kohi-p1.pptx - PDF Free Download

DNS のよくある間違い伊藤高一 DNS Summer Days 2012 Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 1

イントロダクション DNS は世界で唯一成功した分散データベースって言われていますおかげで just put it in the DNS なる風潮もなんで成功したのかって? だってユルいんだもん :-) 多少いい加減でも何となくそれっぽく動く成功の影に累々たる結果オーライあり Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 2

イントロダクション ( 続き ) 今日の黒幕から言い渡されたお題のよくある間違いはある程度散りばめておきましたよくわかんないけど設定例でこうなっているからで流しがちな事とか逆に設定例では取り上げられる機会が少ない事もちょっと追及してみましたカルトネタではなく実用的な範囲で午前中の話は理解されていることを前提にさせていただきました Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 3

Start Agenda secon dary serial SOA アーキテクチャ寄りの話 lame delegation NOTIFY トランスポート層ゾーンデータ寄りの話内部名外部名 CNAME END 小ネタ Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 4

アーキテクチャ寄りの話 Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 5

DNS ってどんなアーキテクチャだっけ? サービス内容サービス対象 authority recursive サーバ Worldwide 自ネットワーク内なし authoritative サーバ特定ゾーン Worldwide あり / 委任先の提示 Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 6

DNS ってどんなアーキテクチャだっけ?( 続き ) アプリケーション recursive サーバ com アプリケーション recursiveサーバ.(root) jp アプリケーション recursive サーバ kr ns www A 192.0.2.80 example.jp mail Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 7

関連 RFC RFC 1035: DOMAIN NAMES - IMPLEMENTATION AND SPECIFICATION Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 8

上位サーバユーザ : 上位サーバの IP アドレスを教えて下さい xsp: 上位サーバって何ですか??? Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 9

上位サーバ recursive query は root サーバを起点として下降探索するという動作が理解されていないユーザの recursive サーバは上位サーバなる物に問い合わせるんだという誤解かつては authoritative サーバと recursive サーバを兼用するのが常識で両者の分担が認識されていなかった確かに forwarder を使えばそういうアーキテクチャも実装できるが Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 10

上位サーバこんな感じ?.(root) com kr 上位サーバ authoritative 兼 recursive ns www A 192.0.2.80 Aug/31/2012 mail アプリケーション DNS Summer Days 2012, Koh-ichi Ito 注 : これは誤解を想像した図です!! 11

primary/secondary/master/slave primary v.s. secondary ゾーンデータの出所に注目 primary ローカルファイルなどゾーン転送以外で得たゾーンデータを参照する authoritative サーバ master はいない secondary master からのゾーン転送により得たゾーンデータを参照する authoritative サーバ Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 12

primary/secondary/master/slave( 続き ) master v.s. slave ゾーン転送の送出側 / 受け側に注目 master あるゾーン転送に注目したときの送出側 slave あるゾーン転送に注目したときの受け側 Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 13

primary/secondary/master/slave( 続き ) primary master slave secondary secondary master slave Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 14

関連 RFC RFC 1034: DOMAIN NAMES - CONCEPTS AND FACILITIES RFC 1996: A Mechanism for Prompt Notification of Zone Changes (DNS NOTIFY) Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 15

secondary の IP アドレスユーザ : secondary の IP アドレスを教えて下さい Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 16

secondary の IP アドレス : 昔昔は secondary の名前に関してゾーン外のデータを書こうとする間違いだった Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 17

secondary の IP アドレス : 昔 ( 続き ) $ORIGIN example.jp. @ IN SOA... NS ns.example.jp. NS ns.example9.ad.jp. ns A 192.0.2.53 ns.example9.ad.jp. A 198.51.100.1 これを書こうとしている authoritative データにならない Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 18

secondary の IP アドレス : 昔 ( 続き ) 昔は secondary の名前に関してゾーン外のデータを書こうとする間違いだった不要な設定であることをご説明した一度開示した IP アドレスは独り歩きしてしまい renumber するときにトラブルが起こるのが目に見えている Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 19

secondary の IP アドレス : 今今どきは正当な設定をするために secondary の IP アドレスが必要なケースもあるアクセス制限 primary の allow-transfer{} ( に相当する設定 ) 内部名での NS もはや secondary の IP アドレスは死守すべきマジックナンバ Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 20

secondary って? 誤 : recursive サーバはまず primary に問い合わせてダメならはじめて secondary に問い合わせる正 : recursive query の動作では primary と secondary は対等 recursive サーバが参照するのは NS だが NS を見ても primary か secondary かはわからない SOA の mname を見るのは NOTIFY と dynamic update 正 : primary が正常に動いていても secondary からデータを受け取ることもある順序は規定されていない Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 21

