スライド 1

Size: px

Start display at page:

Download "スライド 1"

かおりこしの
5 years ago
Views:

1 今年もやります! ランチのおともに DNS Internet Week 2008 民田雅人森下泰宏株式会社日本レジストリサービス 1

2 本日のランチメニュー DNS の IPv4/IPv6 合わせ盛 DNS の IPv6 対応 1034 円 DNS の 512 バイト包み焼き 512 バイトの壁の由来と EDNS 円 DNS よろず相談時価 2

3 DNS の IPv6 対応 3

4 DNS の IPv6 対応は 2 つある DNS 通信の IPv6 対応 DNS の問い合わせ応答のやりとりに IPv6 の通信を使う DNS コンテンツ ( ゾーンデータ ) の IPv6 対応 IPv6アドレス(AAAAリソースレコード(RR)) を登録する IPv6の逆引きを登録する 2 つは独立の事象 IPv4の通信を使ってIPv4アドレス(A RR) を検索 IPv4の通信を使ってIPv6アドレス(AAAA RR) を検索 IPv6の通信を使ってIPv4アドレス(A RR) を検索 IPv6の通信を使ってIPv6アドレス(AAAA RR) を検索 4

5 DNS 通信の IPv6 対応 DNS サーバの実装が IPv6 での通信に対応しているかどうか比較的新しい実装はほとんどが IPv6 での通信に対応権威 DNS サーバの実装 NSD PowerDNS BIND 9 BIND 8(8.4 系 ) etc キャッシュ DNS サーバの実装 Unbound PowerDNS recursor BIND 9 BIND 8(8.4 系 ) etc 5

6 BIND 9 の IPv6 関連の設定項目 ( 抜粋 ) IPv6 アドレスを直接記述できるもの IPv4 アドレスと併記できるもの allow-query, allow-recursion, allow-query-cache allow-notify, allow-transfer match-destinations, match-clients zone 文内の masters IPv6 専用のオプションがあるもの IPv4 とは別に設定するもの listen-on-v6 listen-on の IPv6 版 notify-source-v6 notify-source の IPv6 版 6

7 正引き DNS コンテンツの IPv6 対応 AAAA RR を使う逆引きドメイン名 IPv6 アドレス IN AAAA 2001:DB8::1 IPv6 アドレスドメイン名 PTR RR を使う点は IPv4 と同じ 4bit 単位で区切り逆順に並べ最後に ip6.arpa 2001:DB8::1 2001:0DB8:0000:0000:0000:0000:0000: B.D i p6.arpa. IN PTR (1 行で記述 ) 桁数が多いので記述ミスに注意 7

8 IPv6 の逆引き記述の TIPS 人手で記述する場合ミスを減らすため dig コマンドの -x オプションを活用するのがベター digコマンドは DNS 登録の有る無しに関わらずQUESTION SECTION をコメントで表示 $ dig -x 2001:db8::1... ;; QUESTION SECTION: ; b.d i p6.arpa. IN PTR... この行をコピー & ペーストして活用 8

9 キャッシュ DNS サーバ 1 ユーザ (WEB ブラウザ ) IPv4/IPv6 の混沌とした世界 4 DNS の通信権威 DNS サーバ WEB サーバ WEB の通信 DNS は IPv4 のみでも WEB の AAAA RR があればユーザは WEB に IPv6 でアクセス可 (Google, 2ch 等の IPv6) 関係する全通信が IPv4/IPv6 両対応とは限らない 1~6 の IPv6/IPv4 環境になんらかの問題があるユーザが WEB アクセスに時間がかかるあるいはアクセス不能になることもあるトラブルシューティングを難しくする可能性がある 9

10 DNS の IPv6 対応まとめ DNS では通信とゾーンデータの IPv6 対応がある最近の実装であればいずれも対応済正引きの登録は AAAA RR を使う逆引きは 4bit づつで区切り最後に ip6.arpa. 桁数が多いので記述ミスに注意 WEB サーバーと PC は IPv6 で通信していても DNS は IPv4 で通信していることもある PC(WEB ブラウザ ) キャッシュ DNS サーバキャッシュ DNS サーバ権威 DNS サーバ 10

11 512 バイトの壁の由来と EDNS0 11

12 DNS に存在する 512 バイトの壁 UDPによる問合せ応答の上限値 1035 円 RFC 1035で定義 Page 32 より抜粋 UDP usage Messages sent using UDP user server port 53 (decimal). Messages carried by UDP are restricted to 512 bytes (not counting the IP or UDP headers). Longer messages are truncated and the TC bit is set in the header. 12

13 なぜ 512 バイトの壁が存在するのか? Paul Mockapetris さんが来日された際に聞いてみましたインターネット建設当時 (1980 年代 ) の状況に従ったものその当時のインターネットの信頼性を考慮 576 バイト = 512 バイトのデータ + 64 バイトの上位層ヘッダまでは最低限一度に受け取れるように (RFC 791) 実はこの RFC 791 における定義は今でも有効 512 バイト 64 バイトともに 2 のべき乗コンピュータが扱いやすい処理の負荷が軽くて済む DNS では問合せ応答ともできる限り 1 パケットでのやりとりで済ませるようにしたかった 13

