DNSチュートリアル(仮)

Size: px

Start display at page:

Download "DNSチュートリアル(仮)"

きみかずさかわ
4 years ago
Views:

2 講師自己紹介氏名 : 平林有理 ( ひらばやしゆうり ) 生年月日 :1990 年 12 月 31 日 (24 歳 ) 所属 : 株式会社日本レジストリサービス (JPRS) システム部略歴 : 2013 年 4 月大学院入学 DNSSEC/DANEと出会う 2015 年 4 月 JPRS 入社 2015 年 7 月 1 日 JPRS システム部配属 2015 年 7 月 24 日 DNS Summer Days 2015 講師実装運用の経験は非常に浅いので本日はみなさんと共に学んでいけたらと思います Copyright 2015 株式会社日本レジストリサービス 2

3 本日のお話の対象となる方目的内容対象となる方 DNSサーバーを今後運用される初学技術者の方すでに運用されている方の知識のおさらい目的 DNS を学ぶ上で鍵となる知識をお持ち帰りいただくことお話しする内容 2012 年 ~2014 年の期間にDNS Summer Daysで発表されたチュートリアルを体系的に整理しそのポイントを説明するお話しない内容 DNS Summer Daysチュートリアルで扱われていない監視の運用設計評価などは参考資料の紹介にとどめる Copyright 2015 株式会社日本レジストリサービス 3

5 過去のチュートリアルの分類わけ発表者タイトル発表年ジャンル森下泰宏 DNS 入門 2012 成り立ち滝澤隆史 DNS 再入門 2014 滝澤隆史 DNSのRFCの歩き方 2012 仕様山口崇徳 DNSのシステム設計 2013 設計高嶋隆一 DNS 設定例の紹介 ( オーソリティティブ ) 2014 山口崇徳 DNS 設定例の紹介 ( キャッシュ ) 2014 設定東大亮 DNSキャッシュサーバの設定ノウハウ 2014 水野貴史初心者のためのDNS 運用入門 2014 伊藤高一 DNSのよくある間違い 2012 運用山口崇徳 DNSトラブルシューティング 2012 森下泰宏教科書には載っていないDNS 2013 仕様 ( 応用 ) アップデートが存在する資料は最新版のみ記載 Copyright 2015 株式会社日本レジストリサービス 5

8 タイトル話者 DNS 入門森下泰宏 - 株式会社日本レジストリサービス発表 DNS Summer Days 2012 資料 URL 概要目次 DNSprimer-v1.2.pdf DNS の成り立ちと基本動作の詳細 HOSTS.TXT からドメイン名 DNS までの道のり DNS の基本構造と名前解決の基本動作構造に由来する DNS の美点弱点と弱点克服のためのさまざまな工夫持って生まれた悲しい宿命とそれに立ち向かうための必要事項本日紹介しない範囲について仕様から運用まで一通り学んだあと DNS の弱点に対する様々な工夫などより深い DNS の成り立ちや構造を理解したいときに参照ください赤字部分をピックアップしてお話します Copyright 2015 株式会社日本レジストリサービス 8

受信側のIPアドレスを指定してデータを送る受信側 : 送信元のIPアドレスにより

12 一つのデータベースを共有 DNSができる前はデーターベースファイルの共有という形で運用されていたデータベースはHOSTS.TXTという名前で SRI-NICという団体により集中管理公開この名前の名残はUNIXやWindowsなどに残っている UNIX Windows /etc/hosts C: Windows System32 drivers etc hosts Copyright 2015 株式会社日本レジストリサービス 12

14 DNS の登場 DNS:Domain Name System ドメイン名 (Domain Name) を使えるようにするために開発されたシステム (System) ドメイン名に対応させる形でデータベースを分散担当する部分のデータベースをそれぞれが管理負荷の分散分散管理されたデータベースをネットワークで共有全体を1つのデータベースのように見せる HOSTS.TXTと同様に名前の一意性を確保 Copyright 2015 株式会社日本レジストリサービス 14