Summer Days だし怪談浸透する DNS 浸透って? 確かに伝搬遅延を伴う場面はある誤 : 人事を尽くして浸透を待つ正 : 主に自分が世間様のキャッシュたちにバラ撒いてしまった旧データの賞味期限切れ待ち DNS 以外の原因による遅延 Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 22

確かに伝搬遅延を伴う場面はあるが孫 secondary secondary 新 primary recursive サーバ旧旧 forwarders 新 recursive サーバ新旧旧 Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 23

伝搬遅延を斬る! 孫 secondary secondary 新 primary recursive サーバ旧旧 forwarders 新 recursive サーバ新旧旧 Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 24

DNS 以外の原因による遅延旧データがキャッシュに残存する時間はここの TTL が支配する親 glue と NS の書き換え旧人力とか業務系経由新 Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 25

親ゾーンでの glue と NS の書き換え自営サーバがオフィスなどにあり対外接続を並行運用なしで切り替える場合昔はよくあったが今ではレアケース? 技巧をこらしかつ secondary が協力的ならかなり詰められる secondary が協力的の部分が望みにくいレンタルサーバなどで並行運用できる場合 Web 等は DNS の切り替えが終わるまで旧でも均質なサービスを提供し続ける新が動き出したら旧でも新の A/AAAA を提供する親での書き換え旧のアドレスをキャッシュに撒かない Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 26

zone cut 2 種類の NS zone cut に現れる 2 種類の NS RR 親側子ゾーンの authority を委任する先のネームサーバの提示暗にそのサブドメインが独立したゾーンであることも表現している '.' からその NS RR の RDATA への連鎖を確立するために必要であれば glue として A/AAAA を伴う親側の NS と glue は authoritative データではない子側 zone apex に NS RR を対応付けることによりそのゾーンの authority の所在を表現している authoritative データである Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 27

zone cut 2 種類の NS( 続き ) root から順に委任をたどるとき子が返す authoritative データに出会うまでは止まらない authoritative answer に由来するデータがキャッシュに載っていたら親が返してきた non-authoritative データに出会っても捨てる親ゾーンで NS や glue を書き換えてもキャッシュに残存している旧データは強い詳しくは RFC 2181 5.4.1. Ranking data に載っている Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 28

関連 RFC RFC 2181: Clarifications to the DNS Specification Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 29

dual stack dual stack の recursive サーバではクライアントから受けた query とそれを解決するために root から順に recursive query するときのアドレスファミリとは必ずしも一致しない A や v4 の PTR が v6 トランスポートでやりとりされることもあるし AAAA や v6 の PTR が v4 トランスポートでやりとりされることもある BIND の AAAA filter は特別な仕様あり Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 30

関連 RFC RFC 4472: Operational Considerations and Issues with IPv6 DNS Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 31

SOA のおさらい owner mname rname example.jp. IN SOA ns.example.jp. hostmaster.example.jp. ( 12345 serial 10800 refresh 3600 retry 2419200 expire 900 ) minimum 後ほど Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 32

SOA のおさらい ( 続き ) owner owner は RR の一部ではない RR が対応付けられる名前 SOA は zone apex に対応付いていなければならないたいていの設定例で '@' が書いてあるが zone apex を指せば表現は自由 Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 33

SOA のおさらい ( 続き ) example.jp. IN SOA ns.example.jp. hostmaster.example.jp. ( 12345 10800 3600 2419200 900 ) Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 34

SOA のおさらい ( 続き ) class IN HS とか CH とかを使う機会はまずないでしょう type SOA の話をしてるところですよね今 Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 35

