2015年6月21日日曜日

オープンリゾルバ注意喚起

オープンリゾルバ(Open Resolver)に対する注意喚起

DNSの不特定からの問い合わせに応答する(*1)、 サーバやネットワーク機器は、オープンリゾルバと呼ばれています。 最近、 適切な対策が施されていないオープンリゾルバが踏み台(*2)として利用され、 国内外のサーバに対する大規模なDDoS攻撃(*3)が行われていることが報告されています。
これを受けて、本来、 オープンリゾルバである必要のないサーバやネットワーク機器を減らし、 踏み台となってしまうことへの対策をとるための活動が行われています。
ご確認と対策をお願いいたします。
(*1) ここではドメイン名の名前解決のために行われる問い合わせを指しています。 この問い合わせを受けた、 DNSのリゾルバと呼ばれるプログラムモジュールは、 複数のネームサーバに問い合わせを行い、 その結果を問い合わせ側に応答する仕組みになっています。
(*2) ここではインターネットを通じた攻撃パケットの、 送信元IPアドレスを詐称した不正な通信のために 攻撃する者によって悪用されるホストのことを意味します。
(*3) 通信サービス等を不能にする分散型の攻撃でDistributed Denial of Serviceの略語です。

対策が必要なオープンリゾルバとは

オープンリゾルバの中には、 デフォルト設定のままであるなどの理由で、 本来はDNSサーバを意図したものではないにも関わらず、 管理者や利用者が気づかないうちにDNSの応答機能が有効になっているものがあります(*4)。
(*4) DNSの問い合わせ応答の仕組みを利用したオンラインの攻撃手法にDNSリフレクション攻撃があります。 DNSリフレクション攻撃はDNSサーバを踏み台として行われます。 以下の"DNSサーバにおける対策"をご覧ください。
オープンリゾルバとなっているサーバやネットワーク機器は、 DDoS攻撃の踏み台になってしまう恐れがあるため、 対策をとることが必要です。
(ご注意)オープンリゾルバの中にはDDoS攻撃の踏み台などに悪用されないように、 対策が取られているものがあります。

DDoS攻撃のために踏み台として悪用された場合の影響

踏み台を利用したDDoS攻撃は、 送信元IPアドレスが踏み台のホストであるため、 そのサーバや機器によって攻撃が行われているように見えてしまいます。 インターネットを経由した不正行為に対しては、 その送信元に連絡を取って停止するように要請されることが多く、 踏み台として海外に対するDDoS攻撃に悪用された場合、 外国語で対応する必要があることが報告されています。

オープンリゾルバに関する対策

はじめに、以下の注意喚起をご参照ください。
次に対策について述べます。以下の3点が挙げられます。
  1. DNSの応答機能が有効になっているソフトウェアにおける対策
    サーバソフトウェア(仮想サーバやルータ製品のオペレーティングシステムを含む)の設定を変更し、オープンリゾルバにならないようにします。
    オペレーティングシステムのパッケージや仮想サーバ、ネットワーク製品のために、デフォルト設定のテンプレートを作成している場合には、そのテンプレートを確認し、配布先でオープンリゾルバにならないようにします。 設定例をAppendix Iに示します。
  2. ネットワーク機器における対策
    まずネットワーク機器自体がオープンリゾルバとなっていないことを確認します。本来は経由するはずのないIPアドレスのパケットをフィルタリングします。
    ブロードバンドルータ、ケーブルテレビのセットトップボックス等、CPE(Customer Premises Equipment)の設定のテンプレートを作成している場合には、そのテンプレートを確認し、配布先でオープンリゾルバにならないようにします。 対策となる設定はBCP38やSource Address Validationと呼ばれています。設定例をAppendix IIに示します。
  3. DNSサーバにおける対策
    DNSサーバの設定を確認し、オープンリゾルバにならないようにします。そのためには、不必要なDNSの再帰問い合わせに応答しないように設定します。問い合わせに対する応答がDDoS攻撃にならないようにするための手法として、Response Rate Limiting in the Domain Name System (DNS RRL) (DNSにおける応答のレート制限) があります。設定例をAppendix IIIに示します。

確認方法

オープンリゾルバかどうかを確認することのできるWebサービスを以下に示します。
(ご注意)多くのオープンリゾルバを探す用途には使えません。 多くのオープンリゾルバを探す疑いのある操作が行われた場合、 セキュリティインシデントとして扱われる可能性があります。 