15 2 種類の DNS サーバー階層構造を構成するサーバー ( 分散管理 ) 権威 DNS サーバー権威サーバー DNS コンテンツサーバー等階層構造をたどるサーバー ( 名前解決 ) フルリゾルバーキャッシュ DNS サーバーキャッシングリゾルバー参照サーバー等権威 DNS サーバークエリ応答という 2 つの役割を持つフルリゾルバールートサーバー DNS サーバーが存在する jp サーバー com サーバー net サーバークライアント example.jp サーバー example2.jp サーバー example3.jp サーバーユーザー Copyright 2015 株式会社日本レジストリサービス 15

18 タイトル話者 DNS 再入門滝澤隆史 - 株式会社ハートビーツ発表 DNS Summer Days 2013, 2014 資料 URL 概要目次 DNS の仕様の教科書 DNS の背景 DNS の概要ドメイン名ドメイン名の管理リソースレコードマスターファイル DNS メッセージリゾルバとネームサーバ本日紹介しない範囲について実際の運用において仕様の詳細を確認理解したいときに参照ください赤字部分をピックアップしてお話します Copyright 2015 株式会社日本レジストリサービス 18

19 ドメイン名の構造ドメイン名空間はツリー構造になっている r ルートノード各ノードはラベルを持つルートノードのためにnullラベルが予約されている com jp ノードのドメイン名はそのノードからルートノードまでのラベルのリストになっている example example co ex) www example jp (null) ns www Copyright 2015 株式会社日本レジストリサービス 19

23 完全修飾ドメイン名 (FQDN) TLDまでのラベルを含んだドメイン名を完全修飾ドメイン名と呼ぶ FQDN(Fully Qualified Domain Name) ソフトウェアがドメイン名を扱うときは基本的にFQDNを用いる com jp FQDNはルートドメイン名の相対ドメイン名と考えても良い example example co 検索リストのメンバーとしてルート.(null) が解釈されるため ns www Copyright 2015 株式会社日本レジストリサービス 23

26 権威の委任この分割されたゾーンを管理する正式な権限を他のネームサーバに委せることを権威の委任と呼ぶ com jp example example co example.jp ゾーン sub ns www example.jp ゾーンの権威 DNS サーバー ns www sub.example.jp ゾーン sub.example.jp ゾーンの権威 DNS サーバー Copyright 2015 株式会社日本レジストリサービス 26

27 タイトル話者 DNS の RFC の歩き方滝澤隆史 - 株式会社ハートビーツ発表 DNS Summer Days 2012 資料 URL 概要 RFC の中で DNS はどのように規定されているか目次 RFC の読み方 DNS の基本仕様 RFC1034 の概要ドメイン名空間とリソースレコードネームサーバーリゾルバー RFC1035 の概要ドメイン名とリソースレコードの実装メッセージマスターファイル実装アップデート RFC 本日紹介しない範囲について DNSの開発を行う際や運用上の問題に遭遇したとき本来の仕様を確認する際に参考になります赤字部分をピックアップしてお話します Copyright 2015 株式会社日本レジストリサービス 27

28 DNS の基本仕様の RFC RFC 1034 DNS の構成要素の役割や機能についての説明 RFC 1035 RFC 1034で定めた役割機能を実現するためのドメイン名システムとプロトコルについての詳細を記述注意点作成された当時と現在では時代背景が異なる DNS が検討されたのは ARPANET から The Internet への過渡期曖昧さや間違いがある後に発行された RFC によってアップデートされている Copyright 2015 株式会社日本レジストリサービス 28

29 RFC リソースレコード各ノードはリソース情報の集まりをもつ空でもよい特定の名前に関連付けられたリソース情報の集まりは別々のリソースレコード (RRs) から構成される集まりの中のRRsの順番は指定できないし維持される必要もない com jp example example co ns www リソースレコード example.jp. IN SOA ns.example.jp. example.jp. IN NS ns.example.jp. ns.example.jp. IN A Copyright 2015 株式会社日本レジストリサービス 29