SOA のおさらい ( 続き ) mname example.jp. IN SOA ns.example.jp. hostmaster.example.jp. ( 12345 10800 3600 2419200 900 ) Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 36

SOA のおさらい ( 続き ) mname そのゾーンデータの原本のありか = primary dynamic update は mname めがけて飛んでくる dynamic update を使っているつもりはなくても DHCP との連携で飛んでいることもある jp ゾーンの z.dns.jp は不正な dynamic update を吸い込むために NS RR には登場しないサーバが意図的に設定されている NOTIFY は mname には送らない Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 37

SOA のおさらい ( 続き ) rname example.jp. IN SOA ns.example.jp. hostmaster.example.jp. ( 12345 10800 3600 2419200 900 ) Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 38

SOA のおさらい ( 続き ) rname そのゾーンに関する連絡先ちゃんと届くアドレスを書くべきだったが harvesting のことを考えるとどうしたものかメールアドレスには必ず '@' が登場するがゾーンデータでは '@' は origin を意味する '.' に書き換える '@' の前に登場する '.' は '\.' に書き換える Erai.Hito@example.jp Erai\.Hito.example.jp. 末尾の '.' を忘れずに or 相対表記 Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 39

SOA のおさらい ( 続き ) hostmaster RFC 2142 に載っています 7. DOMAIN NAME SERVICE ADMINISTRATION MAILBOX In DNS (see [RFC1033], [RFC1034] and [RFC1035]), the Start Of Authority record (SOA RR) has a field for specifying the mailbox name of the zone's administrator. : : For simplicity and regularity, it is strongly recommended that the well known mailbox name HOSTMASTER always be used <HOSTMASTER@domain>. Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 40

関連 RFC RFC 2142: MAILBOX NAMES FOR COMMON SERVICES, ROLES AND FUNCTIONS Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 41

SOA のおさらい ( 続き ) example.jp. IN SOA ns.example.jp. hostmaster.example.jp. ( 12345 serial 10800 3600 2419200 900 ) Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 42

SOA のおさらい ( 続き ) serial secondary が master のゾーンデータが更新されたかどうかを判断する材料 secondary は refresh の間隔で master に SOA を query し master からの応答の serial が自分の手許にあるゾーンデータより大きければゾーン転送を要求して新しいゾーンデータを得る NSD はいきなり IXFR を要求する大事なのは増えること YYYYMMDDXX という流儀をよく見るが技術的必然性はないツールでゾーンデータを自動生成するときには unixtime もよく使われる Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 43

SOA のおさらい ( 続き ) よくある失敗ゾーンデータを変更したのに serial を増やすのを忘れた primary のデータを更新したのに secondary に伝搬しない食い違いエディタでゾーンファイルを開いたらとにかく最初に serial を増やす習慣付け Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 44

serial, comin back! serial 32bit 0~4,294,967,295=(2^32)-1 ある数 n から次の 2,147,483,647(=(2^31)-1) 個の数は n より大きい n の前 2,147,483,647 個の数は n より小さい 4,294,967,295 の次は 0 0 2004120201 2004120201 +2147483647 =4151603848 42949672295 Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 45

serial, comin back!( 続き ) 4294967295 より大きな値だとエラーになる Sep 4 14:43:18 ns named[35341]: general: error: dns_rdata_fromtext: localhost:3: near '4294967297': out of range Sep 4 14:43:18 ns named[35341]: general: error: zone localhost/in: loading master file localhost: out of range 2004120201 に設定したかったのに 3004120201 とタイプしてしまい reload してから気付いた ;_; 3004120201 より大きく 2004120201 より小さな番号に設定 secondary にゾーン転送 2004120201 に設定 secondary にゾーン転送 Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 46

serial, comin back!( 続き ) n=3004120201+(2^31)-1=5151603848>2^32 n'=n-2^32=856636552 3004120201 < n' n' < 2004120201 0 n' 3004120201 (2^32)-1 n 2004120201 Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 47

関連 RFC RFC 1912: Common DNS Operational and Configuration Errors RFC 1982: Serial Number Arithmetic Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 48

SOA のおさらい ( 続き ) example.jp. IN SOA ns.example.jp. hostmaster.example.jp. ( 12345 10800 refresh 3600 retry 2419200 expire 900 ) Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 49

