https://yuru-sre.connpass.com/event/317749/ の LT 資料です
不要な DNS リソースレコードは消そう / Delete unused DNS records
https://yuru-sre.connpass.com/event/317749/ の LT 資料です
ISUCON13のベンチマーカーのDNS水責め攻撃について - Hateburo: kazeburo hatenablog
この記事はさくらインターネット Advent Calendar 2023の12月3日の記事になります。 先日行われました ISUCON13 の作問を担当しました。参加者の皆様、スタッフの皆様ありがとうございました。 このエントリではISUCON13のDNSに関わる要素とベンチマーカーから行われたDNS水責めについて紹介します。 ISUCON13の問題の講評と解説は以下のエントリーでも行っていますので読んでいただけると嬉しいです isucon.net こんいす〜 ISUCON13における名前解決 上記のエントリーにもある通り、今回のISUCONではDNSが問題の一部として出てきます。 これまでポータルから参加者は割り振られたサーバの中から負荷をかけるサーバ1台選択し、ポータルはそのサーバに対して負荷走行を行うことが多くありましたが、今回はサーバ1台を選択したら、ベンチマーカーはそのサーバの
「1.1.1.1 は一部の多段 CNAME を解決してくれない」改め「makeshop.jp は 1.1.1.1 をブロックしている」
2023/09/20 追記 以下で有識者からコメントをいただきました。 makeshop.jp は 1.1.1.1 を遮断しているらしく、本記事はまさに makeshop.jp で制作したページが見れないことに起因した話題であったため、多段 CNAME は無関係でした。 コメント頂いた皆様、ありがとうございました! 1.1.1.1 をブロックしている SaaS があると思わずに首を傾げていた頃の記事 disclaimer Dig Web Interface を用いて振る舞いを観測した結果、 1.1.1.1 のみ異なる結果を返したことから本記事のようなタイトルを付けていますが、 1.1.1.1 の振る舞いが正しい可能性もあります。 ことのはじまり とある SaaS でカスタムドメインを利用するため、 CNAME を以下のように設定したところ、 1.1.1.1 もしくは 1.0.0.1 をネー
Amazon Route 53をやさしくおさらい
Amazon Route 53をやさしくおさらいする会 https://minorun365.connpass.com/event/294692/
DNSを使ってTLSハンドシェイクを高速化するZTLSについて - ASnoKaze blog
「ZTLS: A DNS-based Approach to Zero Round Trip Delay in TLS」という論文が公開されている。アイデアが面白いので簡単に眺める。 PDFも今のところACMのサイトから見れる https://dl.acm.org/doi/abs/10.1145/3543507.3583516 概要 DNSからTLSハンドシェイクに必要な情報を通知し、0-RTTハンドシェイクを行う 通常のTLSと互換性がある シーケンス図 (引用: 「ZTLS: A DNS-based Approach to Zero Round Trip Delay in TLS」 Figure 3) 事前に、サーバ側はZ-Data(ハンドシェイクに必要な情報)をDNSにアップロードしておく クライアントはサーバDNSに対してAレコードと、Z-Dataを含むレコードを並列に問い合わせ取
ドメイン管理を AWS Route 53 から Cloudflare に移管した - 酢ろぐ!
