mixiで趣味の話をしよう

mixiコミュニティには270万を超える趣味コミュニティがあるよ
ログインもしくは登録をして同じ趣味の人と出会おう♪

開催終了地球最後の日(RFC2460 rthdr0)

IPv6

IPv6

詳細

2007年04月29日 00:35 更新

みんな観てる暇ないと思うので。

RFC2460が世界壊滅の危機を招きました。
当然みんな"RH0"という単語でご存知かと思いますが、
知らないひとはipv6wgを"itojun2.0"でひいてください。

ちなみに僕はセレブなのでマイミク申請したくないひとはモグリです。あとはプロフィールから全部たぐれます。

コメント(38)

  • [1] mixiユーザー

    2007年04月29日 10:57

    いわんこっちゃない。

  • [2] mixiユーザー

    2007年04月29日 13:58

    うまくググれなかった・・・orz
    おそらく Type 0 routing header issues の話だろうと当たりを付けつつ、英語と格闘中・・・
    英語を理解できる頭が欲しい・・・

  • [3] mixiユーザー

    2007年05月01日 22:51

    さて、どこかでコロッサスとガーディアンの応酬は起こっているのでしょうか、、、

  • [4] mixiユーザー

    2007年05月02日 02:46

    IPv6 Routing Header Security
    http://www.secdev.org/conf/IPv6_RH_security-csw07.pdf

  • [5] mixiユーザー

    2007年05月02日 18:55

    これは、IPv6の拡張ヘッダーのうち、ルーティングヘッダーのタイプ0を指定し、明示的に経由する経路の固定指定を行い(ソースルーティング)、その並びによっては帯域があっという間に埋まってしまうという解釈でいいのですか??
    このようなオプションがあるなんてぜんぜん知りませんでした。自分の無知を恥じるばかりです。。。。
    で、とりあえずソースルーティングを家も会社もオフにするというのでとりあえず何とかしたら良いのかと。
    (しかしうちのAllied telesisそんなオプションあったかなあ。IOSはあるみたいだけど。)

  • [6] mixiユーザー

    2007年05月09日 16:29

    http://www.kame.net/newsletter/20070502/
    http://www.natisbad.org/
    チェキラ。

  • [7] mixiユーザー

    2007年05月10日 23:42

    ありがとうございます。大変参考になりました。CISCO IOSはすでに入手し、自分で2つルータをアップデートし、bootupしたことを確認後、若手に"copy ftp://username:passwd@hostname/filename flash:" と no ipv6 source-routingしとけといっときました。
    itojunさんのリンク内容を若手に読めといいたいですが、英語読めというと嫌がるだろうなあ。実際うちの会社はIT業界じゃなく、国内オンリーの仕事しかしていない英語嫌いのそろっている汽車屋だし。
    このセキュリティーホール、格好のメーカー選定ねたに活用させてもらいました。対応がよかった会社、なにそれエンジニアだれも知りませんといった会社、いろいろ試させてもらいました。

  • [8] mixiユーザー

    2007年05月11日 16:10

    kame.netはフランス語、韓国語、日本語と用意しました。
    natisbad.orgの最初のcansecwestのスライド(ここの投稿の4番)を見て間違いを指摘できたら100点あげますよ。

  • [9] mixiユーザー

    2007年05月11日 16:17

    >>7
    KAMEベースの会社の株は買い時だと思うんですがいかがでしょうか(大笑)

  • [10] mixiユーザー

    2007年05月15日 17:20

    一番恐ろしいのは、RFCの著者Bob Hinden@nokiaも、security@googleも、まずさを理解しないことです。
    僕が直接説明したひとはみんな解ったぞ。

  • [11] mixiユーザー

    2007年05月17日 03:11

    http://www1.ietf.org/mail-archive/web/ipv6/current/msg07415.html
    > As for intercontinental links: as an ISP, I wouldn't
    > mind my customers ping-ponging the same packet back and
    > forth: this uses more bandwidth, so I make more money.

    おいおい…
    IPv6の将来を決める人がこれでいいのか?

