2004年06月07日(月) << 前の日記 | 次の日記 >>
これまでの06月07日 編集

■1 nstx - Tunnel IP over DNS[http://nstx.dereference.de/nstx/][セキュリティ] このエントリーをはてなブックマークに追加

otsuneさんとこ[http://www.otsune.com/diary/2004/05/29.html#200405291] から。
TCP over DNS[http://www.nantoka.com/~kei/diary/?200311a&to=200311041#T200311041] とかいうネタを以前書いたのですが、実装がある様ですね。
できない[http://61.203.92.65/~fkz/daiary/200406.html#d011952] っていう指摘を頂いていまして( RinRin王国[http://www.pluto.dti.ne.jp/~rinou/saji/200405.html] 経由)、説明不足だなと思ったりもしたんですが、この場合TTLを気にする必要はありません *1 し、あるドメイン名のAを引いてそいつが実はCNAMEだった場合は、当然そのCNAMEレコードの正規名が得られる *2 訳で、この点でも問題無いように思いますが、いかがでしょうか。
もちろん、
DNSというのは半固定の広域分散データベースであり、任意のデータグラムの通信を行うための枠組ではない
のはもっともな指摘です。
モデル[http://61.203.92.65/~fkz/daiary/200406.html#d032320] を元にした伝送効率の考察もあります。素晴らしい。
DNS管理者ならRFCとまではいかなくてもバッタ本位は読みましょう。CNAME返すものがないとかちゃんと書いてありますよ。
ですね。バッタ本位は手元に必要です。第4版まで出てる様です。第4版はbind9に対応してずいぶん厚くなりました。16.1.6あたりの、ある正規名の別名を得る方法がないという話だと思うのですが、別名から正規名(と称する何か)が得られれば良いわけですから問題にはならない訳です。
この話、DNSの枠組みのabuseですから、
使ったらDoSになる可能性がかなり高いです。少なくとも途中に普通のDNSサーバが入るような状態では絶対に使うべきではないです。帯域埋め尽くしたり途中に入るDNSサーバのリソースを喰い潰したりといくつかの障害の元になります。
なので、よい子は 本当に使ったりしちゃダメ[http://amrita.s14.xrea.com/d/?date=20040602#p04] です。迷惑ですし優秀な管理者がいたらきっとバレます。 しかし、アプリケーションゲートウェイで通信を遮断しているのにDNSが引ける構成で運用しているトコの管理者が優秀かどうかというとあやしいです。
まぁ「外部に情報を漏らさずに外部の情報を得るのは非常に難しい」という例の一つとしてのお話だと思って下さい。 情報を取得することは、情報が漏洩することと表裏一体[http://d.hatena.ne.jp/hyperash/20040601#1086087669] ですし、 某ちゃんねるを見たりなんかするのに使ったら、さすがに派手なトラフィックを発生してばれるでしょうけど、細くても秘密の通信経路が作れる可能性があるということは、セキュリティを考える上では考慮しなきゃいけない問題です。 おおっぴらに使わなければ[http://senzai07.poly.kit.jp/~iwata/ChangeLogs/2004-06-01.html#ChangeLog-2004-06-01-4] 管理者も気づかない可能性があります。

ちなみに:

これを止めたかったら、 社内DNSキャッシュサーバは社内のリソースしか解決しない[http://www.mimori.org/~h/tdiary/20040603.html#p02] のが正しいわけです。
ただ実際のところ、外部へのアクセスをアプリケーションゲートウェイ経由にしているような組織では外部のドメインの解決ができても殆ど役に立たないハズなのに、引ける組織は多いようです。
*1: 一度引いたドメイン名は使い捨てにすれば良いから。
*2: 返すのはネームサーバのフリはしてるけどあくまでトンネルの相手方だから何でも好きなように返せる。

■ 関連記事

以上、1 日分です。

指定日の日記を表示

前月 2004年06月 翌月
1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30

最近の日記

2019年04月01日

新元号「令和」について

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

keikuma on Twitter

keikuma Name:前田勝之
Location:長崎市
Web:http://www.nantok...
Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

サイト内検索

Google AdSense

Powered by hns-2.19.9, HyperNikkiSystem Project