2022年11月に AWS Route 53 のドメイン更新料が値上げされた。一時期と比較してマシになったとは言えるものの円安傾向にある今日日 $1 の値上げでもドメイン数があると結構厳しいなと思っていた。 先日「Route 53 から Cloudflare にドメイン移管したい」という投稿をみて、「そういえば Cloudflare ってCDNだけじゃなくてドメインも売り出したんだっけ……」と調べてみたところ、本記事の執筆時点のレートで Route 53 を契約し続けるよりも約 700円の差があることがわかった。 Route 53 では comドメインが $13 / year (執筆当時:1,729円/年) Cloudflare では comドメインが $8 / year (執筆当時:1,064円/年) さらに Route 53 ではホストゾーンごとに年600円の管理費と S3 の転送料が
DNS権威サーバのクラウドサービス向けに行われた攻撃および対策 / DNS Pseudo-Random Subdomain Attack and mitigations
JANOG51発表資料 https://www.janog.gr.jp/meeting/janog51/dns/ 2017年のJANOG39にて弊社から「DNS権威サーバ向けのDDoS攻撃対策をした話~さくらインターネット編~」というプログラムを行い、実際に発生した障害やその後の取り組みを共有し、DNS権威サーバ向けのDDoS対策について議論いたしました。 それから5年経ちクラウドファースト、クラウドバイデフォルトなどと言われるようにクラウドサービス前提にシステムの構築運用がなされるようになり、DNSにおいても例外なくクラウドサービスが使われ、その重要度がますます高まっております。 その中で2022年にさくらのクラウドのDNS権威サーバサービスにDNS水責め攻撃が発生し、L7ファイアウォールの導入、dnsdistなどサーバ上のミドルウェアで攻撃を緩和する対策、またメトリクス取得の強化を行い
特定ドメインに対する大量の DNSクエリを DROP する - Pepabo Tech Portal
ホスティング事業部MREチームでインフラエンジニアをやっている原口です。 先日、弊社の DNSサービスに対し、軽めの DDoS攻撃が来たので、その際に対応した手順を簡単にご紹介します。 DNSサービスに対する DDoS攻撃への対応について DNSサービスに対する DDoS攻撃は昔からあり、弊社でも対策を行っております。 拠点や回線を分け、冗長化を行うのはもちろんですが、各拠点で「DDoS軽減装置」と言われるアプライアンスを導入しています。これは、不正なパケットを DROP をするものですが、一般的なファイアウォールのようなルールベースではなく、学習結果をもとに、通常とは異なる傾向のアクセスがあると動作するものになっています。 今回紹介する対応は、この DDoS軽減装置をすり抜ける程度の、軽めの DDoS攻撃に対して行ったものです。 DNSサービスの構成 今回 DDoS攻撃が来たサービスでは
2022年11月30日のAdGuard DNS部分的ダウンについて
2022年11月30日03:24(東京)に、AdGuard DNSに深刻な障害が発生し、マイアミ、ニューヨーク、ロンドンの3ヶ所のサーバーが影響を受けました。 障害発生中、これら3つの拠点に接続されているすべてのお客様のインターネットが事実上遮断されました。 これは、AdGuard DNSの全顧客の約20%、すなわち1000万人以上の方がインターネットに問題を抱えたことになります。 影響を受けた方に、このような事態になったことを心からお詫び申し上げます。 今後このような問題が発生しないよう対策を講じる所存です。 何が起きたのか 小さなミスがいくつも重なり、問題発生に至りました。 これらのミスは、それぞれ単独なら致命的ではなく、障害を引き起こすものではありませんでした。 しかし、残念なことに、これらのミスが重なったことこそが、より大きなトラブルの原因となりました。 最初のミスは、11月28日
An epic treatise on DNS, magical and otherwise
Naming products is hard. One of Tailscale’s key features, MagicDNS, has long been a source of armchair grammar controversy. To wit: Some people think we should call it Magic DNS because Apple calls their flagship keyboard and mouse the Magic Keyboard and the Magic Mouse. But have you noticed that Apple also calls their laptops MacBooks and their wireless headphones AirPods? The reason they do this
MagicDNS is generally available
Tailscale automatically assigns IP addresses for every unique device in your network, giving each device an IP address no matter where it is located. We further improved on this with MagicDNS, which automatically registers a human-readable, easy-to-remember DNS name for each device — so you don’t need to use an IP address to access your devices. This means you can access the device monitoring, ev
1.1.1.1:パブリックDNSへのブロッキング命令に抗うCloudflare | p2ptk[.]org