  • [12] mixiユーザー

    2007年05月17日 08:18

    一番恐ろしいのは、RH0の恐ろしさを解いているitojun氏でも、DNS AMPの恐ろしさを理解していないことです。(ごめん)

  • [13] mixiユーザー

    2007年05月17日 09:11

    フォローのつもり:
    itojun氏が必死になることないですよ。どのみちインターネットはぼろぼろです。

  • [14] mixiユーザー

    2007年05月17日 09:12

    >11
    皮肉だと思います。

  • [15] mixiユーザー

    2007年05月17日 21:48

    将来を決めてる人じゃないと思うがなぁ
    それは使う人が決める事ー

    ま、人間だれしも間違いはすると言う一例ですね。

  • [16] mixiユーザー

    2007年05月17日 23:01

    >>12
    今回のスライドでroot DNS server全滅が語られていることは承知してますし、DDoS系の攻撃手法についても十分承知してます。root DNS server operatorの親玉村井先生が僕と同じくらい/私以上に焦げていたこと(そして村井さんは私と同じくらい真剣だったこと)、僕がopenbsd野郎であること、僕が村井さんから10年後のアジア2番目のIAB memberであるからも証明されます。do not underestimate my skills, ok?

    >>13
    僕は12年間IPv6普及のために働いてきたので、ここで戦わないと後悔して病気がひどいことになると主治医のお医者様は理解し、私はお医者様の許可をとって(!!)4/20-27の間7徹夜しました。
    修士1年のとき1ヶ月の間に30日勤務20徹夜(!!)して20kgほど体重が落ちたので、30徹夜まではいけるし痩せるわいと思ってホクホクしていたのですが、さすがに寄る年波には勝てず、それと既にIETFコミュニティには理解されていたので、"itojun2.0"の投稿とともに7日で議論は沈静化したので7徹夜で終わり、ダイエットも7kgで終わりました。計算はあってますがもうちょい痩せたかった。

    >>11
    そいつは完璧にアマチュア中のアマチュアなので相手にしてはいけません。こういう奴がいるからいつまでもモグラ叩きしないといかんのじゃあ。

  • [17] mixiユーザー

    2007年05月17日 23:05

    ちなみにkameのsecurity incident handling ML(KAME使っているベンダなひとはdrop me an email! よろしく)に正解のdiffが流れたのは4/22です。theoに4/20(日本時間)に叩き起こされてから48時間以内で正解にいきついたわけ。現在でているrthdr0バイバイdraftの内容とも整合しております。

  • [18] mixiユーザー

    2007年05月17日 23:16

    ちなみに、4/20-27の間「寝ろ寝ろ」email DDoSを受けて仕事にならなかったのはマジです(笑)

  • [19] mixiユーザー

    2007年05月18日 07:39

    mango

  • [20] mixiユーザー

    2007年05月18日 09:02

    なぜ果物?

  • [21] mixiユーザー

    2007年05月18日 09:44

    mango.itojun.org

  • [22] mixiユーザー

    2007年05月18日 11:04

    そいつはちゃんとパッチあててあります(笑)

  • [23] mixiユーザー

    2007年05月18日 11:38

    http://jprs.jp/tech/notice/2006-03-29-dns-cache-server.html

  • [24] mixiユーザー

    2007年05月18日 11:53

    あ、BIND設定ノーガード?そいつはとんだ失礼。帰ってすぐにやります。

  • [25] mixiユーザー

    2007年05月18日 12:13

    いや、インターネットより体が大切。

  • [26] mixiユーザー

    2007年05月18日 12:59

    寝ろ寝ろDDoSだけは勘弁して(笑)

  • [27] mixiユーザー

    2007年05月18日 13:57

    むむむ。BIND 9.3.0(いつだかのNetBSD-current)なんですが、IPv6についてはlocalhost; localnets;ではうまくしぼれないですか? 今試したところだと答えないけど。

  • [28] mixiユーザー

    2007年05月18日 14:40

    ルートキャッシュ(436byte)とか、持ってるキャッシュは答えるかと、、、たとえばns1にgoogle.comとか聞いてみてください。
    (宗教上の理由によりIPv6はわかりません)

  • [29] mixiユーザー

    2007年05月18日 14:52

    インターネット崩壊について語るコミュニティはこちら >
    Is the internet dying?

  • [30] mixiユーザー

    2007年05月18日 16:10

    いくつか試してみましたけど、aclが緩いという感じは受けませんでした。ちなみにns1.itojun.org = cocount.itojun.orgでmango.itojun.orgではありません。どういうdigのコマンドラインで「これはまずい」と思われましたか?

