4
Yasuhiro Morishita @OrangeMorishita
【自分用メモ】APNICの逆引きDNSの件、MLに出されたメール。// [apnic-talk] Update on APNIC IPv4 reverse DNS zones validation mailman.apnic.net/mailing-lists/…
Yasuhiro Morishita @OrangeMorishita
APNICのTechnical Services Directorによると原因は「不正なDSレコードが使われた(incorrect DS records were used)」、なぜ起こったかは現時点で不明。詳細は別途報告予定。// mailman.apnic.net/mailing-lists/…
Yasuhiro Morishita @OrangeMorishita
DSレコードは親ゾーン(この場合はin-addr.arpa)に設定されるものなので、今回の場合、APNICがIANAに変更を申請し、IANAがin-addr.arpaゾーンの権威DNSサーバーに設定するという流れ(のはず)。
Yasuhiro Morishita @OrangeMorishita
ということで今回の場合、この流れのどこかでまずいことが起こり、不正なDSレコードが使われたということになる、と。
Yasuhiro Morishita @OrangeMorishita
どこがどうまずかったかは追って発表される(はず)。
Yasuhiro Morishita @OrangeMorishita
そして、今回、不正なDSが設定されてしまったことを「パブリックなDNS運用メーリングリスト(the public DNS operations mailing lists)」で指摘されるまで、APNICのtesting scriptsが検出できなかった、と。
Yasuhiro Morishita @OrangeMorishita
エラーを検出できなかったことはモニタリングの失敗として、現在その原因を調査中とのこと。> The team is currently investigating the root cause of this monitoring failure.
Toshifumi Sakaguchi @siskrn
"APNIC was notified via the public DNS operations mailing lists on Wednesday, 16/03 at 00:30.."は、これかな? lists.dns-oarc.net/pipermail/dns-…
Yasuhiro Morishita @OrangeMorishita
.@siskrn 私はそのメールの前のSonodaさんのメールだと思ってますが、"mailing lists" と複数形になっているので、他にもあるのかも。
Yasuhiro Morishita @OrangeMorishita
【自分用メモ】APNIC管理のゾーンのDNSSEC検証エラー、twitter的にはこのツイートが最初の障害報告かな(16:17 - 2016年3月15日)。もっと古いのがあれば報告いただけるとうれしいかも。 twitter.com/ityuki/status/…
Toshifumi Sakaguchi @siskrn
@OrangeMorishita 実際にはそうだと思うのですが、0:30 +10に気付いたと書いてあったため、一番近いものを選びました。 もしくは、SonodaさんのメールをAPNICのオペレータに転送した時刻が0;30 +10だといいたいのか。
Yasuhiro Morishita @OrangeMorishita
(「Everyone is watching you.」はプレッシャーになったのかならなかったのか)
Yasuhiro Morishita @OrangeMorishita
【自分用メモ】APNIC逆引きの件、15-Mar-2016 11:37:58 JST に broken trust chain が観測されていたとの情報をいただきました。 twitter.com/mipro2k/status…
APNIC @apnic
@OrangeMorishita @tss_ontap_o Report now posted to APNIC talk but here's link - thanks again for your patience apnic.net/publications/n…
Yasuhiro Morishita @OrangeMorishita
【自分用メモ】Service announcement: 15 March 2016 | APNIC apnic.net/publications/n…
Yasuhiro Morishita @OrangeMorishita
@apnic @tss_ontap_o Thank you for your mention tweet. I will read it.
Yasuhiro Morishita @OrangeMorishita
(今取り込み中につき、APNICから出されたレポートの内容についてのコメントはあとで。どなたかか中身読んでまとめてもらえるとうれしいです)
Toshifumi Sakaguchi @siskrn
障害検知できなかったのは、キャッシュされた応答をチェックしていたから。つまり、一日(86400)経過しないと検知できない。
Yu F @fj_twt
"Unfortunately, the check did not report any failure due to the fact that the resolver used cached responses." apnic.net/publications/n…
Toshifumi Sakaguchi @siskrn
キャッシュしたタイミングによっては早く検知できたはずだけど。タイミングが相当悪かったと。
Yasuhiro Morishita @OrangeMorishita
"Unfortunately, the check did not report any failure due to the fact that the resolver used cached responses." apnic.net/publications/n…
Yasuhiro Morishita @OrangeMorishita
【募】「キャッシュされた応答を使っていたので」を「急にボールが来たので」並に流行らせる方法。
kun432 @kun432
Unfortunately, the check did not report any failure due to the fact that the resolver used cached responses.
kun432 @kun432
DNSSECよくわかってませんが、こらはありえないのでは?
残りを読む(5)

コメント

Keitaro YOSHIMURA @ramsy 2016年3月17日
まとめを更新しました。
ログインして広告を非表示にする
ログインして広告を非表示にする