対策を取られる方へ

  • ソフトウェア設定やネットワーク機器設定のテンプレートを作成されている方
    テンプレートとなる設定にオープンリゾルバとなるものが入ってしまわないよう、 ご確認と対策をお願いいたします。
  • ブロードバンドルータ、セットトップボックス等、CPEの設定のテンプレートを作成されている方
    テンプレートとなる設定にオープンリゾルバとなるものが入ってしまわないよう、 ご確認と対策をお願いいたします。
  • ISPの方
    DNSサーバとルータなどのネットワーク機器の、ご確認と対策をお願いいたします。
  • サーバを管理運用されている方
    サーバが意図せずオープンリゾルバになってしまわないよう、 ご確認と対策をお願いいたします。

Appendix I. DNSの応答機能が有効になっているサーバ、および、DNSキャッシュサーバにおける設定例

問い合わせを許可するIPアドレスを、 自組織のネットワークや顧客のネットワークに制限し、 DDoS攻撃の原因となるような問い合わせに応答しないように設定します。
  • BINDの設定例
    DNSの応答機能が有効になっているサーバ、 およびDNSキャッシュサーバの場合 (named.conf):
    acl "trusted" {
        192.168.0.0/16;
        localhost;
}; // 問い合わせを許可するIPアドレスを指定する。

options {
        recursion yes;
        allow-recursion { trusted; };
};
  • Unboundの設定例
    DNSの応答機能が有効になっているサーバ (unbound.conf):
    server:
        access-control: localhost allow
        access-control: 192.168.0.0/16 allow
        ## 問い合わせを許可するIPアドレスを指定する。

Appendix II. ネットワーク機器の設定例

ネットワーク機器のインターネット側のインターフェースにuRPF (unicast reverse path forwarding)を設定します。
  • Cisco製ルータの設定例
    ○LooseモードのuRPFの設定
    (ご注意)設定によってルータの負荷が上がるなどの影響がある場合があります。
    Router(config)#ip cef enable
Router(config)#interface <インタフェース名> <インタフェース番号>
Router(config-if)# ip verify unicast source reachable-via any
Router(config-if)# end
  • Juniper製ルータの設定例
    ○LooseモードのuRPFの設定
    (ご注意)設定によってルータの負荷が上がるなどの影響がある場合があります。
    user@juniper# edit interface
[edit interfaces]
user@juniper# set <インタフェース名> unit <unit番号> family inet rpf-check mode loose

Appendix III. DNSサーバの設定例

対策を行うDNSサーバがDNSの名前解決のために設置されたDNSキャッシュ サーバである場合には、Appendix Iの設定を行います。
  • BINDの設定例
    ○権威DNSサーバの場合 (named.conf):
    options {
        fetch-glue no; // BIND8の場合に記述する
        recursion no; // 再帰問い合わせに応答しない。
};
    ○DNSキャッシュサーバと権威DNSサーバが同一である場合 (named.conf):
    acl "trusted" {
        192.168.0.0/16; // 問い合わせを許可するIPアドレスを指定する。
        localhost;
};

options {
        fetch-glue no; // BIND8の場合に記述する
        recursion yes; // 再帰問い合わせに応答する。
        allow-query { any; };
        allow-recursion { trusted; };
        allow-query-cache { trusted; };
};

zone "foo.jp" {
        type master;
        file "db.foo";
};
    ○BIND9におけるDNS RRLの設定例 (named.conf):
    Response Rate Limiting in The Domain Name System (DNS RRL)にあるパッチの適用が必要です。
    rate-limit {
    responses-per-second 5;
    window 5;
};
  • Unboundの設定例
    ○アクセス制御の設定例(unbound.conf):
    server:
        access-control: localhost allow
        access-control: 192.168.0.0/16 allow
        ## 問い合わせを許可するIPアドレスを指定する。

投稿者 時刻: 0 件のコメント:
ラベル: ,

2015年6月20日土曜日

オープンリゾルバ確認サイト

オープンリゾルバ(オープンレゾルバ)確認サイト
JPCERT/CC では、オープンリゾルバとなっている DNS サーバが日本国内に多く存在していることを確認しています。 また独自の調査を行っている Open Resolver Project によると、世界全体で約 2800万 (2013/10末現在) のオープンリゾルバが存在すると報告されています。

オープンリゾルバとは、外部の不特定の IP アドレスからの再帰的な問い合わせを許可している DNS サーバのことです。オープンリゾルバは国内外に多数存在し、大規模な DDoS 攻撃の踏み台として悪用されているとの報告があります。

また、DNS サーバとして運用しているホストだけではなく、ブロードバンドルータなどのネットワーク機器が意図せずオープンリゾルバになっている事例があることを確認しています。

本確認サイトでは、お使いの PC に設定されている DNS サーバと、本確認サイトへの接続元となっているブロードバンドルータなどのネットワーク機器がオープンリゾルバとなっていないかを確認することが可能です。

