバーのAレコードを参照し、切り替えが反映されるまでの時間を検証してみました。 検証前までは反映タイミングは各レコードのTTLのみに依存するかと想定しておりましたが、実際はそうではなかったです。 結論 ドメインのネームサーバーを切り替えの反映には3つの要素を満たさなければならない NSレコードのTTLが切れること 名前解決に使用するネームサーバーを切り替え前から切り替え後のものを参照するようにさせるため NSレコードのTTLが切れないと、いつまでも切り替え前のネームサーバーからAレコードを取得してしまう AレコードのTTLが切れること 切り替え先のネームサーバーに登録されているAレコードの情報を取得するため AレコードのTTLが切れないと、いつまでもDNSキャッシュサ
別リージョン RAM はリージョナルサービスのため、東京リージョンの Route 53 Resolver Rule を大阪リージョンに共有することはできません。 AWS RAM はリージョナルサービスです。共有するプリンシパルは、リソース共有が作成された AWS リージョン でのみリソース共有にアクセスできます。 https://docs.aws.amazon.com/ja_jp/ram/latest/userguide/getting-started-sharing.html そのため、大阪リージョンの EC2 インスタンスからオンプレミスのネームサーバーで名前解決を行う場合、管理アカウントの大阪リージョンでアウトバウンドエンドポイントを作成します。 先ほどの 4 つの手順を実施することで、リージョン単位での集約が可能です。 複数のドメイン名 メンバーアカウントによっては、example
Hello! Yesterday I tweeted this: I feel like the term "DNS propagation" is misleading, like you're not actually waiting for DNS records to "propagate", you're waiting for cached records to expire — 🔎Julia Evans🔍 (@b0rk) December 5, 2021 and I want to talk about it a little more. This came up because I was showing a friend a demo of how DNS caching works last week, and he realized that what was h
Workgroup: intarea Internet-Draft: draft-dkg-intarea-dangerous-labels-01 Published: 21 May 2022 Intended Status: Informational Expires: 22 November 2022 Author: Dangerous Labels in DNS and E-mail Abstract This document establishes registries that list known security-sensitive labels in the DNS and in e-mail contexts.¶ It provides references and brief explanations about the risks associated with ea
When you type something like “google.com” into your browser and hit enter, your device must query a known recursive resolver to find google.com’s IP address. Recursive resolvers are provided by most ISPs, but resolvers like 1.1.1.1 or 8.8.8.8 exist as well. You can query a resolver manually using something like dig or dog: ❯ dig @1.1.1.1 news.ycombinator.com ; <<>> DiG 9.18.4-2-Debian <<>> @1.1.1.
プログラミング言語Perlの老舗情報サイトである「Perl.com」が2021年1月27日、何者かにドメインを乗っ取られたことが判明しました。記事作成時点でPerl.comは既に復帰していますが、それまでには多くの労力と多くの人の助けがあったとして、Perl.comの編集者であるブライアン・ド・フォイ氏が事態の経緯をまとめています。 The Hijacking of Perl.com https://www.perl.com/article/the-hijacking-of-perl-com/ 2021年1月27日の早朝、フォイ氏がドメインに問題があることに気づいた後、すぐに読者から「Perl.comが消えた」という報告が届きだしたとのこと。この報告の数はDNSの更新が世界中で行われていくにつれ増加していきました。 そして同日、フォイ氏はTwitterでPerl.comの乗っ取りについて発
