Twitterブログ: 昨日のDNS障害についての追加情報
で、「DNS設定がハイジャックされました。」ということらしい。
発生時、Tweetie の更新が止まってたのでなんだろなーと思ってて以下を実行してみた
(けどスクリーンショットなどとってない、、)
・Twitter 専用クライアントでなくて ふつーのブラウザで閲覧
-> 遅かったのか、アラビア語や英語の「クラックしたぜ!」なのはみれなかった。ただタイムアウト。
・A RR ひいてみると NTT America なアドレスではなかった
(追記:そうそう、Firefox だと WorldIP でも入れておくと常に確認できていいよ。ふつーはこんな具合で NTT America なアドレス。)
復旧してほとぼりがさめたところで、個人的興味から以下調査(というほどでもないか)
NS レコードひけばすぐわかるけども、
最初に書いた追加情報にあるとおり、DNS は Dynect というとこのサーバがやってる。
% dig twitter.com ns +short
ns1.p26.dynect.net.
ns2.p26.dynect.net.
ns4.p26.dynect.net.
ns3.p26.dynect.net.
じゃ dynect てなにやさん?と、試しに www.dynect.net を見る。
http://dyn.com/dynect にリダイレクトされる。
CDN や DNS屋さん。GSLB て初めて見た。global server load balance か。
下のほうの Our Clients をみると、(自分の知っている)有名どころでは Twitter の他、bit.ly や 37signals がある。
というわけで bit.ly と 37signals.com の NS レコードを引いてみる
% dig 37signals.com ns +short
ns4.p25.dynect.net.
ns1.p25.dynect.net.
ns2.p25.dynect.net.
ns3.p25.dynect.net.
% dig bit.ly ns +short
ns1.p26.dynect.net.
ns4.p26.dynect.net.
ns2.p26.dynect.net.
ns3.p26.dynect.net.
おー。bit.ly は twitter.com とおなじネームサーバ。
やっぱり BIND かなー、バージョン問い合わせに答えてくれるかな?と思って引いてみたら答えてくれた。
% for i in $(jot 4 1); do echo "--- ns${i}.p26.dynect.net"; dig @ns${i}.p26.dynect.net version.bind chaos txt +short ; doneどうハイジャックされたのかわからないけど、もしや bit.ly (の A RR)が書き換えられててもおかしくなかったのかな、と想像。BIND の事情よくわからんし、攻撃手法がわからないとなんとも・・?
--- ns1.p26.dynect.net
"9.6.1-P1"
--- ns2.p26.dynect.net
"9.6.1-P1"
--- ns3.p26.dynect.net
"9.6.1-P1"
--- ns4.p26.dynect.net
"9.6.1-P1"
外から動的更新できる設定でした、なんてぇことはないだろうしなぁ。
0 件のコメント:
コメントを投稿