[epnetfan 座学編]
[Internet Week 2005 報告会]
[DNS Day 報告 (HTML)]
[DNS Day 報告 (PowerPoint)]
EPNetFan 2005 年度 座学編 第 XX 回 資料
Internet Week 2005 報告
- 2006/01/19 森川靖大 追記
- 2005/12/06 小高正嗣 作成
- 汎用 JP ドメインの利用が着実に伸びている
- 日本語ドメインも増えつつある.
- a.dns.jp (ルートサーバ)への問い合わせ数はゆるやかに増加(2005年)
- c.dns.jp の運用終了
- 2005/03 運用終了アナウンス
- 2005/05/10 完全に停止
- [a-f].dns.jp 体制から [abde].dnc.jp 体制へ移行
- 概要
- example.jp の NS に ns.example.co.jp を指定
- ns.example.co.jp を破棄
- 第 3 者が example.co.jp を取得, ns.example.co.jp を NS として立ち上げ
- ns.example.co.jp が example.jp を制御できてしまう...
- 対策
- 目的
- 安定稼働の指標
- サービス導入/変更の効果分析
- BIND の不具合をつかむ
- 結果 (a.dns.jp)
- 8/15 に [大阪 1] に問い合わせが集中
- [大阪 2] にはない
- 午前 4 時に問い合わせのピーク
- 3 年くらい前から
- 1 つの IP が送信元の場合もある
- 逆引きが多い, 再帰検索(root サーバからはじまる問い合わせ)
- root DNS サーバ
- 12 の組織が 13 台のサーバを運用
- (厳密には 13「台」は正確じゃないけど. 下記の Anycast 参照)
- Anycast の実装
- 各地の Root DNS サーバでは Anycast によって負荷分散している.
- サーバによっては 1 つの IP に対して 30 台近いノードを用意.
- 日本にも Anycast されている root サーバ (F, I, J, K, M) がある.
- 備考:
IPv6 Root: 現状
一応各地の Root DNS サーバは IPv6 化されているものの,
ほとんど IPv6 のアドレスの Query に対応できない.
なにしろまだ zone に記述されていないことが問題.
パケット長の問題もあるし, 現状を破壊してしまわないかという
問題がある. 新たな状況に対応しようという意思はあるものの,
まだどーしたもんかな, という頭の痛い問題.
Root サーバの今後
DNSSEC 対応に向けて移行中.
安全なのは良いけど, 速度は大丈夫?
- DNSSEC 【DNS Security Extension】
-
読み方 :ディーエヌエスセキュリティー。
DNSのセキュリティを向上させるための拡張仕様。
参考: <URL:http://e-words.jp/w/DNSSEC.html>
EDNS0 に対応した DNS サーバを用いると良いらしい.
(何が良いのかちょっと良くわからなった. IPv6 への移行が容易なのかな?).
質問
Q.
Anycast で各地にある単一の IP を持つサーバを点在させることが
可能だが, 結果としてすごく遠いところまで DNS の返事を取りに
いったりしないのか?
A.
あります. Anycast は近い遠いを見ないため, 結果的にはるか遠く
のインスタンス (Anycast によって単一のホストを構成するノードの一つ)
へ行ってしまうこともあります.
(ちなみに Anycast は DNS の技術ではなくてルーティングの技術です.)
- 送信ドメイン認証
- 所有するドメインが詐称されることを防ぐ
- 詐称されたドメインへアクセスすることを防ぐ
- 具体的な技術
- SPF (Sender Policy Framework)
- Sender ID
- Domainkeys, DKIM
普及率
SPF はちょっと普及しているようだがそれでもまだまだの
普及率.
2005/11 の段階では SPF 0.03 %, DomainKeys 0.00 % (もちろん全く無い
わけじゃなくて, この桁だと落ちちゃう)
- 方法 (SPF)
- まとめ
- 設定を間違うと正当なサーバからのメール受信を拒否してしまう
- 自己防衛のためには必要かもしれない
- なにもしないと spammer ドメインとして認識されてしまう恐れがある
- DNS Lame Delegation: DNS が正常に動作していない状態を指す
- JPNIC の DNSQC TF による DNS Lame チェック
- APNIC 基準の Lame なゾーンは全体の 14%
- DNSQC 基準の Lame なゾーンは全体の 20%
- チェックだけでなく, 改善を求めるなどの活動も行っている.
- ドメイン名管理者の仕事
- 自分のドメインぞーん情報を提供する DNS サーバの運用(下位へのサービス)
- その DNS サーバ情報のレジストリへの設定(上位へのサービス)
- 上位と下位の整合性を維持
(単にサーバ単体のセキュリティに気をつけていれば良いわけではない)
- これらが一つでも欠けると適切なドメイン名管理がなされない
- ドメイン乗っ取りの可能性がでてくる.
- ドメイン名の乗っ取りはなぜ起こるか?
- 例) 有効期限切れた DNS サーバを放置しておくと, 第 3 者に同名の
DNS サーバを立ち上げられ, 詐称されてしまう.
- ドメイン名登録管理者と DNS 運用管理者間との連係がとれていないと
起こる可能性がある.
- ドメイン名の乗っ取られると何が起こるか?
- 名前解決の遅延
- 正しい名前解決をしない
- あるはずのドメインへアクセスできない
- 偽サイトへのアクセスを誘導される
- 実際の事例
- JP ドメインの対応
- 注意喚起メールをドメイン名登録者に送付 (2005/08, 09, 10)
- 存在しない JP ドメイン名の DNS サーバへの委任を削除
- JP ドメイン名の規則を改訂 (2006/01/10)
- Lame Delegation
- Lame Delegation 問題点
- ユーザ側
- 名前解決ができない
- 名前解決に時間がかかる
- 誤った名前解決をされる
- ネットワーク全体
逆引きと正引きの違い
逆引きの管理は正引きに比べ, 直接的に行われることが多い.
(例えば北大が, IP は直接管理しているのもその例).
よって RIR がそちらの Lame をチェックし, 通達等を行っている.
- RIR
-
IPアドレスの割り当て、管理を行なう地域インターネットレジストリ管理団体
(RIR : Regional Internet Registry)
2005/12/06 小高正嗣, Copyright © 2005 EPNetFan
[epnetfan 座学編]
[Internet Week 2005 報告会]
[DNS Day 報告 (HTML)]
[DNS Day 報告 (PowerPoint)]