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
QUICの活用を改めて考える
ジェフ・ヒューストンのブログより。 数か月前の2022年7月、インターネットにおけるQUICの使用度合を測定する私たちの取り組みについて書きました。この測定を「正しく」行うことは興味深い課題であり、ここで関連づけたいと思う学習体験でした。前回の記事の終わりから始めて、そこから続けていきます。 QUICが少なすぎる! 私たちは、オンライン広告スクリプトを埋め込んだAPNIC Labの測定プラットフォームを使用しました。広告スクリプトは、ユーザにいくつかのURLフェッチを実行するように指示し、参照オブジェクトを提供するサーバは、サーバのアクションからクライアントの機能と動きを推測できるよう、測定されます。 この場合、クライアントは基本的なURLオブジェクト(最小の1x1ピクセルの「ブロット」)を読み込むよう指示され、URLのドメイン名部分は個々の測定値に固有となります。QUIC測定をセットアッ
YAPC::Kyoto 2023 に参加してきました! 数年ぶりに開かれたYAPCで、数年ぶりに会うエンジニアの同窓会みたいな雰囲気ありつつ、新しい参加者も多く最高でした。オフラインイベント楽しいです。スタッフの皆様ありがとうございました!! 京都まで行かせてくれた家族にも感謝 会場のKRPは2006年まで働いていた場所で、17年も経ってそこで発表する機会をいただいたのは個人的に感慨深いものがあります。はてなの大西さんの発表は自分にとってもとても懐かしく聞いておりました。 エモさしかない pic.twitter.com/6V8gpxx4bg— 達人が教えるつぶあん🇺🇦 (@kazeburo) 2023年3月19日 発表してきた 私の発表はこちら speakerdeck.com DNS水責め攻撃とその対策については1月に開催されたJANOG51 Meeting in 富士吉田でも紹介して
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
企業のドメインを偽装した「なりすましメール」による犯罪が、世界中で発生しています。たとえば取引先のドメインを装った偽の送金指示メールに従ってお金を振り込んでしまった例など、「ビジネスメール」詐欺の被害報告も少なくありません。 そんななか、なりすましメールを予防するために使われている代表的な技術の1つが、DNSを使ったSPFという技術です。昨今ではSPFレコードを登録していないことで、自社から送信したメールが迷惑メールと判定されてしまうこともあります。メールを安全に利用するためにも、SPFは覚えておきたい技術です。 この記事ではSPFやSPFレコードは何かといった基本から、SPFレコードの正しい書き方まで詳しく解説しています。 SPF(= Sender Policy Framework)とは、メールの送信元(Sender)ドメインが詐称されていないことを証明するための技術です。SPFレコード
ウェブブラウザ「Firefox 92」の正式版が公開されました。 Firefox 92.0, See All New Features, Updates and Fixes https://www.mozilla.org/en-US/firefox/92.0/releasenotes/ ◆ムービーのフルレンジカラー再生をサポート 多くのデバイスにて色空間を最大限に活用してムービーを再生できるようになりました。 ◆DNSのHTTPSレコードを活用へ DNSにおいてHTTPSレコード(HTTPS RR)を設定していると、そのレコードをAlt-Svcヘッダーとして利用することで自動で接続をHTTPSにアップグレードできるようになりました。 ◆その他のアップデート ・macOSにてファイルメニューからOSの共有オプションにアクセス可能になりました ・macOSにてICC v4プロファイルを含んだ画
はじめに TL;DR 名前解決が一部失敗する話 CoreDNSのhealth checkと終了時の挙動(一部推測が含まれる) 原因その① 調査編 再現検証 検証環境について 結果 原因その① 対策編 対策方針 原因その② どんなときに名前解決が失敗するか 原因その② 対策編 やり方 参考実装の例4つと採用したやりかた 解説 まとめ はじめに どうもrenjikariです。SREです。 AWS Elastic Kontainer Service(以下EKS)環境にて起きた事象の対策が結構たいへんだったので、対応とともに共有しておきます。 もっといいやり方あるぜ!って人はぜひ教えて下さい:bow: 今回の事象には原因が2つあり、それぞれに解決策を用意したため、記事でも原因その① => 解決策その① => 原因その② => 解決策その②という順番で書いていきます TL;DR EKSにおいてある程
