LOG IN

move to Facebook !?

by otsuka752

2019/11/17

新しい職場の Tシャツ! ではない。

新しい職場に異動前の有給消化! ではない。

fb の DC アーキテクトのお友達にもらった Tシャツが格好いいので fb に転職しようと思ったけど、fb のサービス全然分からないから無理だわって奥さんに言った直後に、某弊社のサービスも全然分かってないことに気付いたので、結論としては転職できるってことになった。なお、予定は無い。そして、誤りが複数。

アイコンのワンコでギリ気付いたよ?(分かんね〜よ!?)

明日は(今週は)何をしようかと考えながら眠りにつく。皮から手作り餃子は確定。娘(8) と約束しちまった。

寝るます

2019/11/18

誤りを指摘されて気付いたならそれで良いじゃん。良かったじゃん。何で開き直るのか、何で言い訳するのか、それが不思議だ。

ねぇ。そして、謝らんで良いのにね。

「浸透をお待ちください」と言われたエンドユーザーがエンジニアに返す文言集があると面白そうですね。

委任元と委任先の NSレコードの TTL の話をした。聞かれたので話をした。違いがあることを認識していなかった頃の自分を思い出した。

サンタさんからのプレゼントを受け取る用の...肉離れ保護サポーター。

エンドユーザー側は、つぶらな瞳で質問しよう。

【何がどうなるのを待てば良いですか? どうなったら完了ですか?】

【どう確認できますか? 確認できませんか?】

【どんな情報が、どこに到達するんですか?】

【到達するための条件は何ですか?】

もっと短く、端的に、キャッチーに言い表したい。

【待たずに済ませることはできませんか?】

これは無い方が良いですかね...。確認方法だけ聞きましょうか、つぶらな瞳で。

grass fed beef を焼いてニンニク醤油のソースでいただきました。薄切りステーキだったので、うまくミディアムに焼けず。付け合せはマッシュポテト、人参グラッセ、茹でいんげん、茹でブロッコリ、レタス、パプリカ、プチトマト、きゅうり。リーク葱とじゃがいものスープも。ビール飲まずに 8日経過。

NAPT する時に TCP Timestamp option をうまく管理する機器はありますか? 内側の複数の機器から、NAPT して同じ宛先に通信すると、Timestamp 巻き戻る(ように見える)こともあるじゃないですか。内側の機器ごとにオフセット管理して、外に出す時は常にインクリメントされるように書き換えるようなの。

seq num は管理してますよね。

内側の機器ごとの src IP は違う前提ですが、src Port は関係しない気がします。で、宛先一緒だと、NAPT した後の src Port 使いまわした時に、Timestamp 巻き戻るように見えますよね。

9回目を 19:30 に。10回目は飲むの忘れて 24h 経過しちゃったので、飲むの終了。

10回分処方されてたので、9回終了で良いでしょう。連続して飲まなきゃいけない物かどうかは未確認だけど。(成分の血中濃度を保持する都合の有無)

先日、どれだけ古い BIND を動かせるか選手権ってのが開催されまして、何とか 4系を動かしました。大変でした。

もうすぐ 23:00 だし寝ます。また明日。

2019/11/19

久しぶりのダブリンバス。2階に登れず 1階で。

これ、めっちゃ楽しみです。笑えるんだろうか...。

カレーは飲み物です

帰りのバスで pf の scrub, reassemble tcp を調べる。

NAPT デバイスの内側の 2台のクライアントが、同じ IPAddr のサーバにアクセス。1台目のクライアントの通信が完了後、2台目が同じサーバに通信。NAPT 後の SrcPort が同一になった場合、サーバから見た TCP Timestamp Option 値が巻き戻る...と言うシチュエーションを考えてます。

2台のクライアントの Timestamp 値は独立してて、それぞれ時刻とも同期していない前提です。(実環境と同じです) この場合、pf scrub / reassemble tcp で random number に書き換えても、期待通りに動作しない(サーバから見ると巻き戻ったように見える)ように見受けられました。

Src/Dst IPAddr/Port の組み合わせを増やすしかないと判断しています。(あるいは、Keep-Alive 使うような方向で、単位時間あたりの TCP 接続数を減らす方向で。)

(調査結果の共有だけで、特にコメントを期待するものではございません・・・。)

2019/11/20

ご存知かもですが、ECS で権威サーバに届くクライアントの IPアドレスは(8888 だと) /24 でマスクされています。+subnet=0.0.0.0/0 を付与すると、権威サーバに ECS で IPアドレス(レンジ)は届きません。

quad 1, 8, 9 とは何か、、、3秒考えてやっと分かりました。

quad 3 は作られないんだろうか...