1.1.1.1:パブリックDNSへのブロッキング命令に抗うCloudflare投稿者: heatwave_p2p 投稿日: 2022/9/182022/9/18 TorrentFreak ウェブブロッキングの拡大を目指す著作権者たちは、DNSリゾルバをターゲットにし始めている。そのメインターゲットの1つがインターネットインフラ企業のCloudflareだ。同社はCDNサービスの顧客のウェブサイトへのブロッキング命令には従う一方で、同社の1.1.1.1 DNSリゾルバのドメイン遮断は行き過ぎだと考えているようだ。 海賊版対策としてのウェブサイト・ブロッキングは、世界中でますます一般的になってきている。 既に数十カ国で、ISPが裁判所から海賊版サイトブロッキングを命じられている。また、そうしたブロッキングが業界間の合意に基づく自主規制と言うかたちで実施されることもある。 Cloudflareへ
![1.1.1.1:パブリックDNSへのブロッキング命令に抗うCloudflare | p2ptk[.]org](https://cdn-ak-scissors.b.st-hatena.com/image/square/6f1a7bf36efab1b3b1503fa86fcaa16fc2430b47/height=288;version=1;width=512/https%3A%2F%2Fp2ptk.org%2Fwp-content%2Fuploads%2F2022%2F09%2Fabstract-1278017_e.jpg)
DNS前史:HOSTS.TXTとドメイン名ができるまで
こんにちは、技術開発室の滝澤です。 先月(2022年7月)、『Software Design 2022年8月号』の特集記事『WebエンジニアのためのDNS速習講座』に『第2章:DNSの構成要素と名前解決のしくみ』という記事を寄稿しました。第1章でも滝澤が趣味で作成した資料『ドメイン名の歴史』が参考文献として掲載されていました。よい機会なので、ドメイン名ができるまでの歴史について文章としてまとめようと思い、この本ブログ記事を書きました。 なお、筆者自身はインターネットの原型であるARPANETや80年代のインターネットをリアルタイムには体験してはいないため、RFC(Request for Comments)やインターネット上にある当時のホストのアーカイブを元に調査した内容をまとめたものになります。 ARPANETの時代 1969年から1980年代初期にかけてのインターネットの原型となったAR
QUICの活用を改めて考える
ジェフ・ヒューストンのブログより。 数か月前の2022年7月、インターネットにおけるQUICの使用度合を測定する私たちの取り組みについて書きました。この測定を「正しく」行うことは興味深い課題であり、ここで関連づけたいと思う学習体験でした。前回の記事の終わりから始めて、そこから続けていきます。 QUICが少なすぎる! 私たちは、オンライン広告スクリプトを埋め込んだAPNIC Labの測定プラットフォームを使用しました。広告スクリプトは、ユーザにいくつかのURLフェッチを実行するように指示し、参照オブジェクトを提供するサーバは、サーバのアクションからクライアントの機能と動きを推測できるよう、測定されます。 この場合、クライアントは基本的なURLオブジェクト(最小の1x1ピクセルの「ブロット」)を読み込むよう指示され、URLのドメイン名部分は個々の測定値に固有となります。QUIC測定をセットアッ
Building a Recursive DNS Resolver
When you type something like “google.com” into your browser and hit enter, your device must query a known recursive resolver to find google.com’s IP address. Recursive resolvers are provided by most ISPs, but resolvers like 1.1.1.1 or 8.8.8.8 exist as well. You can query a resolver manually using something like dig or dog: ❯ dig @1.1.1.1 news.ycombinator.com ; <<>> DiG 9.18.4-2-Debian <<>> @1.1.1.
“HTTPSレコード”って知ってる?今知るべき4つの注意点 | IIJ Engineers Blog
[注] この記事はすぐに陳腐化するはずの内容について扱っています。何年か経ってからこの記事を参照する場合、2022年3月に書かれた内容であることを留意の上お読みください。 はじめに IIJ DNSプラットフォームサービスにて、先日大きなアップデートと小さなアップデートがありました。大きなアップデートというのは、これまでのマネージドDNSサービスに加えてもうひとつ、IIJ DNSトラフィックマネージメントサービスという新たなサービスが追加されたこと。サーバの死活監視結果に応じて動的にDNSの応答を変えることができます。小さなアップデートは、従来のマネージドDNSサービスへの機能追加。HTTPSレコードに対応しました。 サービスの宣伝という意味では大きなアップデートの方を紹介した方がいいんでしょうけれど、ヘソ曲がりなのでここでは小さなアップデート、HTTPSレコードの方に焦点をあてます。 そも
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
DNS水責め攻撃と監視 / DNS water torture attack Monitoring and SLO
送信ドメイン認証の現状
近年のDNSはプロトコル拡張が活発すぎる!? 現時点で意識しておくべきリソースレコードとは【DNS Summer Day 2022】
GitHub - serverless-dns/serverless-dns: The RethinkDNS resolver that deploys to Cloudflare Workers, Deno Deploy, Fastly, and Fly.io