text/plain ericlaw talks about security, the web, and software in general Last Update: June 24, 2024 From the mailbag: Q: How long does Chromium cache hostnames? I know a user can clear the hostname cache using the Clear host cache button on about://net-internals/#dns, but how long it will take for the cache to be removed if no manual action is taken? After changing DNS records on my server, nsloo
<前編> ・ドメイン・ネットワーク帯を調査する手法 ・ドメインの調査 ・JPRS whois ・ICANN Registry Listings ・ネットワーク帯(IPアドレス)の調査 ・JPNIC whois Gateway ・BGP Tool kit ・その他の調査 ・検索エンジンを使った調査 ・Webサイトのクローリング ・Google AdSense ・公的データベースの活用 ・gBizINFO ・公開情報調査(Passive型の検索サービス) ・Robtex ・PassiveDNS ・viewdns.info ・Microsoft Defender Threat Intelligence ・違うTLDを試す ・RDAP サブドメインを調査する方法 様々な手法で収集した、ドメインとIPアドレス情報をもとにサブドメインを列挙するフェーズです。ドメイン/ネットワーク帯(IPアドレス)調査
フロントエンドエンジニアのブライアン・ブラウン氏がかつてドメインを購入した際に失敗した事について、過去を振り返るブログ記事を投稿しました。 Before you buy a domain name, first check to see if it's haunted | Bryan Braun - Frontend Developer https://www.bryanbraun.com/2024/10/25/before-you-buy-a-domain-name-first-check-to-see-if-its-haunted/ ブラウン氏はブラウザ上で動くインタラクティブなオンラインオルゴールを開発し、musicboxfun.comでホストしていました。2022年にmusicbox.funというドメインが空いている事を発見し、購入してサイトを移行したとのこと。 ブラウン氏が全ての
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 米政府の国土安全保障省サイバーセキュリティインフラストラクチャーセキュリティ庁(DHS CISA)は米国時間7月16日、「Windows Server」に深刻な影響を与えるバグに対処するため、全ての政府機関へパッチ適用もしくは回避策を24時間以内に講じるよう指示する緊急指令(ED 20-03)を発表した。 Check Pointの研究者が発見したこの脆弱性は「SIGRed」と呼ばれ、緊急指令はMicrosoftが14日にリリースした月例セキュリティパッチ(Patch Tuesday)を施すよう、政府機関に呼びかけている。 このバグは、2003~2019年までにリリースされたWindows Serverの全バージョンに同梱されているDNS
The Hacker Newsはこのほど、「ChamelDoH: New Linux Backdoor Utilizing DNS-over-HTTPS Tunneling for Covert CnC」において、「ChamelGang」と呼ばれる脅威者によるLinuxを標的としたキャンペーンが展開されているとして、注意を喚起した。これまで文書化されていなかったインプラントを使用してLinuxをバックドア化するマルウェアが確認されている。 ChamelGangは、2021年9月にロシアのセキュリティベンダーにより初めて文書化された脅威者。これまでDoorMeと呼ばれるパッシブバックドアを使用し、ロシア、米国、インド、ネパール、台湾、日本などのエネルギー産業や航空製造業、政府機関を標的にサイバー攻撃を行っていることが観測されている。 ChamelGangによる新たなキャンペーンが特定され、新
インターネットを利用する上で欠かすことができない「ドメインネームシステム(DNS)」は、1983年に設計された古いシステムであるため、高度化した現代のサイバー攻撃に対応できるセキュリティを持ち合わせているとは言えません。実際にDNSキャッシュポイズニングで利用者を悪意のあるウェブサイトに誘導するといった攻撃事例は数多く存在します。そんなDNSに対する新たな攻撃手法「SAD DNS」について、ネットワーク企業のCloudflareが説明しています。 SAD DNS Explained https://blog.cloudflare.com/sad-dns-explained/ インターネット上の通信にはIPアドレスが用いられていますが、ただの数字の羅列であるIPアドレスは人間にとっては扱いにくいもの。そんなIPアドレスを「gigazine.net」といったドメイン名に対応させ、インターネット