SOA のおさらい ( 続き ) refresh secondary が master に serial を query する間隔 retry 前回の refresh 後の query が失敗したときに retry するまでの間隔 expire retry して retry して retry しても成功しないときに賞味期限切れとして扱うまでの猶予 Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 50

SOA のおさらい ( 続き ) serial チェック serial チェック refresh x master 更新 refresh retry serial チェック増加 -> ゾーン転送 serial チェック失敗 serial チェック expire serial チェック失敗 serial チェック失敗 serial チェック失敗 refresh serial チェック失敗 serial チェック serial チェック失敗 ->expire Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 51

SOA に関する失敗例 expire < refresh にしてしまった slave は refresh の間隔で master の更新をチェックするがその間に必ず expire してしまう時の運で slave が正常に応答したりエラーになったり refresh expire t Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 52

SOA のおさらい ( 続き ) example.jp. IN SOA ns.example.jp. hostmaster.example.jp. ( 12345 10800 3600 2419200 900 ) minimum Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 53

SOA のおさらい ( 続き ) minimum 昔と今とで意味が変わりました! 昔は明示的に TTL を指定していない RR に対するデフォルトの TTL だった www 86400 IN A 192.0.2.80 今は negative cache の TTL そのゾーンの名前空間の中の名前だが RR が定義されていない owner/type を索いてしまったとき wwww.example.jp (w が 4 つ!) www.example.jp の A はあるが AAAA がないときに AAAA を索いた recursive サーバは minimum の間は authoritative サーバに query せずにクライアントにないよと答えていい Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 54

SOA のおさらい ( 続き ) 注意 SOA の minimum に 86400 と書くのは今日では不適切 86400 と書くべきは $TTL RFC 2308 には特に推奨値はないが例では 1200=20 分となっている BIND 9 の max-ncache-ttl のデフォルト値は 3h $TTL を忘れずにデフォルトの TTL は今では $TTL ディレクティブに書くゾーンデータの先頭には必須 SOA より前ゾーンの途中にも書けるそこからデフォルト値が変わる Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 55

関連 RFC RFC 1033: DOMAIN ADMINISTRATORS OPERATIONS GUIDE RFC 1912: Common DNS Operational and Configuration Errors RFC 2308: Negative Caching of DNS Queries (DNS NCACHE) Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 56

NOTIFY ゾーンデータ中の RR が更新されたときにそのことを master から slave に能動的に通知する secondary が refresh を待たずにゾーン転送を要求することを期待するとりこぼす可能性もあるので refresh が要らなくなるわけではないが念押しの意味合いが強くなった Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 57

NOTIFY を導入すると primary secondary NOTIFY RR 更新 response AXFR response NOTIFY (retry) NOTIFY response AXFR secondary retry の default: 60 秒間隔 /max 5 回 Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 58

関連 RFC RFC1996: A Mechanism for Prompt Notification of Zone Changes (DNS NOTIFY) Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 59

トランスポート層 primary 通常の query passive open 側なので 53 ゾーン転送リクエストを受ける側 =passive open 側なので 53 NOTIFY active open 側なので 53 以外のポート secondary ゾーン転送リクエストする側 =active open 側なので 53 以外のポート NOTIFY 受けるだけでなく Notify Set 同士も NOTIFY を送り合う Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 60

トランスポート層 Notify Set NS RRset に書いてあるサーバ全部だけど mname に書いてあるの (RFC 1035 的には primary) は除くので整理すると一般的には全 secondary Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 61

トランスポート層 ( 続き ) primary ゾーン転送 secondary NOTIFY 53 見落としがちリクエストの向き recursive サーバ Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 62

DNS が動かない : 事例お客様からサポート要請自分のドメインはアクセスできるが外がアクセスできない回線 / ルーティング障害?? すわ一大事!! 詳しくヒアリングしてみると IP アドレスでアクセスすればコネクティビティは O.K. 中からは authority を持っている名前は索けるが外部の名前が索けない外からはそのサーバが索けない実際にアクセスしてみると. の NS が索けない Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 63

