パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Google Public DNS(8.8.8.8)がBGPハイジャックされる」記事へのコメント

  • by Anonymous Coward on 2014年03月19日 8時31分 (#2565685)

    まぁよくある話だよねというのはおいといて、
    ではユーザ側がとれる対策としてなにかあるのかということで
    例えばgoogleのDNSより使用しているISPのDNSだとより安全だろうか?
    その他方法があれば聞いてみたい。

    • by Anonymous Coward on 2014年03月19日 10時30分 (#2565744)

      hostsに全部書いておこう

      親コメント
      • いちいちhostsに書くのは大変なので、
        hostsになかったらインターネット上から自動で取得して書き込むツールを作ろう。
        あ、でも、IPアドレスが変更になってたら困るので、
        hostsにあってもある程度古くなったら取得なおしたほうがいいな。

        ・・・あれ?

        親コメント
    • by Anonymous Coward

      > 例えばgoogleのDNSより使用しているISPのDNSだとより安全だろうか?

      ISPにもピンからキリまであるので一概には言えないけど、適切に運用されたISPのDNSサーバが安全だよね。
      適切に運用されてはいないISPのDNSサーバならば、Googleの8.8.8.8のほうがマシだけど。

      CDNはDNSの問い合わせてきた接続元のIPアドレスから、近い場所にあるサーバのIPアドレスを返すことで最適化してたりするので、Googleの8.8.8.8をメインで使うっていうメリットがよくわからないんだけど。

      • Googleの8.8.8.8をメインで使うっていうメリットがよくわからないんだけど。

        Google が利点として挙げている [google.com]のは、

        (1) 多数の要求をさばくのでキャッシュが効いて ISP の DNS サーバーより速いかも
        (2) DNS ポイズニングや DoS 攻撃等、セキュリティー上の問題にいろいろ対処してあるので安全
        (3) ISP の中には、ドメイン名が見つからないときに正しく NXDOMAIN を返さず、広告表示用のウェブサーバーにリダイレクトするような DNS サーバーを提供しているところもあるけれど、うちはそういうことしない

        らしい。上の説明はてきとうなので、ちゃんとしたことはリンク先参照。

        親コメント
        • 何かトラブルが合った時にISPの障害情報よりもニュースとして目に入りやすいというのも良い気がします。

          ツイッターで話題になったり、こうしてスラドに載ったりもしますし。

          親コメント
        • by Anonymous Coward

          Google固有の話はなにもないなあ。あえていえば(1)だけど、速度なんて結局サーバのキャパシティとリクエスト量の比によるものだし。
          つきつめれば、Googleブランドを信じるかどうかの話だよね。

        • by Anonymous Coward

          1.多数の要求をさばくのでマイナーなところはキャッシュからすぐに消え、遅いってこと?
          2.Googleの方が上だ、信じろってこと?
          3.広告表示がなく無料なのでやめるかもしれないってこと?

        • by Anonymous Coward

          (1)だと、キャッシュからの応答は速いかもしれないですが、遠いGoogleのDNSサーバまで問い合わせる分、微妙だと思います。
          8.8.8.8がどこにあるのかわかりませんが。
          また、AkamaiみたいなCDNは遅くなるので、速さはメリットとしては、少なくとも日本では弱いと思います。

          (2)については、8.8.8.8が汚染されるのは防げてるとしても、8.8.8.8を利用しているクライアントは毒入れから守れているかはわからないです。
          8.8.8.8からの応答を偽装したパケットが世界中に流されている場合、いつか当たるかもしれません。
          Googleが凄い技術で守ってるのかもしれませんが、そんな技術があるなら皆使うべき。

          (3)はそういうところもある、というだけですね。

          • by Anonymous Coward on 2014年03月19日 20時58分 (#2566152)

            ただの推測ですが、日本国内から 8.8.8.8 に ping すると RTT が40ms弱ということから、パケットは少なくとも太平洋を渡っておらず、またアメリカ国内にもデータセンターの拠点はあるだろうということを踏まえると流石にエニーキャストの仕組みくらいは整えてあるんじゃないかと思っています。少なくとも日本国内からのリクエストに応答するサーバは(国内にはないかもしれないけど)それほど遠くにあるというわけでもないようです。

            親コメント
        • by Anonymous Coward

          (4) 見返りとして通信内容は利用させてもらうけどね

          が抜けてますよ

    • 自分の使ってるISPのDNSへの経路にBGP使ってる部分がありますかというお話に帰着します。

      ISP次第ですが普通は外をわざわざ通さないので比較すれば安全ですね。

    • by Anonymous Coward

      ISPのDNSだって児童ポルノブロッキングの名のもとに何やっているのかわからないし、途中でアドレス変換されている可能性まで考えれば、何を信用すればいいのかわからないのが、今のインターネットです。DNSSECも存在しているものが正しいかどうか確認できるだけで、ブロックして存在しないことにするなら無力です。ISPのDNSキャッシュを使わずに、ローカルに独自に設置したDNSキャッシュを使用しているから安全だなんて言うのも、独りよがりな話です。

      結局、ブロッキングやフィルタリングされている可能性があるということを考慮したうえで使っていくしかないのかもね。

    • by Anonymous Coward

      自分で立てる。
      はい解散。

      • by Anonymous Coward

        自分で立てる。

        ブロードバンドルーターですね、わかります。

        • by Anonymous Coward

          ルータでは怪しいので、ルータの内側のプライベートアドレスを持ったサーバを置くのがいいです。
          NATにしておけば、外部からキャッシュポイズニングなんかはほとんど受けません。

          インターネットに無駄なDNSトラフィックが増えちゃいますが。

    • by Anonymous Coward

      自分でフルリゾルバ立てろ

    • by Anonymous Coward

      unboundを使ってるのは/.-Jで俺一人だけか

Stay hungry, Stay foolish. -- Steven Paul Jobs

処理中...