はじめに PowerDNSを用いて、物理的、地理的に冗長化(※)された権威DNSサーバの構築例を紹介します。本稿では「さくらのクラウド」上に構築していますが、同等の構成をとれる環境では同じ設定が可能かと思います。 PowerDNS自体の説明は、Wikipediaやその他わかりやすいサイトや資料が多数あるため、本稿では割愛しますが、 権威DNSサーバとして動作する PowerDNS Authoritative Server DNSキャッシュサーバとして動作する PowerDNS Recursor の2種類があります。ここでは権威サーバとして使用するため前者を導入します。 インフラ構成 本稿では以下のような構成例を元に設定例を紹介します。 この構成例では、「プライマリサーバ」と「DNSサーバ」に、役割を明確に分けています。 プライマリサーバについて DNSゾーンのリソースレコードなどの情報を一
まとめ 検索エンジンは DuckDuckGo を使っている DNS は NextDNS を使っている macOS / iOS / iPadOS で利用している 自社でも NextDNS を採用した ログはオフで運用 なぜ DuckDuckGo ? DuckDuckGo — Privacy, simplified. Google の検索結果があまりにも酷いと感じており、 uBlacklist を利用してブロックしていたがきりが無くなってきたので、切り替えた。 DuckDuckGo ブラウザは利用しておらず Chrome を継続して利用している Chrome Extension として DuckDuckGo Privacy Essentials を追加して利用している 特に困ることはない。今後も DuckDuckGo を使っていこうと思う。 DuckDuckGo Privacy Pro が日本
さくらインターネットのSRE室で室長を務めている長野です。 前編の記事では、DNSサーバへの攻撃手法や、実際に発生したさくらのクラウドのDNSアプライアンスへの攻撃の様子を紹介しました。それに続く本記事では、このような攻撃に対してどのような対策を行ってきたかを紹介します。 水責め攻撃への対応と対策 ではここから、最初の攻撃が去年の夏にあってから、どういう対応と対策をしてきたのかを紹介したいと思います。 スタンバイ側のVRRPデーモンの停止 初回を思い出すと、CPU負荷が非常に上がり、100%近いCPUを使うようになって名前解決が遅延し、タイムアウトしたというのが、最初のアラートとして上がりました。 その中でよくよく調べると、VRRPで冗長化をしているのですけれども、その切り替えがパタパタ発生していたんですね。PowerDNSが落ちてしまった、タイムアウトしたというので切り替わります。ところ
Giuliano Bellini氏をはじめとする、ネットワークトラフィックをGUIでリアルタイム表示できるオープンソースのネットワーク監視ツールSniffnetの開発チームは、最新バージョンとなる「Sniffnet 1.2.0」を5月18日(現地時間)にリリースした。 Sniffnetは、PCのネットワークアダプタを選択可能で、インターネットトラフィックに関する全体的な統計や、トラフィック強度のリアルタイムでのグラフ表示や、リモートホストの情報取得、あらかじめ指定したネットワークイベント発生時の通知、ネットワーク接続の詳細情報を含むレポート保存などに対応している。 今回、リリースされた「Sniffnet 1.2.0」では、新機能として逆引きDNSルックアップ機能や、特定のIPアドレスを管理するエンティティを見つけるためのASNルックアップ機能が追加され、IPアドレスの表示だけでなく、ホスト
2020年6月26日から22年11月24日にかけて、702件のメールを誤送信していた。一連のメールには、教職員の氏名、メールアドレスなど270人分、学生の氏名、学籍番号、メールアドレスなど382人分、学外関係者の氏名、メールアドレスなど177人分が含まれていたという。誤送信した情報の悪用は確認していない。 2つの研究室で使っていたメーリングリスト3件で登録ミスがあった。メーリングリストの用途は研究室の近況報告や、イベントの案内用など。2022年11月に他の大学が同様のミスを発表したことから、鹿児島大でも独自に調査したところ、誤登録が発覚したという。ミスは修正済み。 @gmai.comなどタイプミス・誤認識しやすいドメイン名は「ドッペルゲンガー・ドメイン」とも呼ばれる。ユーザーが誤ってアクセスしたり、メールを誤送信したりするのを狙って取得されたものもある。 通常、存在しないアドレス宛てのメー
TechCrunch Daily News Every weekday and Sunday, you can get the best of TechCrunch’s coverage. Startups Weekly Startups are the core of TechCrunch, so get our best coverage delivered weekly.
