トップ «前の日記(2011-11-04) 最新 次の日記(2012-03-09)» 編集

インターノット崩壊論者の独り言

過去の日記
EPIC2014
Google Public DNS (8.8.8.8, 8.8.4.4) および Cloudflare (1.1.1.1, 1.0.0.1) 経由では本サイトにアクセスできないよう措置させて頂いております。

2011-11-14 危険なDNSサーバをなくそう

- Port Randomize Tester を作ってみた

11月2日に書いたように「危険なDNSサーバの利用者へ警告」というのをはじめましたが、これは主としてqmail.jpの前野さんから提供頂いたブラックリストに基づくものです。

もう少し広範囲に警告しようと、先週土曜の夜から日曜の朝にかけて、ブラックリスト不要で危険なサーバを自動判定する仕掛けを作成しました。このブログの右上にある3つの小さなボールアイコンとともに表示されているのがその仕掛けを用いたバナーです。危険なサーバを用いたアクセスには Your DNS is Risky. と表示されます。ブラックリストの場合とは異なりオープンリゾルバでなくともポート番号が固定されていれば警告が出ます。ファイアウォールの内側でアクセス制限があっても毒入れはできるのです。警告が出た場合は早急に対処したほうが良いでしょう。

また、自分の使っているDNSキャッシュサーバをチェックすることのできる専用のページ"Port Randomize Tester"も作成しました。どうぞご利用ください。Queryのポート番号が固定なのを確かめるだけの仕掛けなので、ランダム性を詳細に調べたい方はこちらのほうがよくできています。また、ポートがランダマイズされていてもオープンリゾルバはDDoS(DNS amplification attack)に使われるなどの危険性もあります。そのあたりのチェックはこちらでどうぞ。

バナーをつくろうと思ったのは、一緒にはじめた前野さんがウェブアプリケーションで有名な徳丸さんを誘ってくださったことがきっかけです。徳丸さんがバナーなら協力してもよいとのことで、まずは旧「徳丸浩の日記」に危険なサーバを判定する仕掛け入りのバナーを設置頂いています。こちらはまだブラックリストにもとづくものですが、新しい仕掛けも使って頂こうと思っています。自分のサイトにもバナー設置してもいいという方はご連絡ください。

本日のツッコミ(全8件) [ツッコミを入れる]
_ tm (2011-11-14 07:27)

バナーを設置するにはサイト側ではなにをすればいいのですか。

_ tm (2011-11-14 07:30)

判定基準はなんですか。DNS問い合わせ元が固定port(53など)を使っていることだけですか。

_ tm (2011-11-14 07:31)

外部からの問い合わせには答えないのに、なぜ危険表示がでるのですか。

_ tss (2011-11-14 10:35)

バナーを設置してもいいという方はご連絡くださいと書いていますね :-)

_ tss (2011-11-14 10:38)

ポート番号が3連続以上していたら Risky という判定です。あくまでそれだけの検査ですから Safe と出てもそれ以外の脆弱性がないことを意味するものではありません。

_ tss (2011-11-14 10:38)

解説すべきでしょうか > 外部からの問い合わせには答えないのに、なぜ危険表示がでるのですか。

_ tm (2011-11-14 11:40)

バナーを設置してもいいかどうかの判断材料がこのblogだけでは信用できません。

_ tss (2011-11-14 17:27)

このblogを見ただけの人間関係でお願いしようとは思っていません。

[]

最近の日記

リンク

Copyright by T.Suzuki