30 RFC リソースレコードリソースレコードの用語 IN A owner TTL class type RDATA owner TTL その RR があるドメイン名 RR が破棄されるまでキャッシュしても良い期間を示す秒単位 32bit の値 class type プロトコルファミリーを識別する符号化された 16bit の値 IN (the INternet system), CH(the CHaos system) この RR のリソースのタイプを識別する符号化された 16bit の値 RDATA SOA, NS, A, AAAA, MX, CNAME, PTR, TXT などタイプとクラスに依存するデータ Copyright 2015 株式会社日本レジストリサービス 30

31 RFC RRs のテキスト表現 RR は一行で示される複数行になる場合は括弧を使う ns1.a.example. IN A IN SOA ns1.a.example. root.localhost. ( ) 行の先頭は RR の owner IN A 空白で始まる行は owner が前の RR と同じと想定 mail.a.example. IN A IN AAAA 2001:db8:53::25 Copyright 2015 株式会社日本レジストリサービス 31

33 タイトル話者 DNS のシステム設計山口崇徳 - 株式会社インターネットイニシアティブ発表 DNS Summer Days 2013 資料 URL 概要運用開始後には変更が難しいシステムの設計方法目次 DNS 設計の基本 2 種類の DNS の役割分担 DNS サーバのハードウェアネットワーク構成権威サーバの設計名前空間の設計権威サーバの構成参照サーバの設計参照サーバの IP アドレス resolve.conf の更新タイミング応用本日紹介しない範囲について DNS のシステム設計を行う上で疑問が生じた際に参照ください赤字部分をピックアップしてお話します Copyright 2015 株式会社日本レジストリサービス 33

34 2 種類の DNS サーバーの役割分担権威 DNSサーバーとフルリゾルバーは同じDNSプロトコルを扱うサーバーだが役割がまったく異なる 2つの機能を混在させることでDNSキャッシュポイズニング攻撃の被害を受ける可能性が上がる分離前権威 DNS サーバーフルリゾルバー分離後権威 DNS サーバーフルリゾルバー外部のキャッシュ DNS サーバー利用者外部のキャッシュ DNS サーバー利用者外部ネットワーク組織内ネットワーク外部ネットワーク組織内ネットワーク Copyright 2015 株式会社日本レジストリサービス 34

38 フルリゾルバーの IP アドレス DNSで名前解決はできるがフルリゾルバー自身の名前解決はできないフルリゾルバーは IP アドレスで直接指定する必要がある DNS 設定をクライアントに配布する仕組み (DHCP, IPCPなど ) は存在するが DHCP を無視するクライアントの存在一度公開したフルリゾルバーのIPアドレスは変更できないものと考えネットワークを設計する必要がある Copyright 2015 株式会社日本レジストリサービス 38

40 タイトル DNS 設定例の紹介 ( オーソリティティブ ) 話者高嶋隆一 - DNSOPS.JP 発表 DNS Summer Days 2014 資料 URL 概要目次 ns1.dnsops.jp, urquell. 酔っ払い.jp で運用実績がある BIND 9 設定例 BIND 9(named.conf) の設定例 options{} logging{} zone{} 便利設定その他共通設定本日紹介しない範囲について権威 DNS サーバーの発展的な設定が必要な際参照ください赤字部分をピックアップしてお話します Copyright 2015 株式会社日本レジストリサービス 40

41 ns1.dnsops.jp の BIND 9 設定紹介 (option) options { }; directory /var/named ; // the default dump-file "data/cache_dump.db"; statistics-file "data/named_stats.txt"; memstatistics-file "data/named_mem_stats.txt ; BIND9 の設定ファイルの親パスと rndc の出力先の設定 Copyright 2015 株式会社日本レジストリサービス 41

42 ns1.dnsops.jp の BIND 9 設定紹介 (logging) logging { channel default_debug{ file "data/named.run"; severity dynamic; print-category yes; print-severity yes; logファイルの表示設定 print-time yes; }; channel default_channel{ file "/var/log/named.log size 10M versions 10; severity dynamic; print-category yes; print-severity yes; 10 世代までログを残し一つ一 print-time yes; つのログファイルは10MBまで }; Copyright 2015 株式会社日本レジストリサービス 42

