アカウント名:
パスワード:
まぁよくある話だよねというのはおいといて、ではユーザ側がとれる対策としてなにかあるのかということで例えばgoogleのDNSより使用しているISPのDNSだとより安全だろうか?その他方法があれば聞いてみたい。
> 例えばgoogleのDNSより使用しているISPのDNSだとより安全だろうか?
ISPにもピンからキリまであるので一概には言えないけど、適切に運用されたISPのDNSサーバが安全だよね。適切に運用されてはいないISPのDNSサーバならば、Googleの8.8.8.8のほうがマシだけど。
CDNはDNSの問い合わせてきた接続元のIPアドレスから、近い場所にあるサーバのIPアドレスを返すことで最適化してたりするので、Googleの8.8.8.8をメインで使うっていうメリットがよくわからないんだけど。
Googleの8.8.8.8をメインで使うっていうメリットがよくわからないんだけど。
Google が利点として挙げている [google.com]のは、
(1) 多数の要求をさばくのでキャッシュが効いて ISP の DNS サーバーより速いかも (2) DNS ポイズニングや DoS 攻撃等、セキュリティー上の問題にいろいろ対処してあるので安全 (3) ISP の中には、ドメイン名が見つからないときに正しく NXDOMAIN を返さず、広告表示用のウェブサーバーにリダイレクトするような DNS サーバーを提供しているところもあるけれど、うちはそういうことしない
らしい。上の説明はてきとうなので、ちゃんとしたことはリンク先参照。
(1)だと、キャッシュからの応答は速いかもしれないですが、遠いGoogleのDNSサーバまで問い合わせる分、微妙だと思います。8.8.8.8がどこにあるのかわかりませんが。また、AkamaiみたいなCDNは遅くなるので、速さはメリットとしては、少なくとも日本では弱いと思います。
(2)については、8.8.8.8が汚染されるのは防げてるとしても、8.8.8.8を利用しているクライアントは毒入れから守れているかはわからないです。8.8.8.8からの応答を偽装したパケットが世界中に流されている場合、いつか当たるかもしれません。Googleが凄い技術で守ってるのかもしれませんが、そんな技術があるなら皆使うべき。
(3)はそういうところもある、というだけですね。
ただの推測ですが、日本国内から 8.8.8.8 に ping すると RTT が40ms弱ということから、パケットは少なくとも太平洋を渡っておらず、またアメリカ国内にもデータセンターの拠点はあるだろうということを踏まえると流石にエニーキャストの仕組みくらいは整えてあるんじゃないかと思っています。少なくとも日本国内からのリクエストに応答するサーバは(国内にはないかもしれないけど)それほど遠くにあるというわけでもないようです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
ユーザが設定すべきDNSは (スコア:0)
まぁよくある話だよねというのはおいといて、
ではユーザ側がとれる対策としてなにかあるのかということで
例えばgoogleのDNSより使用しているISPのDNSだとより安全だろうか?
その他方法があれば聞いてみたい。
Re: (スコア:0)
> 例えばgoogleのDNSより使用しているISPのDNSだとより安全だろうか?
ISPにもピンからキリまであるので一概には言えないけど、適切に運用されたISPのDNSサーバが安全だよね。
適切に運用されてはいないISPのDNSサーバならば、Googleの8.8.8.8のほうがマシだけど。
CDNはDNSの問い合わせてきた接続元のIPアドレスから、近い場所にあるサーバのIPアドレスを返すことで最適化してたりするので、Googleの8.8.8.8をメインで使うっていうメリットがよくわからないんだけど。
Re: (スコア:3)
Google が利点として挙げている [google.com]のは、
(1) 多数の要求をさばくのでキャッシュが効いて ISP の DNS サーバーより速いかも
(2) DNS ポイズニングや DoS 攻撃等、セキュリティー上の問題にいろいろ対処してあるので安全
(3) ISP の中には、ドメイン名が見つからないときに正しく NXDOMAIN を返さず、広告表示用のウェブサーバーにリダイレクトするような DNS サーバーを提供しているところもあるけれど、うちはそういうことしない
らしい。上の説明はてきとうなので、ちゃんとしたことはリンク先参照。
Re: (スコア:0)
(1)だと、キャッシュからの応答は速いかもしれないですが、遠いGoogleのDNSサーバまで問い合わせる分、微妙だと思います。
8.8.8.8がどこにあるのかわかりませんが。
また、AkamaiみたいなCDNは遅くなるので、速さはメリットとしては、少なくとも日本では弱いと思います。
(2)については、8.8.8.8が汚染されるのは防げてるとしても、8.8.8.8を利用しているクライアントは毒入れから守れているかはわからないです。
8.8.8.8からの応答を偽装したパケットが世界中に流されている場合、いつか当たるかもしれません。
Googleが凄い技術で守ってるのかもしれませんが、そんな技術があるなら皆使うべき。
(3)はそういうところもある、というだけですね。
Re:ユーザが設定すべきDNSは (スコア:1)
ただの推測ですが、日本国内から 8.8.8.8 に ping すると RTT が40ms弱ということから、パケットは少なくとも太平洋を渡っておらず、またアメリカ国内にもデータセンターの拠点はあるだろうということを踏まえると流石にエニーキャストの仕組みくらいは整えてあるんじゃないかと思っています。少なくとも日本国内からのリクエストに応答するサーバは(国内にはないかもしれないけど)それほど遠くにあるというわけでもないようです。