トップ «前の日記(2004-07-09) 最新 次の日記(2004-07-15)» 編集

"週"記

日記?ムリっ。
半年1回の更新を目指すよう心がけます。
RSS

WebAppSec

2003|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|03|04|05|06|07|08|09|12|
2008|01|02|
2009|04|
2010|02|

履歴


2004-07-12

_ [etc] DNS

ここらへんを見ながら隣の人と話してたんですが、 DNS のゾーン転送の場合に TCP/53 を使のは、

  • DNS パケット(って呼ぶのかわかんないけど)が大きいから TCP になってしまう
  • ゾーン転送のときは DNS パケットの大きさに関わらず TCP に決め打ち
どっちなんでしょうかねぇ?

_ [etc] Sec sunbath 申し込み受領

遅くなりましたが、7/12 14:00 までに申し込みされていた方に送信しました。申し込んだのに届いてない方がいらっしゃいましたら、ご連絡ください。

申し込み期限は今週土曜日です。申し込みを忘れてる方、お申し込みは早めにどうぞ。
Sec sunbath 概要のページ

本日のツッコミ(全12件) [ツッコミを入れる]
_ LUFFY (2004-07-12 14:35)

決めうちで良いと思われ。名前解決がUDPでゾーン転送がTCP使われているので。

_ やまにょん (2004-07-12 14:36)

某所で話したときは、少なくとも名前解決の問合せ (正式名称あるのかしら?) には信頼性より軽量であることが求められるから UDP、ゾーン転送時には信頼性が必要であるから TCP (その場合も小さいパケットであれば UDP になる場合もある) になる、という回答で思考停止してます・・・。<br>更に細かく言えば、MS-DNS やら BIND やらで実装に若干の違いもありそうですから、ソフトウェア依存なのかなぁ?

_ bun (2004-07-12 15:00)

う〜ん、イマイチ決定的な証拠が見つかんないんですよねぇ。UDP を使うサイズのリミッターを大きくしておいてゾーン転送してみるとか、BIND のソースとか読めばわかるような気がするんですけど、ちょっとそこまでは手が回らなくって。

_ けん (2004-07-12 21:24)

やぱり、ここはRFCとかでは。<br> http://dns.qmail.jp/rfc1034/chapter4.html#19<br> http://dns.qmail.jp/rfc1035/chapter4.html#499<br>とりあえずTCPじゃない実装でもいいといってるように見えますが、現実としてはTCPでゾーン転送するように実装しているといったところかなぁ。

_ TOTORO (2004-07-12 22:16)

そんなもん、実装されてるサーバを片っ端にしらべ・・・ちゃいけませんよ

_ hoshikuzu (2004-07-13 01:41)

真剣にお叱りを頂きたいのですが、「ゾーン転送は許可するな」と先輩に習って盲目的に信じてきました。こんな私の駄目過ぎなところを矯正する為に適切なポインタをご教示頂ければ幸いです。いつもすみません。m(__)m

_ TOTORO (2004-07-13 15:14)

DNSのゾーン転送って、許可出来るところ以外、禁止ってのは、正解だと思ったんですが、、、、違うんですか?<br>ペネトレするとき、ゾーン転送をまず先にチェックして、入りやすそうなところからねらうんですけど・・・。だめですか?

_ Luffy (2004-07-13 17:36)

ゾーン転送許可してるとこ以外は禁止になります。<br>って、ことはプライマリ狙っていくと。。

_ lumin (2004-07-13 23:54)

ゾーン転送でパケットロスをしてしまった場合、ゾーン転送が確実に欠損なくできないから、TCP以外の選択肢はないと思いますが。root-serversは数GBのゾーンを転送するから、信頼性の高いプロトコルでないとつらいですね。

_ bun (2004-07-14 01:10)

ということは、やっぱゾーン転送は TCP 決め打ちな実装になってるっぽいですね。いろいろとご意見ありがとうございます。

_ bun (2004-07-14 01:16)

ゾーン転送は不特定多数に許可するサービスではないという意味ではその先輩は正解でしょうね。>hoshikuzuさん<br>多くのサイトではセカンダリに限定して許可していると思います。ただそのセカンダリが不特定多数へのゾーン転送を許可してたりするケースも...

_ hoshikuzu (2004-07-15 21:53)

ありがとうございました。よくわかりました。

お名前:
E-mail:
コメント:

投稿する前にチェックボックスをチェックしてください


無料アクセス解析