CVE-2012-どさにっき 〜2012年2月中旬〜

by やまや
<< = >>

2012年2月11日(土) 建国記念の日

氷瀑ふたたび

_ 2週続けてとか:-)

_ 先週行った雲竜瀑はだいぶ前から知ってたところで、世間的にもそれなりに有名なので自分が行ったときもあんな狭いところに数百人はいたと思う。今日行ってきたのは、雲竜瀑に行くための計画を立ててるときに偶然知った奥日光の庵滝というところ。かなりマイナーなようで、ほとんど人がいない。この沢には滝が5つ並んでいるらしく、正式にはいちばん奥の滝を庵滝というらしいけど、一般的にはいちばん手前の滝を庵滝と呼ぶことが多いみたい。今日行ったのもそのいちばん手前の滝まで。

_ 先週東京で雨が降った日、山の上の方も雪ではなく雨だったらしい。そのせいか氷が一部崩落してた。気温が上がって氷が緩む前に、と2週続けての氷瀑見物だったんだけど、ちと遅かったようだ。残念。どうも完全に凍結するのではなく、滝のまわりを覆うように凍ってたのかな。

_ 庵滝は落差20mほどで、雲竜瀑の150mと比べるとやっぱり迫力はだいぶ劣る。ただ、雲竜瀑は目的地まで道の大半がつまんない舗装林道で、むなしくとぼとぼ歩くだけなのに比べて、こっちは葉の落ちて見通しのよい雪の森の中を歩くこと自体を楽しめるので、全体として見れば十分以上に満足できる。また来よう。

_ 念のため、スノーシューかワカンがないと行けません。さらに、道がないので地図を見ながら自分でルートを探す(か、数少ない先行者の跡を辿る)必要あり。

_ 庵滝

滝の裏側から

滝壷

落葉松の林を抜けて

2012年2月17日(金)

スウェーデンのライ麦畑

_ なにげなく .se の SOA を dig ってみたら…。 

% dig soa se
(略)
;; ANSWER SECTION:
se.                     172800  IN      SOA     catcher-in-the-rye.nic.se. registry-default.nic.se. 2012021704 1800 1800 864000 7200

;; AUTHORITY SECTION:
se.                     172800  IN      NS      h.ns.se.
se.                     172800  IN      NS      g.ns.se.
se.                     172800  IN      NS      f.ns.se.
se.                     172800  IN      NS      d.ns.se.
se.                     172800  IN      NS      a.ns.se.
se.                     172800  IN      NS      i.ns.se.
se.                     172800  IN      NS      j.ns.se.
se.                     172800  IN      NS      e.ns.se.
se.                     172800  IN      NS      b.ns.se.
se.                     172800  IN      NS      c.ns.se.
(略)
mname がなぜか『 ライ麦畑でつかまえて(The Catcher in the Rye)』になってる。高校生のころに読んだなぁ(もちろん最近の村上春樹訳ではなく野崎孝訳)。

_ スウェーデンとサリンジャーって何か関係あるのかしらん、とぐぐってみたら、ライ麦畑の続編(もどき)をスウェーデンの出版社が出そうとしたのに対してサリンジャーが差し止め訴訟を起こしたという記事ばっかりひっかかる。そういえばそんなのあったなーと思い出したけど、.se の SOA にライ麦畑に使われてるのがまさかその件を皮肉ってるとは思えんし、いったいなんなんだろうこれ。担当者の単なる趣味?

_ ところで、mname はそのゾーンのマスターサーバ(プライマリ DNS)を書くものなので、たいてい NS レコードにも同じホストが出てくるものなんだけど、.se の NS にはライ麦畑は存在していない。いわゆる hidden master と呼ばれる構成だね。外から見えるネームサーバはぜんぶセカンダリで、プライマリはその背後に隠れてセカンダリとのゾーン転送だけに専念し、一般からのクエリは受けつけない。やっぱり DNSSEC をやるならこの構成が鉄板だな。

2012年2月18日(土)

Operation Global Balckout 対策

_ 毎度おさわがせ Anonymous がアホなことを企んでるらしい。 Operation Global Blackout。SOPA その他に抗議するために、3/31 に *.root-servers.net に DDoS 攻撃をしかけてインターネット全体を止めてしまおう、だって。抗議するのは勝手だが鉾先が間違ってるだろう。なに考えてんだ。

_ ルートサーバは13個あると言われてるけど、実際は同じ IP アドレスを持つホストがたくさん存在してる。これはラウンドロビンやロードバランサとかではなく、anycast という技術を使ってだいたい地域ごとに分散している。たとえば m.root-servers.net は WIDE が運用しているので日本にあると思われがちだけど、アメリカやヨーロッパにも m の anycast ノードが存在しているので、アメリカからの問い合わせが日本までやってくることは(あまり)ない。なので、海外で Anonymous に加担する人が多くてほんとにルートサーバが落ちたとしても、日本国内で加担する人が多くなければそれほど影響はないと思う。

_ ただし、anycast 化されてないルートサーバもあるし、落ちたノードが切り離されてこれまで日本に来なかった地域からのクエリが増えて国内ノードが巻き添えを食う可能性もあるので、対策は考えておいた方がいいかもしれない。

_ 幸い、root のゾーンファイル(ヒントではなくゾーンそのもの)が ここで公開されてるので、*.root-servers.net がやられてしまったらこれを使ってルートサーバを自前で用意すればしのげる…かな? 設定自体は BIND なら zone "." { type hint; ... }; な部分をこんなふうに置き替えればできると思う。 

zone "." {
    type master;
    file "root.zone";
};
ただ、このゾーンファイルには root の NS や glue A/AAAA として自前ルートサーバではなく本物のルートサーバが載ってるので(あたりまえ)、そのへんの矛盾でなんかよろしくないことが起きるかも。ルートゾーンをヒントじゃなくて権威として持たせるわけなので大丈夫な気もするがどうだろう。検証しないといかんなぁ。以前まったくデタラメなルートサーバをでっちあげたときには何も考えなくてもよかったけど、デタラメでないルートサーバのコピーを作るとなると意外と考えなきゃいけないことが多いんだな。

<< = >>
やまや