本日は(も)家でまったり。

さくっと(?)書けるのがすげー。

組織票って単語を見かけた。驚いた。

驚く以外に言葉が無く・・・。そこに至った気持ちが分からないです。

なるほど、「議論に負けたくない」気持ち。

だらだら、のんびり。そろそろ日本語訳をやる。

暖炉使ってて COセンサーが反応するとビビル。alarm じゃなく fault で一安心。色々調べたら乾電池不良だった。乾電池交換して終了。

2019/11/21

さすがに実在する他人のドメイン名でやっちゃダメか。自分ので試してみます。

Lame なドメイン名 tcpreplay\.xyz を準備しました。tcpreplay\.xyz ゾーンは存在しません。でも、www.tcpreplay\.xyz の A は名前解決できます。その状態で・・・兄弟ドメイン名(sub.tcpreplay\.xyz) を乗っとりま〜す。

例えば時間指定で 12:00 UTC 21:00 JST に乗っとります宣言、とかで良いですかね。cron 仕込んで。

cron 仕込みました。35分後の 12:00 UTC 21:00 JST に乗っとりま〜す。

status:REFUSED から NOERROR になります。A でなく NS/SOA でご確認を。

コマンド実行自体は 1秒未満で。ゾーン作成に長くて 2-3分です。

for j in ns-383.awsdns-47\.com. ns-656.awsdns-18\.net. ns-1117.awsdns-11\.org. ns-1601.awsdns-08\.co.uk.; do dig +norec sub.tcpreplay\.xyz. @${j}; sleep 1; done

みたいな感じでお願いしまっす >みなさま

平行して、生贄のサブドメインを探してる。社内の開発環境のやつ。有名人のサブドメインだと良いんだけど、果たして・・・。

dig +norec NS sub.tcpreplay\.xyz. @\x.nic\.xyz. の結果と、@\ns-383.awsdns-47\.com. @\ns-656.awsdns-18\.net. @\ns-1117.awsdns-11\.org. @\ns-1601.awsdns-08\.co.uk. の結果を見比べていただけると面白いかもです。

そして、新たなヤバさを見つけたかもです。

ゾーンごと乗っ取るのでなく、狙ったドメイン名とレコードを作成することで、特定の(他人が管理するドメイン名の)サーバー証明書を発行できてしまう気がする。証明書の CN/SANs の名前解決結果を制御できないけれど、それなりに面白そう。

Android でヘッドホンで YouTube の音楽を聞く時、ヘッドホンが抜けると再生止まるようになった。

qname min した DNSリゾルバは、どこまで NS をひくんだろう。いつになったら A を(クライアントから聞かれたタイプを)をひくんだろう。まずは unbound さんの動きを見てみる。

あれ? NS ひかない? ひいてない・・・。

the QNAME which is the original QNAME, stripped to just one label more than the zone for which the server is authoritative.

the QNAME that is the original QNAME, stripped to just one label more than the zone for which the server is authoritative

unbound-1.6.0 さんが古いのか・・・?

$ diff unbound.conf\.org unbound.conf

294a295 > username: "nobody"

396a398 > qname-minimisation: yes

402a405 > qname-minimisation-strict: yes

unbound-1.8.2 でも同じ

unbound-1.9.5 でも同じ

何かがおかしい(たぶん自分自身)

分からん。NS 聞いてくれないよ?

Type:A で com やら google\.com を引いて、Auth Section を見て NS を知るの? あれ?

分からん

いでよ、bind さん。

bind さんで strict にして、やっとそれっぽい(自分が思っていた)動きに。

(bind-strict).56963 > http://j.gtld-servers.net.domain: 60733 [1au] NS? com. (44)

(bind-strict).50773 > http://b.gtld-servers.net.domain: 65443 [1au] NS? http://google.com. (51)

9.14.6 の ARM より qname-minimization This option controls QNAME minimization behaviour in the BIND resolver. When set to strict, BIND will follow the QNAME minimization algorithm to the letter, as speci- fied in RFC 7816.

Setting this option to relaxed will cause BIND to fall back to normal (non-minimized) query mode when it receives either NXDOMAIN or other unexpected responses (e.g. SERVFAIL, improper zone cut, REFUSED) to a minimized query. disabled disables QNAME minimization completely.

The current default is relaxed, but it might be changed to strict in a future release.

ARM は 9.14.6 を参照したけど、 BIND 9.14.8 (Stable Release) <id:5d87f66>

bind さん strict は強いな。気持ちいい。色々ひけないけど。

bind さん relaxed は _.sub.example\.jp. の A をひいていくスタイル?

メモっておきます。 lame delegation to Route 53

ビール(アルコール)飲まずに丸 11日目。今夜はどうしようか・・・

このサイト面白い。特に逆引きも。あの有名サイトと同じ NS に相乗りか!とか。フリープランで登録したけど物足りない。(月額 30ドルの価値があるかどうかは...)

すごいですね。お遊びでしか使ってないドメイン名もトラックされてました。そして、新しいサイトはこちらかも。https://completedns.com

考え事しながら寝るます。

OTHER SNAPS