それマグで!

知識はカップより、マグでゆっくり頂きます。 takuya_1stのブログ

習慣に早くから配慮した者は、 おそらく人生の実りも大きい。

dns

DNS問い合わせは、また「監視される」。

dns

DNS問い合わせ監視が有耶無耶の間に、既成事実化されつつある。 どこの◯ワンゴが仕掛けてるのか、と思うんだけど、「金盾」を日本に導入がなし崩し的に規定にされつつあります。 インフラ事業者や大学を国が守る、悪性サイトへの接続防ぐサービスを政府が無…

sslhでdohが捌けないのは dns-crypt 特定フラグのせいだった。nginx

SSLHで dohをさばけない dig DoHでDNS問い合わせがうまく行かないと思って4時間格闘した結果、DoHはdns-cryptなので、純粋なSNI/ALPNではないとわかった。まじかよ。それTLS特定フラグで識別可能じゃん。暗号化解除しなくても止められちゃうじゃん。 色々調…

dig コマンドの結果をYAMLで取得して再利用しやすくする

dig コマンドの結果をYAMLで取得して再利用しやすくする dig t.co @8.8.8.8 +yaml dig コマンドは、結果をYAMLで返してくれる。 JSONもあれば嬉しかったけど、dig はyaml形式をサポートしたみたい。python や npm でいい感じに変換すればいいよね。 実際の例…

digコマンドでプロトコルを指定する(HTTPS/TLS/TCP)

dig コマンドでプロトコルを指定する。 dig コマンドは UDP/53以外にもTCP / TLS(DoT) / HTTPS (DoH ) を指定できる。 dig g.co @dns.google +https dig gco @dns.google +tls dig g.co @dns.google +tcp それぞれ、プロトコルを+オプションで付与してあげる…

dig コマンドでDoH/DoTする。書換え検出する(本当に8.8.8.8と通信しているか)

dig コマンドはDoHに対応しています。 dns over https で dig を使えます。 dig t.co @dns.google +https dig コマンドは DoTに対応しています。 dns over tls で dig を使えます。 dig t.co @dns.google +tls 活用例: DNSがDNATで捻じ曲げられててないかど…

linux でローカルドメイン名を使いたい。

linux(ubuntu/debian)ローカルドメインを使いたい ローカルドメイン名は基本的に、resolv.confを使います。 resolv.conf domain lan search lan nameserver 127.0.0.1 search を書けば別ホスト名を探しに行くとき、suffixを入れてくれます。 domain を書けば…

public dns で使えるDNSサーバー

public DNS で使えるDNSサーバー 公開DNSで、任意のISPから使えるDNSサーバーの一覧 Adguardのヘルプに記載があった→ https://kb.adguard.com/en/general/dns-providers DoH / DoT DNS over HTTPS / DNS over TLS も同様に記載がある。 ipv6 ipv6 でも使える…

ubuntu systemd-resolved で ローカルドメインの解決をする

ubuntu systemd-resolved で ローカルドメインの解決をする ubuntu でresolved を使ってる場合にローカルドメインの解決をして増え続けるLXDコンテナの名前解決をなんとかしたい。IPアドレスで覚えきれないよ。 はじめに ubuntuは systemdに移行しているので…

Ubuntu に AdGuard Homeを導入してキッズへのフィルタリングを実現する。

Ubuntu に AdGuard Homeを導入する AdguardHomeを使えば、動画ばかり見て宿題をしないキッズたちをサクッとアクセス禁止にすることが出来るドエス機能が作れます。 ubuntu のインストール ubuntuは stableを使ってサクッとインストール sudo qemu-img create…

google chrome のセキュアDNS機能が追加されたので、キッズが使えないように考える

chrome のセキュアDNSを使わせない ブロックするIPv4は次の通りになる。 $ dig public.dns.iij.jp +short 103.2.57.6 103.2.57.5 $ dig +short dns.google 8.8.8.8 8.8.4.4 $ dig +short doh.opendns.com 146.112.41.2 $ dig +short security.cloudflare-dns…