43 ns1.dnsops.jp の BIND 9 設定紹介 (logging) category queries { default_debug; }; category update-security { default_channel; }; category default { default_channel; }; category general { default_channel; }; category database {default_channel; }; category security { default_channel; }; category config { default_channel; }; category resolver { default_channel; }; category notify { default_channel; }; category client { default_channel; }; category unmatched { default_channel; }; category network { default_channel; }; category update { default_channel; }; category query-errors { default_channel; }; category dispatch { default_channel; }; category dnssec { default_channel; }; category delegation-only { default_channel; }; category edns-disabled { default_channel; }; クエリ関係のログのみ default_debug あとは default_channel へ log のカテゴリ設定 Copyright 2015 株式会社日本レジストリサービス 43

44 ns1.dnsops.jp の BIND 9 設定紹介 (logging) channel xfer_channel { file /var/log/named-xfer.log size 10M versions 10; severity dynamic; print-category yes; print-severity yes; print-time yes; }; category xfer-in { xfer_channel; }; category xfer-out { xfer_channel; }; ゾーン転送に関するログは別ファイルへ Copyright 2015 株式会社日本レジストリサービス 44

45 ns1.dnsops.jp の BIND 9 設定紹介 (zone) zone "dnsops.jp { type master; file "dnsops.jp.signed"; allow-transfer { ; }; notify yes; }; zone "dnssec.jp { type master; file "dnssec.jp.signed"; }; allow-transfer { ; }; notify yes; allow-transfer で slave サーバにのみゾーン転送を許可 Copyright 2015 株式会社日本レジストリサービス 45

46 タイトル DNS 設定例の紹介 ( キャッシュ ) 話者山口崇徳 - 株式会社インターネットイニシアティブ発表 DNS Summer Days 2014 資料 URL 概要目次フルリゾルバーのセキュリティ設定と他 DNS との連係動作 unbound のアクセス制限オープンリゾルバ NAT とポートランダム他 DNS サーバとの連携設定例本日紹介しない範囲についてフォワーダなど他の DNS サーバとの連携動作プライベートゾーンでの運用方法などを理解する際に参考になります赤字部分をピックアップしてお話します Copyright 2015 株式会社日本レジストリサービス 46

47 なぜアクセス制限するのか? フルリゾルバーはセキュリティ的な被害を受けやすい DNSキャッシュポイズニング攻撃権威 DNSサーバからの応答に偽の応答を割り込ませることでユーザーを悪意のあるサイトに誘導する攻撃アクセス制限することで攻撃がしづらくなる攻撃者から攻撃が成功したかの観測が困難になる DNS amp 攻撃の踏み台アドレスを詐称したクエリによって別のアドレスへDNS 応答を仕向け帯域を飽和させる攻撃被害者となるだけでなく加害者となってしまう可能性アクセス制限することで影響が限定的になる Copyright 2015 株式会社日本レジストリサービス 47

48 アクセス制限 Unbound のアクセス制限例 ( ホスト内のクエリのみ許可 ) access-control: /0 refuse access-control: /8 allow マッチしたクライアントに対する挙動 allow アクセス許可 ( 非再帰クエリは拒否 ) allow_snoop アクセス許可 ( 非再帰も許可 ) deny クエリを破棄 ( 応答を返さない ) refuse クエリを拒否 ( 拒否応答を返す ) ローカルネットワークから以外のクエリを拒否または破棄することを推奨 Copyright 2015 株式会社日本レジストリサービス 48

49 DNS キャッシュポイズニングの被害を防ぐために絶対してはいけない設定 (BIND) query-source port 53; この設定をすることでソースポートランダマイゼーションが無効になりソースポートが53に固定される問い合わせソースポートの固定はDNSキャッシュポイズニング攻撃の成功率を著しく高めるランダム 1 / 43 億固定 1 / 6.5 万 Unboundでは特に意識することなくソースポートランダマイゼーションを利用可能 Copyright 2015 株式会社日本レジストリサービス 49