今年3月以降、企業や中央省庁、地方自治体のウェブサイトを狙った特殊なサイバー攻撃が頻発していることが29日、関係者への取材で分かった。大量のデータを送り付けシステム障害を起こすDDoS攻撃の一種だが、サイトの重要サーバーを狙った特殊な手法を使っていた。ほとんどは短時間で復旧した。 多様化するハッカー集団 解説!イチからわかる「サイバー攻撃」 内閣サイバーセキュリティセンターは「G7広島サミット議長国として狙われている可能性があり、関係機関に警戒するよう注意喚起した」と話す。中京大の鈴木常彦教授は「本格的な攻撃の前の下調べの可能性がある」と分析している。 JR西日本は4月20日から21日にかけ、東京電力は22日にそれぞれ攻撃を受け、サイトがつながらなくなった。自治体では大阪府や愛知県、熊本県などが攻撃を受けた。奈良県は4月26日に攻撃され、県や県内39市町村で職員のメール受信に遅れが生じたり
HTTPSで通信を開始する際に、事前に知っていると有用な情報が幾つかあります。 サーバがHTTP/3に対応しているか(Alt-Svc情報) TLS Encrypted Client Hello で必要な情報 サーバがHSTSを要求してくるか このような情報を提供する新しいDNSレコードを定義する仕様が提案されています。提案仕様「Service binding and parameter specification via the DNS (DNS SVCB and HTTPS RRs)」では、サービスに関する情報を通知する一般形式であるSVCBレコードと、HTTPS用であるHTTPSレコードを定義しています。 もともとはHTTPSSVCレコードという名称でしたが、最近改称されHTTPSレコードになりました。 また、このHTTPSレコードを用いることでANAMEレコードが解決しようとしていた
Last Updated on 2024.08.5 コミュニケーション手段として未だ重要な役割を果たしているメールですが、送信元を偽ることで受信者を騙し、ウイルスに感染させようとしたり、フィッシング詐欺に誘導させたりするような不正なメールもまた後を絶ちません。こうしたメールは「なりすましメール」と呼ばれ、重大なセキュリティインシデントの温床になりえます。 こうした悪質な「なりすまし」を防ぐための仕組みが「送信ドメイン認証」です。送信ドメイン認証を怠っていると、自分の送ったメールがなりすましメールだと誤解されてしまい、メールが届かず企業活動が阻害されるリスクもあります。ここでは、なりすましメールの仕組みや、送信ドメイン認証の方法である「SPF」「DKIM」の確認方法について解説します。 なりすましメールの概要と仕組み まず、なりすましメールの概要と仕組みについて解説します。 なりすましメール
Dansk Deutsch English Español Français Hrvatski Italiano Magyar Nederlands Polski Português (BR) Português (PT) Română Slovenčina Slovenščina Srpski Suomi Tiếng Việt Türkçe Český Русский Українська 中文 (简体) 中文 (繁體) 日本語 한국어
「Microsoft Azure」上で稼働するMicrosoftの多くのサービスが利用できないとの報告が米国時間4月1日夕方より多数のユーザーから寄せられた。同社はTwitterの@AzureSupportアカウントと@MSFT365Statusアカウントの双方で問題を認識しているとツイートし、多くのユーザーに、「Azureの状態」ページにアクセスするよう求めていたが、米東部標準時午後5時45分時点でこのページはアクセス不能となっていた。 複数のユーザーが「Azure Portal」やAzureサービス、「Dynamics 365」、その他数多くのサービスにアクセスできないと報告した。Bing.comも停止しているとの報告もあった。筆者の「Exchange」メールは本記事執筆時点で正常に稼働しているが、同社によるExchangeのAzureへの移行が完了していないためであるかもしれない。
text/plain ericlaw talks about security, the web, and software in general In a recent post, I explored some of the tradeoffs engineers must make when evaluating the security properties of a given design. In this post, we explore an interesting tradeoff between Security and Privacy in the analysis of web traffic. Many different security features and products attempt to protect web browsers from mal
[アップデート] S3 インターフェースエンドポイントでプライベート DNS 名を使用できるようになりました | DevelopersIO
(ゲートウェイ型を利用できる)VPC 上のアプリケーションがインターフェース型のエンドポイントを利用するメリットはありません。データ処理量に応じた料金が発生するためです。 *1あくまでインターフェース型はオンプレミスのアプリケーションなど、VPC 外からの S3 アクセスを想定したものになっています。 なお、2023/3現在の東京リージョンでの「データ処理量に応じた料金」は 1GB あたり 0.01 USD です。(一定量を超えると段階的に安くなります。) 料金 - AWS PrivateLink | AWS インターフェースエンドポイントのプライベート DNS 名 インターフェースエンドポイントのプライベート DNS 名 を有効化すると、それに応じたサービス用のプライベートホストゾーンが自動で生成され、エンドポイントを配置した VPC に自動で関連付けられます。例えば東京リージョンで S
![[アップデート] S3 インターフェースエンドポイントでプライベート DNS 名を使用できるようになりました | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/26ddcbeeebba3c0b350413c7b63ddf812112d927/height=288;version=1;width=512/https%3A%2F%2Fsiteproxy.ruqli.workers.dev%3A443%2Fhttps%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2022%2F08%2Famazon-s3.png)
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
