いまさらな代物ですが、DNS健全性チェッカーなるものを試験公開しました。(自分では脆弱性スキャナーと呼んでいたものを公開用に手直ししたものです)
DNS業界(?)ではKaminsky手法(ちなみに彼のスライドは正しくない) に乗じて、DNSSECが唯一の対策などと宣伝していますが、そんな夢物語以前に、現時点で多少なりともDNSを信用したいと思うならば、行うべき対策は山ほどあります。 対策したからといって問題が解決しないことはDNSSEC推進の方々のおっしゃるとおりですが、今できることすら放置したまま、多くの問題を抱えて普及の困難なDNSSECに助けを求めても決して救われないでしょう。
まずは、簡易なものではありますが、このDNS健全性チェッカーで自分のドメインや自分のアクセス先を検査すると、いかに今日のインターノットがぼろぼろか、多少はわかってくるのではないでしょうか。
なお、このツールではドメインハイジャックが即時に可能なドメインを見つけることもできてしまいます。そのため、これまでは公開を躊躇していましたが、もういいです。インターネットはすでに崩壊しているのですから。 (運悪く危険なドメインを見つけてしまった場合は良心に従って対処してくださいませ、よろしく)
日本での qmail や djbdns の普及の拠点であり、インターノットの3大脆弱性のひとつであるDNSの惨状について学ぶのに最適なサイトである moin.qmail.jp が、 最近、内容の充実とともにHTTPSに対応したようです。 自己署名ではありますが、DNSよりは信用できるのではないでしょうか。ちなみに私が確認した SHA1 Fingerprintは以下です。
58:EF:65:BC:D1:0D:C8:DC:49:04:F4:B7:B3:43:AF:12:53:2C:B6:F2
東海インターネット協議会では、第21回オープンソースソフトウェアセミナー「注目のオフィススィート OpenOffice.orgの導入と活用」を10/31に開催いたします。詳細はこちら -> http://wiki.tokai-ic.or.jp/hiki.cgi?OpenSourceSM21
日本時間の今日の明け方、.SEが引けないとかで、いくつかの海外のMLで騒ぎになっていた。
詳細は不明だが、NSの指すDNSサーバの名前(FQDN)に、.se が余分についていた模様。これはBIND管理者がよくやるミス。a.ns.se の後ろに . をつけないと、$ORIGINが補完されてこういうことになる。 (本当にそういうミスだったのだろうか、、、個人サイトじゃあるまいし、まさかね)
se. 172800 IN NS h.ns.se.se. se. 172800 IN NS i.ns.se.se. se. 172800 IN NS e.ns.se.se. se. 172800 IN NS a.ns.se.se. se. 172800 IN NS d.ns.se.se. se. 172800 IN NS j.ns.se.se. se. 172800 IN NS b.ns.se.se. se. 172800 IN NS c.ns.se.se. se. 172800 IN NS g.ns.se.se. se. 172800 IN NS f.ns.se.se.
Sweden’s Internet broken by DNS mistake http://royal.pingdom.com/2009/10/13/sweden’s-internet-broken-by-dns-mistake/
記事によれば、現地時間 21:19 からこの状態となり、 22:43 にゾーンデータは復旧。しかし、TTLが24時間(何のTTLが?)であったため、最大丸1日.se にアクセス不可能であったとのこと。
Copyright by T.Suzuki
Before...
■ tss [ってことで、公開に問題無しということで ;-) さらに、ランダムに問題あるドメインを表示する機能でもつけましょうかね..]
■ tm [よくもまあ、自分に都合よく解釈するもんですな。 ]
■ tm [古い記事にはコメントが書けないので、こちらにします。 qmail の不良とかでqmailを捨てさせようと宣伝してい..]