BIND delegation-only (VeriSign Problem)
Yasushi Shinjo
VeriSign が、DNS のワイルドカードの機能を利用して勝手に自分
の所の IP アドレスを返すようにした話に関連して、それを無効化
する技術の話です。
In article <bkg99b$18il$1...@LAXSRV.moat.net>
vg3...@moat.net (Hidenori HoRi) writes:
> > http://www.isc.org/products/BIND/delegation-only.html
> ということで、早速 BIND 9.2.2-P1 にしてみました。(パッチあてました)
これは、パッチをあてだけで聞くようになるんですか。
上のページには、こんな設定があったのですけれど。
------------------------------------------------------------
zone "foo" {
type delegation-only;
};
------------------------------------------------------------
.com のために、設定する必要があるのでしょうか?
delegation-only という考え方が、今一つ理解していないんですけ
れど。
http://www.isc.org/products/BIND/delegation-only.html
------------------------------------------------------------
Briefly, a zone which has been declared
"delegation-only" will be effectively limited to containing
NS RRs for subdomains, but no actual data outside its apex
(for example, its SOA RR and apex NS RRset). This can be
used to filter out "wildcard" or "synthesized" data from NAT
boxes or from authoritative name servers whose undelegated
(in-zone) data is of no interest.
あるゾーンが "delegation-only" と宣言されていると、サブドメ
インに関して NS の資源レコードを含むことを実質的に制限します。
配下の範囲外のデータをのぞいて。(たとえば、そのSOA レコード
と配下の NS 資源レコードなど。)この仕組みは、ワイルドカード、
または、 NAT ボックスなどにより合成されたデータ、または、そ
のゾーン内のデータが不要な権威のある名前サーバからデータを取
り除くために使えます。
------------------------------------------------------------
続きは、Followup-To: fj.net.ip.dns でお願いします。
\\ 新城 靖 (しんじょう やすし) \\
\\ 筑波大学 電子・情報 \\
Yasushi Shinjo
fj.net.watch にあった元記事を転載しておきます。記事を読む人
の都合と記事を書く人の都合のバランスの問題と言うとそれで終り
なんですが、読み手からすると、最初から fj.net.ip.dns に出て
いて欲しい内容の記事です。もったいない。
VeriSign のやり方は、私も大嫌い。SSL の鍵を買っているんだけ
ど、次回は VeriSign 以外のところから買うことにします。どこか
良いところはないですかね。
\\ 新城 靖 (しんじょう やすし) \\
\\ 筑波大学 電子・情報 \\
----------------------------------------------------------------------
From chi...@ipc.kit.ac.jp Sat, 20 Sep 2003 01:20:34 +0900
From: chi...@ipc.kit.ac.jp (Tsukamoto Chiaki)
Newsgroups: fj.net.watch
Subject: VeriSign's fault?
Date: Sat, 20 Sep 2003 01:20:34 +0900
Message-ID: <03092001203...@ims.ipc.kit.ac.jp>
# 何処に投稿するかは自分の記事が何の為のものであるかを考え,
# 自ら責任もって決めるが良い. この記事はヲチということで.
WORM_SWEN.A 付きの e-mail が止みませんな. 一応私の所は
mail server が virus check をして取り除いてくれることに
なっていて, 確かに return mail を装っている方はそれが効い
ていますが(そのかわり Virus Alert という e-mail が別に
届く……), security update を装っている方は, MIME の形式
が違っていて混乱するのか, *.exe file 付きのまま届いてしま
います. 何処かの中継で *.exe file だけが取り除かれて届く
ものもあるのだから, うちの server がヘタレなのだな.
しかし, 突然のこの WORM_SWEN.A 付き e-mail の増加は, 何故
起こったのか. 一つの原因は *.com と *.net の domain の
総元締めの VeriSign の最近の決定ではなかろうか, というの
が, 無責任ヲチからの無責任な推測.
VeriSign は「存在しない *.com (*.net)」についての問い合
わせに対して, 今までは DNS が「存在しません」を返していた
のを常に [64.94.110.11] を返すように変更して, 例えば spell
miss で「存在しない *.com (*.net)」の URL が入力された
ような場合に [64.94.110.11] の Web site に誘導して spell
miss だから修正しなさいといった advice をすることを目論ん
だらしい.
この為, 今まで「存在しない *.com (*.net)」の domain の
From: からの e-mail を, DNS で check して「存在しません」
を得たら, 弾くことにしていた mail server が「騙される」
ようになってしまった. ちゃんと管理されている所は(VeriSign
に怒りながらも)それ相応の手を打っているでしょうが, そう
でない所は怪しげな e-mail を素通しで中継することになって
いるのではないか. それが WORM_SWEN.A の繁殖を手助けして
いるのではないか.
--
千 (ほんとかな)
PS: DNS で wild card を用意している domain は前から色々
あったそうですね. *.td とか *.cc とか……
でも *.com, *.net とはちょっと比較にならないかな.