DNS が動かない : 事例 ( 続き ) 推測 named.root が悪い? 結論正しく入手したものだった外部から索けないことの説明がつかない BIND4 時代の知識でファイアウォールで 53 番同士のパケットしか通してなかった使っていたのは BIND8 query-source port 53; を仮に設定してもらい切り分け Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 64

トランスポート層 ( 続き ) ゾーン転送は最初から TCP を使うそれ以外の query はまず UDP を使うでもパケットサイズがある大きさを越えると TCP に切り替える EDNS0(RFC 2671) を使わなければ 512 octet EDNS0 では受信できるサイズを相手に通知 query 送出側は不特定のポート番号を使う BIND 4.x は 53<->53 だった大昔の参考書を読むときは注意 Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 65

EDNS0 EDNS0 の拡張を使うと UDP で送れるデータサイズを拡大できる requester は additional section に自分が受け入れられる UDP のサイズなどを設定した pseudo-rr を入れて query を送出する対応していない responder は NOTIMPL FORMERR SERVFAIL を返すだろうそうしたら EDNS0 なしで retry 自分が EDNS0 に対応していても相手が対応していなければ EDNS0 は使われない EDNS0 に対応している responder なら平然と応答するパケットサイズの上限は requester の要求に沿う Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 66

EDNS0 なしで retry ある実装別の実装まず EDNS0 なし truncate したら EDNS0 を使ってみるエラーだったら TCP とにかく EDNS0 を使うエラーだったら EDNS0 なし truncate したら TCP Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 67

トランスポート層 ( 続き ) ゾーン転送以外にも TCP が使われることはある誤 : パケットフィルタで TCP は secondary だけに許可正 : ゾーン転送のアクセス制限はアプリケーション層でフラグメントは大丈夫ですか? ブロードバンドルータなど宅内小箱たち Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 68

トランスポート層 ( 続き ) アタック warm に対する防御のために特定ポート宛のパケットをフィルタリングするときに DNS パケットを巻き添えにしないようにソースポートが 53 番だったら DNS パケットの可能性あり 53/udp たまたま 1434/udp? 1434/udp retry に陥って社会の迷惑 Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 69

関連 RFC RFC 1035: Domain names - implementation and specification RFC 2671: Extension Mechanisms for DNS (EDNS0) RFC 5966: DNS Transport over TCP - Implementation Requirements Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 70

lame delegation 正しい委任とは親が NS RR( と glue) で委任を提示している先のネームサーバがそのゾーンの authoritative answer を返す子が NS RR で authority の所在を主張しているネームサーバがそのゾーンの authoritative answer を返すそれぞれのネームサーバが同じ応答を返すキャッシュ上のデータを考慮してもこれらが成立する lame delegation とは正しい委任が成立していないこと Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 71

lame delegation( 続き ) 例えば authoritative サーバを変更するとき旧サーバが提供したデータは最長で TTL の間は世の中のキャッシュに載り続けるこれは親ゾーンの委任情報に由来するデータより強いだから親ゾーンの委任情報を更新したからといって旧サーバが旧データを提供し続けたり逆にすぐ停止してしまったら TTL が満了するまで lame delegation が発生し得る Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 72

lame delegation( 続き ) 複数の authoritative サーバがあるとき一部が応答しないこと自体は異常ではないそれを認めなきゃ何のための secondary なんだか応答の不一致も即異常ではない primary secondary の伝播遅延過渡的ではなく継続的だと異常ウソを答える奴が混じっていてはいけない Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 73

lame delegation( 続き ) example.jp. IN NS ns.example.jp. NS ns.example9.ad.jp. ns.example.jp example.jp の authority を持っている ns.example9.ad.jp example.jp の authority を持っていない Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 74

何が起こる? : 非効率編 recursive サーバ root jp www.example.jp? ns.example.jp root への referral を返す SERVFAIL を返すなど ns.example9.ad.jp www Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 75

なぜ起こる? authority を持っているはずのネームサーバが authority を失くした設定ミス secondary が expire した authority を持っていないネームサーバに authority を委任する設定 / 手続きをしてしまった xsp に secondary を依頼するときの手続きミス ISP を替えたのにレジストリの登録を変更し忘れた旧 ISP は解約されたので設定を消した primary も renumber glue との食い違い etc,etc Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 76