51 タイトル話者 DNS キャッシュサーバの設定ノウハウ東大亮発表 DNS Summer Days 2014 資料 URL 概要パフォーマンスチューニングとフルリゾルバーを運用する上で考慮すべきトラブル目次パフォーマンスチューニングトラブルを避ける設計と運用 IP フラグメントが届かない問題 TCP に対応しないクライアントの問題トラブルへの備え DNS キャッシュサーバの監視セキュリティについて dns-0x20 本日紹介しない範囲についてチューニング設定によってフルリゾルバー内の動作がどのように変化するのか DNS 応答が大きいときにどのような問題が起こるのか図を使った詳解があります赤字部分をピックアップしてお話します Copyright 2015 株式会社日本レジストリサービス 51

52 パフォーマンスチューニングクライアントから受信した未解決の再帰検索要求の処理状態を管理保持する領域のサイズを引き上げ BIND 9 のデフォルト値 recursive-clients 1000 Unboundのデフォルト値 num-queries-per-threads 512 or 1024 デフォルトは数千 QPS 以上のフルリゾルバーでは小さすぎるキャッシュメモリのサイズ BIND 9 のデフォルト値 max-cache-size 制限無しデフォルトではシステムのメモリを食い尽くしてしまう恐れがある Unboundのデフォルト値 rrset-cache-size: 4MB msg-cache-size:4mb デフォルトでは多数のクライアントを収容するには小さすぎる Copyright 2015 株式会社日本レジストリサービス 52

53 トラブルを避ける設計と運用 - DNS 応答が大きい場合に起こる問題 IP フラグメントが届かない問題 UDP 応答がフラグメント化されてフルリゾルバーに送信されこれにより途中のネットワーク経路上に問題があると IP フラグメントが疎通できず応答が受け取れないことがある TCP に対応しないクライアントの問題 EDNS0 が無効かつ DNS 応答が 512byte を超える場合に TCP が使われるクライアントの中には TCP に対応せず 512byte を超える応答が扱えないものが存在する根本的な解決にはクライアント側の対応が必要 Copyright 2015 株式会社日本レジストリサービス 53

54 minimal-responses オプション BIND の minimal-responses オプションを利用することで DNS 応答サイズを小さくすることが可能設定なし設定あり % jprs.co.jp % jprs.co.jp ; <<>> DiG P1 jprs.co.jp ; (2 servers found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 6 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;jprs.co.jp. IN A ;; ANSWER SECTION: jprs.co.jp IN A ;; AUTHORITY SECTION: jprs.co.jp IN NS ns1.jprs.co.jp. jprs.co.jp IN NS ns2.jprs.co.jp. jprs.co.jp IN NS ns3.jprs.co.jp. ;; ADDITIONAL SECTION: ns1.jprs.co.jp IN A ns1.jprs.co.jp IN AAAA 2001:df0:8::a153 ns2.jprs.co.jp IN A ns2.jprs.co.jp IN AAAA 2001:df0:8::a253 ns3.jprs.co.jp IN A ;; Query time: 934 msec ;; SERVER: #53( ) ;; WHEN: Fri Jun 20 00:40:21 JST 2014 ;; MSG SIZE rcvd: 213 ; <<>> DiG P1 jprs.co.jp ; (2 servers found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;jprs.co.jp. IN A ;; ANSWER SECTION: jprs.co.jp IN A ;; Query time: 238 msec ;; SERVER: #53( ) ;; WHEN: Fri Jun 20 00:49:54 JST 2014 ;; MSG SIZE rcvd: 55 AUTHORITY SECTION ADDITIONAL SECTION がない Copyright 2015 株式会社日本レジストリサービス 54

56 タイトル話者初心者のための DNS 運用入門水野貴史 - 株式会社日本レジストリサービス発表 DNS Summer Days 2013, 2014 資料 URL 概要目次トラブルシューティングの基本とツールの使い方 DNS トラブルシューティングの基本区別すべき 2 種類の問い合わせ道具の使い方コマンドラインツールの使い方 Web サービスの紹介よくあるトラブル事例とトラブルシューティング名前が引けないときの調査名前を引くのに時間がかかるときの調査シリアルの変更ミスと解決法本日紹介しない範囲についてトラブルシューティングでの dig 実践的利用方法を知ることができます赤字部分をピックアップしてお話します Copyright 2015 株式会社日本レジストリサービス 56

