アカウント名:
パスワード:
まぁよくある話だよねというのはおいといて、ではユーザ側がとれる対策としてなにかあるのかということで例えばgoogleのDNSより使用しているISPのDNSだとより安全だろうか?その他方法があれば聞いてみたい。
hostsに全部書いておこう
いちいちhostsに書くのは大変なので、hostsになかったらインターネット上から自動で取得して書き込むツールを作ろう。あ、でも、IPアドレスが変更になってたら困るので、hostsにあってもある程度古くなったら取得なおしたほうがいいな。
・・・あれ?
> 例えばgoogleのDNSより使用しているISPのDNSだとより安全だろうか?
ISPにもピンからキリまであるので一概には言えないけど、適切に運用されたISPのDNSサーバが安全だよね。適切に運用されてはいないISPのDNSサーバならば、Googleの8.8.8.8のほうがマシだけど。
CDNはDNSの問い合わせてきた接続元のIPアドレスから、近い場所にあるサーバのIPアドレスを返すことで最適化してたりするので、Googleの8.8.8.8をメインで使うっていうメリットがよくわからないんだけど。
Googleの8.8.8.8をメインで使うっていうメリットがよくわからないんだけど。
Google が利点として挙げている [google.com]のは、
(1) 多数の要求をさばくのでキャッシュが効いて ISP の DNS サーバーより速いかも (2) DNS ポイズニングや DoS 攻撃等、セキュリティー上の問題にいろいろ対処してあるので安全 (3) ISP の中には、ドメイン名が見つからないときに正しく NXDOMAIN を返さず、広告表示用のウェブサーバーにリダイレクトするような DNS サーバーを提供しているところもあるけれど、うちはそういうことしない
らしい。上の説明はてきとうなので、ちゃんとしたことはリンク先参照。
何かトラブルが合った時にISPの障害情報よりもニュースとして目に入りやすいというのも良い気がします。
ツイッターで話題になったり、こうしてスラドに載ったりもしますし。
Google固有の話はなにもないなあ。あえていえば(1)だけど、速度なんて結局サーバのキャパシティとリクエスト量の比によるものだし。つきつめれば、Googleブランドを信じるかどうかの話だよね。
Google 特有の話があるかどうかは知らないけど、
あえていえば(1)だけど、速度なんて結局サーバのキャパシティとリクエスト量の比によるものだし。
あなたは (1) に書いてあることを理解していないような気がする。
1.多数の要求をさばくのでマイナーなところはキャッシュからすぐに消え、遅いってこと?2.Googleの方が上だ、信じろってこと?3.広告表示がなく無料なのでやめるかもしれないってこと?
(1)だと、キャッシュからの応答は速いかもしれないですが、遠いGoogleのDNSサーバまで問い合わせる分、微妙だと思います。8.8.8.8がどこにあるのかわかりませんが。また、AkamaiみたいなCDNは遅くなるので、速さはメリットとしては、少なくとも日本では弱いと思います。
(2)については、8.8.8.8が汚染されるのは防げてるとしても、8.8.8.8を利用しているクライアントは毒入れから守れているかはわからないです。8.8.8.8からの応答を偽装したパケットが世界中に流されている場合、いつか当たるかもしれません。Googleが凄い技術で守ってるのかもしれませんが、そんな技術があるなら皆使うべき。
(3)はそういうところもある、というだけですね。
ただの推測ですが、日本国内から 8.8.8.8 に ping すると RTT が40ms弱ということから、パケットは少なくとも太平洋を渡っておらず、またアメリカ国内にもデータセンターの拠点はあるだろうということを踏まえると流石にエニーキャストの仕組みくらいは整えてあるんじゃないかと思っています。少なくとも日本国内からのリクエストに応答するサーバは(国内にはないかもしれないけど)それほど遠くにあるというわけでもないようです。
(4) 見返りとして通信内容は利用させてもらうけどね
が抜けてますよ
適切ではない運用をしているISPのDNSサーバのチェックは外部からある程度は可能ですけど、適切な運用をしているかなんてことは外部からはなかなかわからない。確実な判断はそのISPに聞くしかないので、ここに聞くより自分が使っているISPに聞くべきことでしょう。
ある程度の判断をしたいなら、ちょっとググっただけでいろいろチェックサービスが出てきます。
DNSサーバが十分な乱数性をもっているかチェック [dns-oarc.net]してくれるDNS-OARCのサービスは、偽装パケットによるキャッシュポイズニングへの耐性が確認できます。
Open Resolver Test [measurement-factory.com]では、そのまま名前の通り、オープンリゾルバになっていないかチェックしてくれます。
何度もいいますが、ダメなDNSサーバを外部からチェックするのは簡単ですが、ダメじゃないかどうかなんてISPの内部構成次第なのでわかりようがない。Googleの8.8.8.8だって、Googleが安全だって言ってるだけで、何で安全なのか理解している人はどれくらいいるでしょうか?