 ホスティングサービスで使用しているサーバがユーザの意図しないままオープンリゾルバとなっている事象も多く報告されています。これらのホスト管理者の方が wget コマンドなどを使用してコマンドラインから確認できるサイトも用意しています。
コマンドラインからの 確認方法

 以下のリンクで確認できます。
オープンリゾルバの確認に進む

 http://www.openresolver.jp/
下記サイトでも確認できます。
https://www.cman.jp/network/support/nslookup.html

http://mgt.jp/t/dns  高度な設定をクリックして「自分のネームサーバ」を入力

ホスト名に、「www.yahoo.co.jp」などを入力

DNSサーバを自分のDNSサーバを入れて nslookup実行する。

-----------------------------------------------
Non-authoritative answer: www.yahoo.co.jp canonical name = www.g.yahoo.co.jp. Name: www.g.yahoo.co.jp Address: 183.79.231.182 Name: www.g.yahoo.co.jp Address: 182.22.59.229 Name: www.g.yahoo.co.jp Address: 182.22.39.242 Name: www.g.yahoo.co.jp Address: 182.22.40.240
------------------------------------------------
こんな風にここで引けたらアウト、、、自分のネームサーバは、オープンレゾルバです。
対策が必要!!

下記のように
** server can't find www.yahoo.co.jp: REFUSED
などとでて引けなければOKです。
投稿者 時刻: 0 件のコメント:
ラベル: ,

2015年6月15日月曜日

さだまさしミュージアム

国民的アーティストとして活躍するさだまさしは、中学入学と同時にヴァイオリン修行のため単身上京し、東京葛飾での下宿生活を経て、中学3年生からの約20年間を市川市で過ごしました。
青春の思い出の地市川は、まさに長崎に次ぐ第二の故郷であり、シンガー・ソングライターとしての出発点であるといっても過言ではないでしょう。

















投稿者 時刻: 0 件のコメント:

2015年6月7日日曜日

健康・ダイエット

★肌年齢を若返らせる


 アーモンド  煎ったアーモンドを食べる



★血管年齢を若返らせる


 くるみ  塩味の無いくるみを毎日食べる



★太りにくい体質をつくる(ダイエット効果) ココナッツオイルダイエット

 ココナッツオイル  人間の体の中ででケトン体を作るので空腹を抑える

 珈琲に入れる、混ぜる  (大さじいっぱい)

 初めて三日で、効果、空腹感がわかない、、、お腹がすかないなどの症状が。。。

 
投稿者 時刻: 0 件のコメント:

2015年6月5日金曜日

Win7起動時パスワード省略

Windows 7 起動時にパスワードの入力を省略する「自動 ログイン」


PT2/PT3などの録画パソコンでは、ユーザとパスワード設定をしなければなりません。

TvRockの設定に必ず必要にです。

また、パスワードを設定したパソコンでは、起動時にパスワードを入力しないとログオン、使用できません。

録画用のTV(テレビ)パソコンでは、起動時のパスワード入力は、不便です。

そんな時、「control userpasswords2」というコマンドが利用できます。

ファイル名を指定して実行から、「control userpasswords2」を実行します。

私のPCもそうですが、「ファイル名を指定して実行」自体がメニューにありません。

アクセサリ --> コマンドプロンプト を起動します。
control userpasswords2 を打ち込みます。
 ユーザアカウントウインドウが開きます。
下記の赤い部分がない場合はこちらを参照して表示される
 「ユーザーがこのコンピューターを使うには、ユーザー名とパスワードの入力が必要」の
チェックをは外します。
 適用を押してパスワードを入れます。

再起動すれば、次回からパスワードを省略してログインされます。
投稿者 時刻: 0 件のコメント:
ラベル:

管理制限がなくなった時の対処

設定ミスをし、管理制限がなくなった場合は以下の方法で回復できる場合もあります。

PCをセーフモードで起動します。

通常のようにログオンします。

シャットダウンではなく「ログオフ」する

「ログオフ」をしたら「Administrator」で再度ログインする

自動ログオンの設定と同じように「ファイル名を指定して実行」にて control userpasswords2 を入力して「OK」をクリック。

(自動ログオンの設定解除)
プロパティ → グループメンバーシップと進み
「管理者」にチェックマークを付ける。
「ユーザーがこのコンピューターを使うには、ユーザー名とパスワードが必要」にチェックマークを付ける。パスワードの入力要求があれば、パスワードを入力する。

再起動し、先ほど入力したパスワードでログオン。
投稿者 時刻: 0 件のコメント:
ラベル:

2015年6月2日火曜日

東京MX2 視聴・録画(PT2・PT3)