59 調査に使える Web サービス DNSの設定などを GUIで可視化チェック可能 Squish.net DNS traversal checker( 個人提供 :James 氏 ) DNS 可視化ツール応答のおかしいDNSサーバーなどを調べることが可能 dnscheck.jp( 提供 :JPRS) DNSの設定チェックツール今現在の設定の確認 Copyright 2015 株式会社日本レジストリサービス 59

60 タイトル話者 DNS トラブルシューティング山口崇徳 - 株式会社インターネットイニシアティブ発表 DNS Summer Days 2012 資料 URL 概要トラブルシューティング例と解決方法目次ツールの紹介参照サーバのトラブルキャッシュの消し方 resolv.conf 読み込みのタイミング権威サーバのトラブルシリアル番号上げ損ね lame delegation プライベートアドレスの逆引き CNAME 関連実在するドメインの問題調査クライアント側のトラブル本日紹介しない範囲についてトラブルの実践的な切り分け方法を学ぶ際参考になります赤字部分をピックアップしてお話します Copyright 2015 株式会社日本レジストリサービス 60

61 フルリゾルバーのトラブル - 古いキャッシュのクリア古いキャッシュが残っているために名前解決に失敗する場合キャッシュをクリアすることで解決できる場合がある権威 DNSサーバー側の設定が間違っている場合古いキャッシュが残っているためにアクセスできている場合があることを考慮する BIND $ rndc flushname < 対象のキャッシュname> $ rndc flushtree < 対象のキャッシュname> (9.9) Unbound $ unbound-control flush < 対象のキャッシュname> $ unbound-control flush_type < 対象のキャッシュname> <type> $ unbound-control flush_zone < 対象のキャッシュname> 非推奨 ( すべてのキャッシュがクリアされる ) BIND $ rndc flush Unbound $ unbound-control reload Copyright 2015 株式会社日本レジストリサービス 61

62 フルリゾルバーのトラブル - resolv.conf の変更反映 resolv.confを修正したけど変更前のアドレスへ問い合わせする名前解決のたびにresolv.confが読み込まれるわけではない resolv.confの読み込みはプロセス起動直後の初期化時のみ再初期化しないと変更は反映されない再初期化するにはプロセスの再起動が必要これに気がつかず変更前のフルリゾルバーを停止すると名前解決できなくなる Copyright 2015 株式会社日本レジストリサービス 62

63 権威 DNS サーバーのトラブル - SOA シリアルの上げ損ねゾーンを更新! シリアルをあげよう! YYYYMMDDnn 形式を使うルールで運用のつもりがに! シリアルは加算しないと更新できない! YYYYMMDDnn 形式での運用をやめるしかない? シリアル巻き戻しテクニックの利用 (RFC1982 Serial Number ArithmeIc) 次のスライドで解説 Copyright 2015 株式会社日本レジストリサービス 63

65 タイトル話者 DNS のよくある間違い伊藤高一 - 株式会社ブロードバンドタワー発表 DNS Summer Days 2012 資料 URL 概要設定例でこうなっているからで流しがちな間違いを紹介目次 DNS アーキテクチャ SOA レコードのおさらいシリアル更新ミスと解決法ゾーン転送の概要とトラブルシューティング lame delegation ゾーンデータの表記方法記述失敗例 CNAME のしてはいけないことしないほうがよいこと本日紹介しない範囲について運用前に間違った設定認識をしていないかというチェックリストとして参照ください赤字部分をピックアップしてお話します Copyright 2015 株式会社日本レジストリサービス 65

66 ゾーンファイルの記述ミス名前の末尾にピリオドを忘れると $ORIGIN IN SOA ns1.a.example. root.localhost. ( ) IN NS ns1.a.example. IN MX 10 mail.a.example $ORIGIN IN SOA ns1.a.example. root.localhost. ( ) IN NS ns1.a.example. IN MX 10 mail.a.example.a.example. これを防ぐには設定ファイル表記の流儀を決めておく相対表記は使わない owner は必ず相対表記 RDATA は必ず絶対表記など Copyright 2015 株式会社日本レジストリサービス 66