ところで、自分が期待した答えじゃなかったからといって無礼な返事を返すようでは、人に質問や助けを求める資格は無いので、黙ってたほうがいいと思います。
自分の使ってるISPのDNSへの経路にBGP使ってる部分がありますかというお話に帰着します。
ISP次第ですが普通は外をわざわざ通さないので比較すれば安全ですね。
ISPのDNSだって児童ポルノブロッキングの名のもとに何やっているのかわからないし、途中でアドレス変換されている可能性まで考えれば、何を信用すればいいのかわからないのが、今のインターネットです。DNSSECも存在しているものが正しいかどうか確認できるだけで、ブロックして存在しないことにするなら無力です。ISPのDNSキャッシュを使わずに、ローカルに独自に設置したDNSキャッシュを使用しているから安全だなんて言うのも、独りよがりな話です。
結局、ブロッキングやフィルタリングされている可能性があるということを考慮したうえで使っていくしかないのかもね。
自分で立てる。はい解散。
自分で立てる。
ブロードバンドルーターですね、わかります。
ルータでは怪しいので、ルータの内側のプライベートアドレスを持ったサーバを置くのがいいです。NATにしておけば、外部からキャッシュポイズニングなんかはほとんど受けません。
インターネットに無駄なDNSトラフィックが増えちゃいますが。
安心は安全に勝るのです
自分でフルリゾルバ立てろ
unboundを使ってるのは/.-Jで俺一人だけか
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
吾輩はリファレンスである。名前はまだ無い -- perlの中の人
ユーザが設定すべきDNSは (スコア:0)
まぁよくある話だよねというのはおいといて、
ではユーザ側がとれる対策としてなにかあるのかということで
例えばgoogleのDNSより使用しているISPのDNSだとより安全だろうか?
その他方法があれば聞いてみたい。
Re:ユーザが設定すべきDNSは (スコア:3, おもしろおかしい)
hostsに全部書いておこう
Re:ユーザが設定すべきDNSは (スコア:2)
いちいちhostsに書くのは大変なので、
hostsになかったらインターネット上から自動で取得して書き込むツールを作ろう。
あ、でも、IPアドレスが変更になってたら困るので、
hostsにあってもある程度古くなったら取得なおしたほうがいいな。
・・・あれ?
Re: (スコア:0)
> 例えばgoogleのDNSより使用しているISPのDNSだとより安全だろうか?
ISPにもピンからキリまであるので一概には言えないけど、適切に運用されたISPのDNSサーバが安全だよね。
適切に運用されてはいないISPのDNSサーバならば、Googleの8.8.8.8のほうがマシだけど。
CDNはDNSの問い合わせてきた接続元のIPアドレスから、近い場所にあるサーバのIPアドレスを返すことで最適化してたりするので、Googleの8.8.8.8をメインで使うっていうメリットがよくわからないんだけど。
Re:ユーザが設定すべきDNSは (スコア:3)
Google が利点として挙げている [google.com]のは、
(1) 多数の要求をさばくのでキャッシュが効いて ISP の DNS サーバーより速いかも
(2) DNS ポイズニングや DoS 攻撃等、セキュリティー上の問題にいろいろ対処してあるので安全
(3) ISP の中には、ドメイン名が見つからないときに正しく NXDOMAIN を返さず、広告表示用のウェブサーバーにリダイレクトするような DNS サーバーを提供しているところもあるけれど、うちはそういうことしない
らしい。上の説明はてきとうなので、ちゃんとしたことはリンク先参照。
Re:ユーザが設定すべきDNSは (スコア:2)
何かトラブルが合った時にISPの障害情報よりもニュースとして目に入りやすいというのも良い気がします。
ツイッターで話題になったり、こうしてスラドに載ったりもしますし。
Re: (スコア:0)
Google固有の話はなにもないなあ。あえていえば(1)だけど、速度なんて結局サーバのキャパシティとリクエスト量の比によるものだし。
つきつめれば、Googleブランドを信じるかどうかの話だよね。
Re:ユーザが設定すべきDNSは (スコア:2)
Google 特有の話があるかどうかは知らないけど、
あなたは (1) に書いてあることを理解していないような気がする。
Re: (スコア:0)
1.多数の要求をさばくのでマイナーなところはキャッシュからすぐに消え、遅いってこと?