dns で vpn を iodine でやる。 vpn over dns

dns で vpn を iodine 受け側 Linux は、apt でインストール sudo apt install iodine 抜ける側、ノートPCは brew でインストール brew install iodine サーバー側 idoned iodined をサーバー側で起動 ( -d の d を忘れるミスに注意) sudo iodined -f -P 7JO…

unboundをインストールしてdns問い合わせしつつ、書き換えする。

unbound を使って、DNS問い合わせを書き換える。 俗に言う、DNS広告ブロックってやつです。以前書いた記事から愚痴を除去してスッキリさせて書き直し sudo apt install unbound dns-root-data /etc/unbound/unbound.conf include-toplevel: "/etc/unbound/un…

unbound で指定ドメインを上書きして応答する。

unbound で指定したドメインの名前解決を上書きする unbound では、指定したドメインの応答結果を本来の結果とは違う応答を返却することができる。 ドメインの一種の偽装である。グローバルに偽装応答すると犯罪だがローカルで書き換えるのであれば問題ない…

unboundによるDNSブロッキング

dns ブロッキングをunboundで実現する。 ともちゃ先輩が面白そうなことをやっていたので、ちょっと真似てみる。 とも ちゃ日記(Tomo cha) - 元大学生のOL日記- ちまたで、kawangoが暴れているDNSブロッキングというネタがあり、元々実装を検討していたもの…

ついに牙を向いたPublic DNS

dns

Cloudflare の 1.1.1.1 が dns 応答を拒否し始める。 巨大になった組織の宿命というか、世間のレベルより「踏み込んだ」対応をして自粛をしないとダメなんだろうけど、管理は、インターネットな文化と相容れないと思ってた私の脳みそは時代遅れで腐っている…

DoH:DNS-over-HTTPS なサーバーを作って試す。

DoH サーバーを作って問い合わせをちょっとだけ秘密にする。 DNS によるブロッックングが2019 上半期の一番の話題だったと思う。DNSブロッキングはUKで実際に運用されていたり、法制度化されているので本邦でも導入するべきと言った論調だった。児童ポルノで…

我々のDNS問い合わせは監視されている。

dns

ACTIVEに基づく通知が来た。 この日、私は実験目的でヤバそうな各種DNSを引いていたのですが、その結果ががこれである。 どのURL(ドメイン)がフィルタリングされたか全くわからないし、ACTIVEの対象ドメインが完全非公開なので怖いなと思った。 フィルタリ…

mydns 関連のドメインが 1.1.1.1 のpublic dns から引けない問題(DNSフィルタリング・規制か?)

twitter を見ていると、MyDNSが引けないというツイートを見かけた。 1.1.1.1からだとmyDNSのIPが返ってこない— ぴこにこ (@kuroKario_bot) June 21, 2019 引いてみた。 takuya@untitled1$ dig aaaaaa.mydns.jp @1.1.1.1 ; <<>> DiG 9.10.6 <<>> mydns.jp @1.…

unboundでrootから引くdnsサーバを作り、DNSフィルタリングに備える

この記事は試験的なものです。 ちゃんと動作するか現在、調査検討中です。 public DNS もDNSブロッキングされる可能性がある。 public DNS 1.1.1.1/ 8.8.8.8 は多くの人が使っていて、とても公共性が高いのですが。多くの人が使うがゆえにフィルタリングされ…

PowerDNSでDNSサーバーを作る。

PowerDNS 通称 pdns が便利。 pdns が便利そう。なので使ってみてる。 Power DNS で出来ること PowerDNSはDNSで出来ることが一通り全てできる。 権威サーバー ミラーサーバー キャッシュサーバー これらをちゃんと実装している。 さらに、コンテンツサーバー…

3分で出来る、偽DNSサーバーをつかってテストとデバッグを簡単にする方法

dns

DNSをフェイクして、偽のWEBサーバーに誘導する方法。(あくまでテスト用。)嘘のDNSサーバーを使って、テストとデバッグ情報を集めたいときがある。デバッグしていると、アプリケーションが外部サイトにアクセスすることがよくあります。HTTP通信であればプ…