地上ディジタル放送は、マルチチャンネルができるように設計されています。
当然画質については若干劣化すると思われますけど、放送できる番組は増えます。
東京MXでは、20144月から「マルチキャスト化」が行われました。
 これまでTOKYO MXでは、1つの帯域で「ハイビジョン(HD)放送1番組、もしくは標準画質(SD)放送最大3番組」しか放送できませんでしたが、この4月からは最新の圧縮技術の導入により、1つの帯域で「HD放送1番組とSD放送1番組」の同時放送が可能に。HD番組を放送する091chと、SD番組を放送する092chの「24時間マルチチャンネル編成」体制をスタートさせました。
http://s.mxtv.jp/multi_guide/
公式には、TOKYO MX1091ch)、TOKYO MX2(092ch)となっています。
PT3でマルチチャンネルが録画できるように改造してみました。
東京MXのデフォルトチャンネルは「16」、サービスID23608 です。
マルチチャンネルのMX2は 「16」、サービスID23609 です。
<<改造する方法>>
TvTest に MX2 を追加
TvRock に MX2 を追加
以上を行う必要があります。

MX以外にもNHKなどがありますが今回は不要のため追加しません。
========================================
TvRock ch-ts.txt(東京スカイツリー波)
放送局       ch サービスID
NHK総合1 東京 27  1024
NHK総合2 東京 27  1025
NHKEテレ1東京 26  1032
NHKEテレ2東京 26  1033
NHKEテレ3東京 26  1034
日テレ1      25  1040
テレビ朝日     24  1064
TBS1      22  1048
テレビ東京1    23  1072
フジテレビ     21  1056
TOKYO MX1 16  23608
TOKYO MX2 16  23609  <--- 今回追加する項目
放送大学1     28  1088
放送大学2     28  1089
放送大学3     28  1090
=====================================
東京MXの東京スカイツリー波(UHF16ch)は、平成24年(2012年)101日、本放送開始
東京MXの東京タワー波(UHF20ch)は、平成25年(20133月)送信終了しました。
民放の2つ目以降のサービスを無視しているのは、マルチ放送がないからです。

★TvTest
BonDriver_PT3-T.ch2   <--- チャンネルファイル
; TVTest チャンネル設定ファイル
名称,チューニング空間,チャンネル,リモコン番号,,サービスID,ネットワークID,TSID,状態
;#SPACE(0,地デジ(UHF))
NHK総合・東京,0,14,1,,1024,32736,32736,1
NHKEテレ東京,0,13,2,,1032,32737,32737,1
チバテレビ,0,17,3,,27704,32327,32327,1
日本テレビ,0,12,4,,1040,32738,32738,1
テレビ朝日,0,11,5,,1064,32741,32741,1
TBS,0,9,6,,1048,32739,32739,1
テレビ東京,0,10,7,,1072,32742,32742,1
フジテレビジョン,0,8,8,,1056,32740,32740,1
TOKYO MX,0,3,9,0,23608,32391,32391,1
TOKYO Mx2,0,3,9,1,23609,32391,32391,1   <--- 追加
放送大学,0,15,12,,1088,32744,32744,1




★TvRock
  ①MX2メニュー追加
TvRockのチャンネルエディタで「MX2」追加
一番下の行に追加されますので、「上へ」でMXの下に

   ②設定のチューナー1と2にMX2が追加されています。
MX1の方はそのままでOK
チャンネルは「16」、サービスは「
 MX2のチャンネルは「16」そのまま、サービスに「23609」入力

※MX1 のサービスに「23608」入れておいたほうが、考え方としてわかりやすいかも、、、

サービス「0」はそのチャンネルのデフォルトを引いてくると思われます。


投稿者 時刻: 0 件のコメント:
ラベル:

2015年6月1日月曜日

みんカラの皆さんの燃費データ

みんカラの皆さんの燃費データの平均を調べてみました。 H27-5月


スポーツ クロスディー(AT_2.2)
14.94 km/L

スポーツ クロスディー(MT_2.2)
17.29 km/L

スポーツ 20S ツーリング Lパッケージ(AT_2.0)
12.83 km/L

スポーツ 20S ツーリング(AT_2.0)
14.27 km/L

スポーツ 15S_4WD(AT_1.5)
13.84km/L

スポーツ 15S(AT_1.5)
14.46 km/L

20.54 km/L

NC3 RS-RHT
http://minkara.carview.co.jp/car/mazda/roadster/nenpi/?sls=16357&ti=112791
12.30 km/L
投稿者 時刻: 0 件のコメント:

みんから・・・

 

http://minkara.carview.co.jp/userid/1810398/profile/



BM_アクセラ
http://minkara.carview.co.jp/car/mazda/axela_sport_hatchback/

NC3
http://minkara.carview.co.jp/car/mazda/roadster/

投稿者 時刻: 0 件のコメント:
登録: 投稿 (Atom)