アカウント名:
パスワード:
Google Public DNS終了のお知らせ
> OP53Bクルー?
> Google Public DNS終了のお知らせ
勘違いしているでしょう。外部の DNS レコードを検索できる限り、DNS キャッシュサーバが組織内だろうが外だろうが関係なさそうです。
完全に阻止するためには、各 PC は外部の DNS は検索できないようにしておいて、外部 Web サイト閲覧は(例外的に外部 DNS を検索できる)プロキシサーバ経由とすれば OK という話かと。
「DNSプロトコルを悪用して」とか「不正なDNSパケット」という説明が誤解を招きやすいと思いますね。単に「DNSサーバが不正な情報を提供している」だけで、通信上はあくまで「正規のDNSプロトコル用法」であり、通信されるパケットも「正規のDNSパケット」。やってることは「WWWサーバ上にC&C指示をHTMLファイルとして設置」して「HTTPプロトコルで司令をダウンロードする」のと同レベルなんですが、HTTP通信は内容の検閲やフィルタリングが容易ですが、DNS通信はそういうことをあんまりやってない、という抜け穴。
で、比較的容易な対策ですけど、「各 PC
TXTレコード自体は実運用に不要なコメント的なもの
SPFでTXTを使用しているのを知らないんだなあ。
その後ろの
今時だとTXTの主な用法はSPFでしょうけど、これはクライアント側で情報取得できなくても問題ない
の一文も読んで欲しかった。
SPF用のTXTレコードは、メールを受信したメールサーバが読めればいいのであって、末端のクライアントPCが知る必要はありません。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
OP53Bクルー? (スコア:0)
Google Public DNS終了のお知らせ
Re: (スコア:2)
> OP53Bクルー?
> Google Public DNS終了のお知らせ
勘違いしているでしょう。外部の DNS レコードを検索できる限り、DNS キャッシュサーバが組織内だろうが外だろうが関係なさそうです。
完全に阻止するためには、各 PC は外部の DNS は検索できないようにしておいて、外部 Web サイト閲覧は(例外的に外部 DNS を検索できる)プロキシサーバ経由とすれば OK という話かと。
Re: (スコア:3, 興味深い)
「DNSプロトコルを悪用して」とか「不正なDNSパケット」という説明が誤解を招きやすいと思いますね。
単に「DNSサーバが不正な情報を提供している」だけで、
通信上はあくまで「正規のDNSプロトコル用法」であり、通信されるパケットも「正規のDNSパケット」。やってることは「WWWサーバ上にC&C指示をHTMLファイルとして設置」して「HTTPプロトコルで司令をダウンロードする」のと同レベルなんですが、HTTP通信は内容の検閲やフィルタリングが容易ですが、DNS通信はそういうことをあんまりやってない、という抜け穴。
で、比較的容易な対策ですけど、「各 PC
SPFでTXTを使用 (スコア:0)
TXTレコード自体は実運用に不要なコメント的なもの
SPFでTXTを使用しているのを知らないんだなあ。
Re:SPFでTXTを使用 (スコア:1)
その後ろの
の一文も読んで欲しかった。
SPF用のTXTレコードは、メールを受信したメールサーバが読めればいいのであって、末端のクライアントPCが知る必要はありません。