  • [31] mixiユーザー

    2007年05月18日 16:51

    詳細はメッセージしました。
    同様のサーバのリストが私の手元に2万台分。

    ということで、> 12

    やっぱ、地球最後の日は近い、、、

  • [32] mixiユーザー

    2007年05月18日 19:56

    packet数のamplificationがないので、そんなに怯えません。silently discardはあんまりなので、答え返してやるのはmake senseだと思うし。ほんとにまずいならBINDだってrate limitくらいはしてるはず。

  • [33] mixiユーザー

    2007年05月18日 22:09

    > packet数のamplificationがない

    DNS AMPを過小評価してますね。
    そりゃRH0と較べればかわいいもんですが、原爆も数集めれば水爆とかわりません。

    > silently discardはあんまり

    silently discardの対象となるqueryは異常なqueryなので、答え返す義理はないです。

    BINDは捨てましょう。

    誤解しないで欲しいのは私はdjbdns信者じゃありません。
    djbdnsだけじゃなく、NSDもいいですよ。MaraDNSもよさそう。
    アンチBINDなだけです。

    IPv6と関係なくなってきたので、あとは別コミュでどうでしょう。

  • [34] mixiユーザー

    2007年05月19日 22:32

    すいません。過小評価してません。僕がアジア2人目のIABと言ったら信じますか? 人生full disclosureなので僕はtheo de raadtにも怖がられてます。ヘンだと思ったらfinger <僕のemail address>してください。

    silently discardはまずいので、Paul Vixieにrate limitしてもらうよう頼みました。

  • [35] mixiユーザー

    2007年05月20日 22:07

    > 僕がアジア2人目のIABと言ったら信じますか?

    信じるっていうか知ってます。日本の誇りですね。

    > silently discardはまずいので、

    繰り返しますが、コンテンツサーバについていえば、そもそも委譲ツリーを辿ってきていない(権威のないゾーンへの問い合わせの)queryなんかdiscardでいいんです。
    キャッシュサーバを兼用しているサーバについていえば、許可範囲内からのDDoSパケットに対しては、確かにrate limitがなされているといいですね。(でもその手前でspoofing datagramを落とすべき)

  • [36] mixiユーザー

    2007年05月21日 14:47


    >繰り返しますが、コンテンツサーバについていえば、そもそも委譲ツリーを辿ってきていない(権威のないゾーンへの問い合わせの)queryなんかdiscardでいいんです。
    まあそりゃそうですが、innocent misconfigured clientsとDDoS sourceの区別はどうつけるんですか?

    >キャッシュサーバを兼用しているサーバについていえば、許可範囲内からのDDoSパケットに対しては、確かにrate limitがなされているといいですね。(でもその手前でspoofing datagramを落とすべき)
    自分じゃspoofed datagramかどうかわかんないですが、じゃあ誰がチェックしてくれるんでしょう? mango.itojun.orgの場合、MEXがどんなingress filterをかけてるか問い合わせれば気が晴れますか? MEXからIPv4 addressもIPv6 addressも1個しか貰えないので分離不能です。

  • [37] mixiユーザー

    2007年05月21日 16:06

    innocent misconfigured clients は、あれ?なんかおかしい?と、気づかせてあげるのが本当の親切というものですよ。

    それと、個人のサーバだったら、そうそうやり玉にあげてませんよ。
    mangoはwide.ad.jpのオーソリティなんだから、模範を示して欲しいとお願いしたまでです。リソース足りないのに、NS引き受けなくてもいいんじゃないですか? itojunさんの責任じゃないかもしれませんが、、、

    この話の続きは、やっぱこちらでどうでしょう。
    http://mixi.jp/view_bbs.pl?id=712192

  • [38] mixiユーザー

    2007年05月21日 16:35

    話をもとに戻すと、RH0にせよ、DNS AMPにせよ、インターネットを根底から脅かしているというのに、実に認知度が低いということです。
    どうやって周知していくといいんでしょうねぇ。itojunさんのように捨て身で戦うのもいいですが、もっと組織だった活動が必要ではないかと思います。
mixiユーザー
ログインしてコメントしよう!

[IPv6] コミュニティトップへ

  • 2007年05月01日 (火) optimism here
  • 東京都 全世界
  • 2007年05月01日 (火) 締切
  • イベントに参加する
  • 気になる!
参加者
1人

主催者

mixiユーザー

mixiユーザー

主催イベント11

困ったときには

このページの上部へ