アカウント名:
パスワード:
Google Public DNS終了のお知らせ
> OP53Bクルー?
> Google Public DNS終了のお知らせ
勘違いしているでしょう。外部の DNS レコードを検索できる限り、DNS キャッシュサーバが組織内だろうが外だろうが関係なさそうです。
完全に阻止するためには、各 PC は外部の DNS は検索できないようにしておいて、外部 Web サイト閲覧は(例外的に外部 DNS を検索できる)プロキシサーバ経由とすれば OK という話かと。
「DNSプロトコルを悪用して」とか「不正なDNSパケット」という説明が誤解を招きやすいと思いますね。単に「DNSサーバが不正な情報を提供している」だけで、通信上はあくまで「正規のDNSプロトコル用法」であり、通信されるパケットも「正規のDNSパケット」。やってることは「WWWサーバ上にC&C指示をHTMLファイルとして設置」して「HTTPプロトコルで司令をダウンロードする」のと同レベルなんですが、HTTP通信は内容の検閲やフィルタリングが容易ですが、DNS通信はそういうことをあんまりやってない、という抜け穴。
で、比較的容易な対策ですけど、「各 PC
TXT レコードをフィルタするのは ALG などのアプリケーション層で、OP53B の ポート番号 53(レイヤー4)とはレイヤーが違います。
# OP25B と迷惑メールフィルターぐらい違う?
すみません、今度は私が勘違いしていました。一般 PC は OP53B ということですね。商用 ISP では許されないでしょうが。
「各 PC は外部の DNS からは検索できない」という部分に対してOP53Bが有効という意味ではないでしょうか? TXTレコードのフィルタは親コメントの通り内部DNSで。何らかのフィルタリング装置・ゲートウェイ等でやったら大量のDNSの検査処理で通信が遅くなりそうだ #意外といけるのかなぁ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生unstable -- あるハッカー
OP53Bクルー? (スコア:0)
Google Public DNS終了のお知らせ
Re: (スコア:2)
> OP53Bクルー?
> Google Public DNS終了のお知らせ
勘違いしているでしょう。外部の DNS レコードを検索できる限り、DNS キャッシュサーバが組織内だろうが外だろうが関係なさそうです。
完全に阻止するためには、各 PC は外部の DNS は検索できないようにしておいて、外部 Web サイト閲覧は(例外的に外部 DNS を検索できる)プロキシサーバ経由とすれば OK という話かと。
Re: (スコア:3, 興味深い)
「DNSプロトコルを悪用して」とか「不正なDNSパケット」という説明が誤解を招きやすいと思いますね。
単に「DNSサーバが不正な情報を提供している」だけで、
通信上はあくまで「正規のDNSプロトコル用法」であり、通信されるパケットも「正規のDNSパケット」。やってることは「WWWサーバ上にC&C指示をHTMLファイルとして設置」して「HTTPプロトコルで司令をダウンロードする」のと同レベルなんですが、HTTP通信は内容の検閲やフィルタリングが容易ですが、DNS通信はそういうことをあんまりやってない、という抜け穴。
で、比較的容易な対策ですけど、「各 PC
Re:OP53Bクルー? (スコア:2)
TXT レコードをフィルタするのは ALG などのアプリケーション層で、OP53B の ポート番号 53(レイヤー4)とはレイヤーが違います。
# OP25B と迷惑メールフィルターぐらい違う?
Re:OP53Bクルー? (スコア:2)
すみません、今度は私が勘違いしていました。一般 PC は OP53B ということですね。商用 ISP では許されないでしょうが。
Re: (スコア:0)
TXT レコードをフィルタするのは ALG などのアプリケーション層で、OP53B の ポート番号 53(レイヤー4)とはレイヤーが違います。
「各 PC は外部の DNS からは検索できない」という部分に対してOP53Bが有効という意味ではないでしょうか?
TXTレコードのフィルタは親コメントの通り内部DNSで。何らかのフィルタリング装置・ゲートウェイ等でやったら大量のDNSの検査処理で通信が遅くなりそうだ
#意外といけるのかなぁ