14 参考 : RFC 791(Page 13 より抜粋 ) Total Length: 16 bits Total Length is the length of the datagram, measured in octets, including internet header and data. This field allows the length of a datagram to be up to 65,535 octets. Such long datagrams are impractical for most hosts and networks. All hosts must be prepared to accept datagrams of up to 576 octets (whether they arrive whole or in fragments). It is recommended that hosts only send datagrams larger than 576 octets if they have assurance that the destination is prepared to accept the larger datagrams. The number 576 is selected to allow a reasonable sized data block to be transmitted in addition to the required header information. For example, this size allows a data block of 512 octets plus 64 header octets to fit in a datagram. The maximal internet header is 60 octets, and a typical internet header is 20 octets, allowing a margin for headers of higher level protocols. 14

15 最近の DNS さらに DNS 応答のサイズが増える傾向にある例 : spam 対策 = SPF(TXTレコード ) IPv6への対応 DNSSECの導入など 512 バイトの壁の存在が顕在化 512 バイトより大きい TXT レコード (SPF) は既にかなりあるどうする? 可能であれば 512バイトよりもデータを小さくする ( おすすめ ) 512バイトの壁を越えるための方策を考える 15

16 512 バイトの壁を越える方法 1TCP でデータをやりとりする 2EDNS0( イーディエヌエスゼロ ) を使う 16

17 1TCP でデータをやりとりする 65,536 バイトまでのデータを取り扱えるしかし現在の DNS では最初に UDP で試してからでないと TCP で問い合わせてはいけないことになっている (RFC 1123: Page 75 より抜粋 ) サーバ負荷の問題など Transport Protocols DNS resolvers and recursive servers MUST support UDP, and SHOULD support TCP, for sending (non-zone-transfer) queries. Specifically, a DNS resolver or server that is sending a non-zone-transfer query MUST send a UDP query first. If the Answer section of the response is truncated and if the requester supports TCP, it SHOULD try the query again using TCP. 17

18 2EDNS0 を使う EDNS0 が生まれた背景ネットワークの信頼性向上コンピュータの処理能力向上データの分割再構成処理をしても十分なパフォーマンス信頼性が得られるようになってきた ( はず ) DNS プロトコルを拡張し UDP でも大きなデータを取り扱えるようにしよう EDNS0 の誕生 18

19 EDNS0 の概要 RFC 2671 で定義 OPT という擬似 RR を使用通信の際にのみ現れる ( データファイルには記述しない ) 実際の使われ方最初に OPT RR つきパケットを権威 DNS サーバに送信正しい応答以降の通信にはすべて EDNS0 を使用エラー応答従来の DNS プロトコルで通信で通信最近の主なサーバ実装は EDNS0 をサポートしている BIND 9 Microsoft DNS Service (Windows 2003 Server 以降に付属のもの ) Nominum ANS / CNS NSD / Unbound PowerDNS / PowerDNS recursor IPv6 / DNSSEC サポートの際には EDNS0 が必須 (RFC 3226) 19

20 TCP フォールバックと EDNS0 の比較 TCP フォールバック EDNS0 % dig ***.com txt ;; Truncated, retrying in TCP mode. (TCP フォールバック ) ( 途中略 ) ;; Query time: 179 msec ;; SERVER: ***.***.***.***#53(***.***.***.***) ;; WHEN: Mon Jun 2 20:31: ;; MSG SIZE rcvd: 668 応答の大きさ % dig ***.com txt +bufsize=4096 受信可能な大きさを指定 (EDNS0) ( 途中略 ) ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 EDNS0 有効 ( 途中略 ) ;; Query time: 192 msec ;; SERVER: ***.***.***.***#53(***.***.***.***) ;; WHEN: Tue Jun 10 17:49: ;; MSG SIZE rcvd: 679 応答の大きさ TCP フォールバックでは UDP の応答確認後に TCP で問合せる EDNS0 では一度目の UDP 問合せのみで正しい応答が得られる EDNS0 では OPT RR の分応答がさらに大きくなることに注意 20

21 EDNS0(TCP フォールバック ) 運用上の TIPS 特に spam 対策として SPF を利用 ( 設定 ) している場合使用しているネットワーク機器やソフトウェアが EDNS0 に対応しているかどうか確認しておくこと EDNS0 をうまく処理できないファイアウォール EDNS0 をうまく処理できないブロードバンドルータ等 DNS サーバに対しファイアウォールを設定する際 TCP での問合せについても忘れずに考慮すること UDP/53 に加え TCP/53 も忘れずに許可しておくこと TCP/53 に対し何も返さない設定はしないこと大きな DNS パケットは DNS Amp 攻撃の際の元ネタとして使われる可能性があることに注意すること 21

22 質問 & DNS よろず相談 22

e164.arpa DNSSEC Version JPRS JPRS e164.arpa DNSSEC DNSSEC DNS DNSSEC (DNSSEC ) DNSSEC DNSSEC DNS ( ) % # (root)

e164.arpa DNSSEC Version JPRS JPRS e164.arpa DNSSEC DNSSEC DNS DNSSEC (DNSSEC ) DNSSEC DNSSEC DNS ( ) % # (root) 1.2.0.0.1.8.e164.arpa DNSSEC Version 1.0 2006 3 7 JPRS JPRS 1.2.0.0.1.8.e164.arpa DNSSEC DNSSEC DNS DNSSEC (DNSSEC ) DNSSEC DNSSEC DNS ( ) % # (root) BIND DNS 1. DNSSEC DNSSEC DNS DNS DNS - 1 - DNS DNS