From news-...@muzik.gr.jp Sat, 20 Sep 2003 09:05:28 +0900
From: "Naoto Zushi" <news-...@muzik.gr.jp>
Newsgroups: fj.net.watch
Subject: Re: VeriSign's fault?
Date: Sat, 20 Sep 2003 09:05:28 +0900
Message-ID: <bkg5k6$gjg$1...@cala.muzik.gr.jp>
厨子です。
"Tsukamoto Chiaki" <chi...@ipc.kit.ac.jp> wrote in message
news:03092001203...@ims.ipc.kit.ac.jp...
> 一つの原因は *.com と *.net の domain の
> 総元締めの VeriSign の最近の決定ではなかろうか, というの
> が, 無責任ヲチからの無責任な推測.
この件については、数日前からアメリカで訴訟問題になっています。
> site-finder
> ちゃんと管理されている所は(VeriSign
> に怒りながらも)それ相応の手を打っているでしょうが,
ご存知だと思いますが、BINDでVerisign対策版が出ています。
--
---------------------------------------------------
Go ride safely by motorcycles around the world !
Naoto Zushi(厨子 直人) <news-...@muzik.gr.jp>
---------------------------------------------------
From vg3...@moat.net Sat, 20 Sep 2003 00:37:34 +0000 (UTC)
From: vg3...@moat.net (Hidenori HoRi)
Newsgroups: fj.net.watch
Subject: Re: VeriSign's fault?
Date: Sat, 20 Sep 2003 00:37:34 +0000 (UTC)
Message-ID: <bkg7ge$u3f$1...@LAXSRV.moat.net>
On Sat, 20 Sep 2003 09:05:28 +0900,
Naoto Zushi <news-...@muzik.gr.jp> wrote:
> > 一つの原因は *.com と *.net の domain の
> > 総元締めの VeriSign の最近の決定ではなかろうか, というの
> > が, 無責任ヲチからの無責任な推測.
>
> この件については、数日前からアメリカで訴訟問題になっています。
> > site-finder
まだ自分たちが gTLD を全て管理している、と思ってるんでしょうかね。
リーダーシップ取ってるつもりだと思いますけど、わたしはかなりイヤ
な気分です。ある種共有のネットワークで、一人舞台(一人勝ち?)し
ようとする心意気が好きになれないですね。
他のレジストラは、かなり気分悪くなってると思いますよ。
$ nslookup
Default Server: myserver
Address: 127.0.0.1
> hfuawfivcuqruq2348wfh9ua18edq.com
Server: myserver
Address: 127.0.0.1
Non-authoritative answer:
Name: hfuawfivcuqruq2348wfh9ua18edq.com
Address: 64.94.110.11
あぁ、気持ち悪い....。
ドメインの検索関連のサイトで、問題起きないのかな....。
FYI
http://www.zdnet.co.jp/news/0309/19/nebt_02.html
http://www.zdnet.co.jp/news/0309/18/xedj_verisign.html
http://www.zdnet.co.jp/news/0309/17/nebt_27.html
http://japan.cnet.com/news/media/story/0,2000047715,20061004,00.htm
http://japan.cnet.com/news/media/story/0,2000047715,20060961,00.htm
「VeriSignのSite Finder問題、ついに訴訟へ」ZDNN
http://www.zdnet.co.jp/news/0309/19/ne00_sitefindersue.html
> > ちゃんと管理されている所は(VeriSign
> > に怒りながらも)それ相応の手を打っているでしょうが,
>
> ご存知だと思いますが、BINDでVerisign対策版が出ています。
http://www.isc.org/products/BIND/delegation-only.html
これでしょうか。
--
ほり <vg3...@moat.net>
From vg3...@moat.net Sat, 20 Sep 2003 01:07:55 +0000 (UTC)
From: vg3...@moat.net (Hidenori HoRi)
Newsgroups: fj.net.watch
Subject: Re: VeriSign's fault?
Date: Sat, 20 Sep 2003 01:07:55 +0000 (UTC)
Message-ID: <bkg99b$18il$1...@LAXSRV.moat.net>
> > ご存知だと思いますが、BINDでVerisign対策版が出ています。
>
> http://www.isc.org/products/BIND/delegation-only.html
ということで、早速 BIND 9.2.2-P1 にしてみました。(パッチあてました)
# nslookup
Default Server: myserver
Address: 127.0.0.1
> fasfnvq9nr9qncnndfgir.com
Server: myserver
Address: 127.0.0.1
*** myserver can't find fasfnvq9nr9qncnndfgir.com: Non-existent host/domain
> asirnbanbpantvwnbh.net
Server: myserver
Address: 127.0.0.1
*** myserver can't find asirnbanbpantvwnbh.net: Non-existent host/domain
やっと気持ちが落ち着きました(笑)。
DNSの結果が返ってくると、sendmail で受信するメールの中に、
存在しないホストからの受信も行ってしまうので、spamが増えて
しまうんですよね。
Verisign はそういう事を知ってて、やったんでしょうかね....。
# 絶対にVerisignのサービスは使いたくないという気持ちが更に
# 加速しましたです。
--
ほり <vg3...@moat.net>