アカウント名:
パスワード:
直接ルートサーバを引きに行くようにするべき。
そうしたいのは山々なんですが、トラフィック増大の原因となるのでDNSは全て弊社(回線業者)のDNSキャッシュサーバを参照しやがってください、って説明がされてるんですよ。
DNSクエリなんてそんなトラフィック食わないと思うんですが。試しに週明けにルートサーバ見に行くようにこっそり変えてみます。
これ言うとどの回線業者か分かる人は分かると思いますが、この回線業者はICMPなTraceroute(Windowsのtracertとか)を網内でブロックしてくれちゃってて、その理由が「ウイルス感染防止のため」とかワケわからんこと言う業者なんで個人的にはダメダメだと評価はしてます。
過去にICMPのリクエストを大量に送って感染先ホストを探すワームが大流行したからでしょう。 どこがおかしいですか?
#オフトピ失礼
ありましたねぇ、過去に。
それ用の対策としてICMPなtracerouteが通らないようにブロックするのは(回線業者がそれをやっていいもんかどうかは別として)わかるとして、今現在もまだそれ用の対策をしておく必要ってホントにあるのか、というのが私の感想です。 #「ウイルス感染防止のため」と言ってる割には135/TCPは筒抜けだったりどういう基準なのか・・・。
ちなみに他に2社の回線で確認してみましたが、そちらは特にブロックされるということはありませんでした。
安全性の為に一旦制限をかけてしまったら、不便だけを理由に解除できないということでしょうね。 「ワームは根絶されたのでICMP制限はもう必要ありません」と言ってあげたらどうでしょう。
# 本当に根絶されたかまでは確認していません。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり
これって (スコア:0)
Re: (スコア:2, 参考になる)
社内のクライアント(Windows)とDNSサーバ(Windows Server / Linux)は
すでに対応を終えましたが、よく考えると上流のキャッシュサーバが
汚染されたら意味無いんですよねぇこれって。
社内のDNSサーバは回線業者のDNSキャッシュサーバにforwardしてるので
サポートに問い合わせてみたら
* (JPCERT/CCから発表されている)DNSの脆弱性については知っている
* 順次対応はしているが対応状況はお知らせできない
という回答を得ました。
別件で某社の某Linuxアプライアンス(DNS入り)を使ってますが、
対応状況を確認したら
* 8
Re: (スコア:1)
これが問題。パフォーマンスは下がるしろくなことはない。
直接ルートサーバを引きに行くようにするべき。
Re:これって (スコア:1)
そうしたいのは山々なんですが、トラフィック増大の原因となるのでDNSは全て弊社(回線業者)のDNSキャッシュサーバを参照しやがってください、って説明がされてるんですよ。
DNSクエリなんてそんなトラフィック食わないと思うんですが。試しに週明けにルートサーバ見に行くようにこっそり変えてみます。
これ言うとどの回線業者か分かる人は分かると思いますが、この回線業者はICMPなTraceroute(Windowsのtracertとか)を網内でブロックしてくれちゃってて、その理由が「ウイルス感染防止のため」とかワケわからんこと言う業者なんで個人的にはダメダメだと評価はしてます。
Re: (スコア:0)
過去にICMPのリクエストを大量に送って感染先ホストを探すワームが大流行したからでしょう。
どこがおかしいですか?
Re:これって (スコア:1)
#オフトピ失礼
ありましたねぇ、過去に。
それ用の対策としてICMPなtracerouteが通らないようにブロックするのは(回線業者がそれをやっていいもんかどうかは別として)わかるとして、今現在もまだそれ用の対策をしておく必要ってホントにあるのか、というのが私の感想です。
#「ウイルス感染防止のため」と言ってる割には135/TCPは筒抜けだったりどういう基準なのか・・・。
ちなみに他に2社の回線で確認してみましたが、そちらは特にブロックされるということはありませんでした。
Re: (スコア:0)
安全性の為に一旦制限をかけてしまったら、不便だけを理由に解除できないということでしょうね。
「ワームは根絶されたのでICMP制限はもう必要ありません」と言ってあげたらどうでしょう。
# 本当に根絶されたかまでは確認していません。
Re: (スコア:0)