67 CNAME でしてはいけないこと CNAME を定義した owner に対して他の RR を定義してはいけない IN CNAME www1.example. MX 10 mx.example. NS や MX の RDATA に CNAME で定義した alias を書いてはいけない $ORIGIN IN NS ns ns CNAME example.test. Copyright 2015 株式会社日本レジストリサービス 67

68 CNAME でしないほうがよいこと CNAME の CNAME( 多段 CNAME) alias1 IN CNAME alias2 alias2 CNAME alias3 alias3 CNAME alias4 循環参照の元 RFCでは規定がないため何段まで動作するかは実装による BIND は 16 段 Unbound は 8 段こちらの権威 DNSサーバだけでなく相手のフルリゾルバーにも依存する Copyright 2015 株式会社日本レジストリサービス 68

72 仕様 ( 応用 ) タイトル話者教科書には載っていない DNS 森下泰宏 - 株式会社日本レジストリサービス発表 DNS Summer Days 2013 資料 URL 概要目次 DNS 入門で省略した委任の仕組みと詳細グルーと内部名外部名委任応答と referral グルーはグルー (DNS データのランキング ) カミンスキー型攻撃手法本資料について委任の仕組みや DNS に対するセキュリティ攻撃の手法を知り対策を講じたいとき参考になる資料です Copyright 2015 株式会社日本レジストリサービス 72

73 評価 (1) タイトル話者 DNS の評価と計測の話服部成浩 - SCSK 株式会社発表 Internet Week 2013 資料 URL 概要目次 DNS ストレスツールの使い方と評価方法 DNS ストレスツール dnsperf と resperf の違い負荷の生成方法エラーメッセージ対処ストレスツール実例ケーススタディ本資料について DNS の負荷に対する評価方法を検討する際参考になる資料です Copyright 2015 株式会社日本レジストリサービス 73

74 評価 (2) タイトル話者 DNS とメール安高元気 - 楽天株式会社発表 Internet Week 2013 資料 URL 概要送信ドメイン認証によって発生する権威 DNS サーバフルリゾルバーの負荷と対応について目次送信ドメイン認証の考え方とその仕組み送信ドメイン認証に関連する主な技術権威 DNS サーバへのクエリと負荷送信ドメイン認証 /DKIM の普及状況キャッシュ DNS サーバへのクエリと負荷 MTA からキャッシュ DNS サーバへのクエリ (Case 2) 鍵長が長くなることによる影響 (Case 2) 鍵長のサイズが 512byte 超えることによる影響本資料について DNS 応答の肥大化によって権威 DNS サーバフルリゾルバーの負荷がどうなるのか知りたいとき参考になる資料です Copyright 2015 株式会社日本レジストリサービス 74

75 評価 (3) タイトル話者 JP DNS への RRL の導入阿波連良尚 - 株式会社日本レジストリサービス発表 Internet Week 2013 資料 URL 概要目次 JP DNS へ DNS RRL を適用するまでの評価の流れ DNS リフレクター攻撃の概要と対策 JP DNS サーバーへの DNS RRL の導入評価のステップ机上評価社内評価フィールド評価実運用への投入本資料についてシステムの評価どのように進めていくかステップごとの評価方法について参考となる資料です Copyright 2015 株式会社日本レジストリサービス 75

76 監視タイトル話者権威 DNS の監視坂口智哉 - 株式会社日本レジストリサービス発表 Internet Week 2014 資料 URL 概要目次権威 DNS サーバーならではの監視ゾーン抽出の監視ゾーン転送の監視 JP DNS 監視監視で重要なこと本資料について権威 DNS サーバーを監視する際に考慮すべき点について参考になる資料です Copyright 2015 株式会社日本レジストリサービス 76

DNSチュートリアル(仮)

DNSチュートリアル(仮) DNS Summer Days チュートリアルの歩きかた 2015 年 7 月 24 日 DNS Summer Days 2015 株式会社日本レジストリサービス (JPRS) 平林有理 Copyright 2015 株式会社日本レジストリサービス 1 講師自己紹介氏名 : 平林有理 ( ひらばやしゆうり ) 生年月日 :1990 年 12 月 31 日 (24 歳 ) 所属 : 株式会社日本レジストリサービス