何が起こる? : ヤバい編 example.jp. IN NS ns.example.jp. NS ns.example9.ad.jp. example9.ad.jp ドメインがな理由で消滅には買収事業撤退などお好きな言葉を当てはめて下さい lame delegation が発生別の組織が example9.ad.jp というドメイン名を登録して ns.example9.ad.jp という名前でネームサービスを提供悪意の有無は別としてトラブルの元 Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 77

何が起こる? : ヤバい編 ( 続き ) www.example.jp Phishing ns.example9.ad.jp ns.example.jp 偽コンテンツ A 203.0.113.80 正コンテンツ DoS attack A 192.0. 2.80 Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 78

ゾーンデータ寄りの話 Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 79

コメント記号コメント記号は ';' '#' はコメント記号ではない UNIX の常識に反している DNS サーバの最初の実装 Jeeves は UNIX ではなく TOPS-20 で開発された named.conf と不統一でまぎらわしい Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 80

相対表記に関する失敗例名前の末尾に. を忘れる $ORIGIN example.jp. @ IN SOA ( ) IN NS ns.example.jp IN NS ns.example9.ad.jp は @ IN SOA ( ) IN NS ns.example.jp.example.jp. IN NS ns.example9.ad.jp.example.jp. に展開されてしまう NS じゃなくって PTR で忘れると traceroute の結果が恥ずかしいことになる Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 81

相対表記に関する失敗例 ( 続き ) tips 相対表記絶対表記に関しては自分の流儀を決めておく相対表記は使わない必ず絶対表記 owner は必ず相対表記 RDATA は必ず絶対表記相対表記できるところは必ずする etc 設定ミスを見つけやすくなる Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 82

ドメイン名の制約文字種 RFC 1035 に 'host name' の label はアルファベットで始まりアルファベット数字 - ( ハイフン ) の繰り返しアルファベットまたは数字で終わるのが無難だろうという意味のことが書いてある RFC 1123 で 1 文字目が数字のドメイン名もよいことになった 3com.com 0123.co.jp ありがちな間違い : 'host name' に _ を使ってしまう SRV RR など 'host name' じゃない名前はいいと解釈されている Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 83

関連 RFC RFC 1035: DOMAIN NAMES - IMPLEMENTATION AND SPECIFICATION RFC 1123: Requirements for Internet Hosts - Application and Support Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 84

してはいけないこと CNAME を定義した owner に対して他の RR を定義してはいけない www IN CNAME server156 MX 10 server154 はダメ Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 85

してはいけないこと ( 続き ) user@example.jp というメールアドレスを使いたい $ORIGIN example.jp. @ IN SOA ns hostmaster ( 2010060801 20m 15m 4w 15m) NS ns CNAME server154 ; MXを書かなきゃダメ Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 86

してはいけないこと ( 続き ) 2 つ目の CNAME もダメ www IN CNAME backend1 CNAME backend2 Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 87

してはいけないこと ( 続き ) NS や MX の RDATA に CNAME で定義した alias を書いてはいけない RFC 974 にはよくないという趣旨のことが書いてある RFC 2181 には must not be an alias と書いてある @ IN NS ns ns CNAME cabernet-sauvegnon はダメ Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 88

しない方がいいこと CNAME の CNAME は避ける循環参照回避 alias1 IN CNAME alias2 alias2 alias3 CNAME alias3 CNAME alias1 Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 89

しない方がいいこと ( 続き ) RFC では禁止していないが逆に xx 段まで動作することというような記述もない unbound では 8 段 BIND 9 では 16 段で正規化を打ち切る NSD は実行時ではなくゾーンコンパイラにかける時点でチェックしているので循環参照さえなければいくらでもいける模様 1 段でダメな実装は RFC 違反だが 2 段でダメでも RFC 違反ではない自サイトの authoritative サーバだけでなく相手サイトの recursive サーバにも依存うちは BIND 9 だから 16 段まで大丈夫ではなく unbound に索かれたら 9 段でアウト Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 90

