% dig +short @198.153.192.1 chaos txt version.bind "unbound 1.3.4"……まさかちゃんと答をよこしてくれるとは思わなかった。まあ、詐称してる可能性もないではないけど。つーことで、google みたいに自前開発したものではなく、unbound (のちょっと古めのバージョン)を使ってるらしい。あやしいサイトを聞くと偽応答を返してシマンテックのサイトに誘導するみたいなことをやってるようなので、どっか改造されてる可能性は十分ありうる(無改造の unbound でもできなくはないが、めんどくさい)。 _ もいっちょ。
% dig +short @198.153.192.1 chaos txt hostname.bind "ig-01-hkg.dyndns.com"あ、こっちも答えた。なぜか dyndns。もしかして symantec が自前で動かしてるんじゃなくて、運用を外部に丸投げしてるだけ? 調べてみると、このIPアドレスは AS33517 で、AS33517 は こんな感じ。つーことで、実体が dyndns.com であるのは間違いないね。なんだつまらん。 _ google public dns に対するメリット。198.153.194.1 の方は、日本からの RTT が小さい。うちからだと 12-16ms くらい。google dns より 30ms 小さい。たぶん東京都内に設置してある。つーことで、こっちの方だけを使うようにしておけば、google dns を使うよりも圧倒的に速い(198.153.192.1 の方は 65ms 以上あるんで使っても不幸になるだけ)。とはいえ、わざわざこんなのを使わなくても、まともな ISP が提供している DNS ならばこのぐらいのレイテンシで応答を返してくれるのがあたりまえなので、速さだけでいえば google dns に対するメリットにはなっても ISP 提供の DNS に対するメリットにはならん。 _ あとは、危険なサイトへのアクセスをブロックしてくれる機能をありがたく思うかよけいなお節介と感じるかどうかかな。マルウェアを仕込んでるようなサイトだけでなく、どうやらエロサイトその他もブロック対象みたいだし。厳密な話をすれば DNSSEC が台無しになるんだけど、アクセスさせないための DNS であれば DNSSEC の検証ができなくなってもそれはそれでとくに問題ないといえなくもない。あと、from: エロサイトな spam へのバウンスを返したら norton dns のサーバに吸い込まれる、という現象も発生しそうだが、試してみたら SMTP のポートは空いてなかったのでそのへんは気にしなくてよさげ。 _ 児ポを止めるとかどうのとかいう議論において、一部 ISP の考えは、もしどうしてもやるのであれば DNS で止めたい、ということらしい。まあ、ラクだし、納得はできる。が、それやっても、こういう野良 DNS を使ってるユーザには何の効果もないんだよね。つーことで、それの実効性を高めるための手法が実施されるのではないかという懸念が。つまり、OP53B。もし実施されると、このような norton dns や google dns などの野良 DNS サービスは一切使えなくなるどころか、自前 DNS も動かせなくなる。まあ、警察はこれじゃ不十分だと言ってるようなんで実際どうなるのかしらんけど。ISP は土管じゃいられないのかね。