2.Googleの方が上だ、信じろってこと?
3.広告表示がなく無料なのでやめるかもしれないってこと?
Re: (スコア:0)
(1)だと、キャッシュからの応答は速いかもしれないですが、遠いGoogleのDNSサーバまで問い合わせる分、微妙だと思います。
8.8.8.8がどこにあるのかわかりませんが。
また、AkamaiみたいなCDNは遅くなるので、速さはメリットとしては、少なくとも日本では弱いと思います。
(2)については、8.8.8.8が汚染されるのは防げてるとしても、8.8.8.8を利用しているクライアントは毒入れから守れているかはわからないです。
8.8.8.8からの応答を偽装したパケットが世界中に流されている場合、いつか当たるかもしれません。
Googleが凄い技術で守ってるのかもしれませんが、そんな技術があるなら皆使うべき。
(3)はそういうところもある、というだけですね。
Re:ユーザが設定すべきDNSは (スコア:1)
ただの推測ですが、日本国内から 8.8.8.8 に ping すると RTT が40ms弱ということから、パケットは少なくとも太平洋を渡っておらず、またアメリカ国内にもデータセンターの拠点はあるだろうということを踏まえると流石にエニーキャストの仕組みくらいは整えてあるんじゃないかと思っています。少なくとも日本国内からのリクエストに応答するサーバは(国内にはないかもしれないけど)それほど遠くにあるというわけでもないようです。
Re: (スコア:0)
(4) 見返りとして通信内容は利用させてもらうけどね
が抜けてますよ
Re:ユーザが設定すべきDNSは (スコア:4, 参考になる)
適切ではない運用をしているISPのDNSサーバのチェックは外部からある程度は可能ですけど、適切な運用をしているかなんてことは外部からはなかなかわからない。
確実な判断はそのISPに聞くしかないので、ここに聞くより自分が使っているISPに聞くべきことでしょう。
ある程度の判断をしたいなら、ちょっとググっただけでいろいろチェックサービスが出てきます。
DNSサーバが十分な乱数性をもっているかチェック [dns-oarc.net]してくれるDNS-OARCのサービスは、偽装パケットによるキャッシュポイズニングへの耐性が確認できます。
Open Resolver Test [measurement-factory.com]では、そのまま名前の通り、オープンリゾルバになっていないかチェックしてくれます。
何度もいいますが、ダメなDNSサーバを外部からチェックするのは簡単ですが、ダメじゃないかどうかなんてISPの内部構成次第なのでわかりようがない。
Googleの8.8.8.8だって、Googleが安全だって言ってるだけで、何で安全なのか理解している人はどれくらいいるでしょうか?
ところで、自分が期待した答えじゃなかったからといって無礼な返事を返すようでは、人に質問や助けを求める資格は無いので、黙ってたほうがいいと思います。
離島の場合はどうなってるんだろう? (スコア:0)
自分の使ってるISPのDNSへの経路にBGP使ってる部分がありますかというお話に帰着します。
ISP次第ですが普通は外をわざわざ通さないので比較すれば安全ですね。
Re: (スコア:0)
ISPのDNSだって児童ポルノブロッキングの名のもとに何やっているのかわからないし、途中でアドレス変換されている可能性まで考えれば、何を信用すればいいのかわからないのが、今のインターネットです。DNSSECも存在しているものが正しいかどうか確認できるだけで、ブロックして存在しないことにするなら無力です。ISPのDNSキャッシュを使わずに、ローカルに独自に設置したDNSキャッシュを使用しているから安全だなんて言うのも、独りよがりな話です。
結局、ブロッキングやフィルタリングされている可能性があるということを考慮したうえで使っていくしかないのかもね。
Re: (スコア:0)
自分で立てる。
はい解散。
Re: (スコア:0)
自分で立てる。
ブロードバンドルーターですね、わかります。
Re: (スコア:0)
ルータでは怪しいので、ルータの内側のプライベートアドレスを持ったサーバを置くのがいいです。
NATにしておけば、外部からキャッシュポイズニングなんかはほとんど受けません。
インターネットに無駄なDNSトラフィックが増えちゃいますが。
Re:ユーザが設定すべきDNSは (スコア:2)
安心は安全に勝るのです
Re: (スコア:0)
自分でフルリゾルバ立てろ
Re: (スコア:0)
unboundを使ってるのは/.-Jで俺一人だけか