内部名外部名脅威の連鎖内部名そのゾーン ( 例 : example.jp) の中の名前 ns2.example.jp www3.example.jp 下位のゾーンでも別ゾーンの中の名前は外部名外部名 ns.subdom.example.jp 内部名じゃない名前 www.example9.ad.jp は example.jp から見れば外部名 ns.example9.ad.jp は jp から見れば外部名削除 : 親に glue が含まれるので内部名になる ( 当日森下さんから指摘あり ) Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 91

CNAME をゾーンの外へ向けることの意味 $ORIGIN example.jp. www IN CNAME rental800.example9.ad.jp. www.example.jp の設定内容は example.jp の管理者には ( 技術的には ) 制御できない example9.ad.jp の authoritative サーバが乗っ取られると WWW コンテンツの差し替えが可能 CNAME について説明したが NS についても同じ Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 92

CNAME をゾーンの外へ向けることの意味 ( 続き ) $ORIGIN example.jp. www IN CNAME rental800.example9.ad.jp. $ORIGIN example9.ad.jp. rental800 IN A 192.0.2.80 rental800 IN A 203.0.113.80 192.0.2.80 203.0.113.80 本物のコンテンツ偽物のコンテンツ Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 93

RRset 中の各 RR の TTL RRset の中の各 RR の TTL はそろえなければならない www 86400 A 192.0.2.53 86400 A 192.0.2.153 はダメ 60 A 192.0.2.253 TrunCated flag が立たずに断片的な RR が返ることがあり得る実装は RRset 中の RR 全部を RRset 中の最小の TTL として取り扱うべきである Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 94

関連 RFC RFC 2181: Clarifications to the DNS Specification Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 95

4octet に対応する v4 の逆索きゾーン $ORIGIN 2.0.192.in-addr.arpa. : 61 NS ns.example.ad.jp. 62 PTR edge.nrt1.example.net. 委任接続点 192.0.2.60/30 $ORIGIN 61.2.0.192.inaddr.arpa. @ IN SOA (...) NS ns.example.ad.jp. PTR border1.example.ad.jp. Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 96

4octet に対応する v4 の逆索きゾーン ( 続き ) v6 なら 32nibble に対応する逆索きゾーン組織間の接続点でアドレスの ownership と DNS での authority の所在とを一致させられる魔術的なところは何もないただあまりよく知られていないだけルータ間リンクの PTR には賛否両論ある traceroute の結果に出てくる Layer 3 のトラブルシュートに便利網構成をナイショにしたい人たち xe-3-2-101.border1.example.ad.jp とかするとあぁ J ねとバレてセキュリティ的に不安という人たち Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 97

'(' と ')' の意味と応用 @ IN SOA ns hostmaster ( 2005120601 1h 15m 4w 15m ) SOA を記述するのに必ず ( と ) が登場する他のところでは見かけない Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 98

'(' と ')' の意味と応用 ( 続き ) でも ( と ) は SOA の構文の一部ではない Parentheses are used to group data that crosses a line boundary. In effect, line terminations are not recognized within parentheses. RFC1035 5. MASTER FILES; 5.1. Format より 0.f.e.d.c.b.a.9.8.7.6.5.4.3.2.1 ( IN PTR www.example.jp.) なんていう使い方もできる Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 99

おわりに Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 100

おわりにまとめにあらず DNS についてのよくある間違いをいくつかご紹介しました間違いとしてはケアレスミス検討が不十分なために起こる誤り誤解がありましたケアレスミスについては注意を喚起しました誤解と設定例の内容をよく検討せずに引き写しているために起こる間違いとについては解説を加えましたあまり知られていないと思われる事項の紹介から派生して tips をいくつかご紹介しました Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 101

おわりたいけど新たなる迷宮の入り口か? Orange さんと伊藤とのゾーンデータで class は省略できるのかという議論より当該部分を読むと TTL と class は共にオプションだと書いてあり ( 下記 ) 最後に明示的に指定されたものがデフォルトになる ( 上記 & 下記 ) とあるくせに少なくとも一つは指定しないといけないという記述は見つかりませんでしたし省略した時にどうなるかも書いてないようです # 何て曖昧なってことで滝澤さん後はよろしく ~ Aug/31/2012 DNS Summer Days 2012, Koh-ichi Ito 102