トップ «前の日記(2018-11-04) 最新次の日記(2019-01-17)» 編集

インターノット崩壊論者の独り言

EPIC2014
Google Public DNS (8.8.8.8, 8.8.4.4) 経由では本サイトにアクセスできないよう措置させて頂いております。

2019-01-16 気が長いのか宗教なのか

■ 浸透とやらを待っている人は何を待っているのか?

JPRS の『DNSがよくわかる教科書』を読んでさえ「浸透を待っている」人を目撃しました。ほんとうによくわかる教科書なんでしょうかね。(あれよりまともなものを見たことはないのですけれど)

DNS の運用においては浸透という言葉の問題よりも、そもそも無闇に (あるいは根拠のない期間) 待つことの問題の方が大きいのです。長く待ってその末に設定ミスがわかるというケースがよく観察されます。いったい浸透を言う人たちは何を待っているのでしょう。待つことに意味はあるのでしょうか? 事業者が待てというのは単なる責任回避のデタラメですから信用してはいけません。以下に分析してみますので参考にしてください。

自分のキャッシュサーバで新しいレコードが引けるのを待っている?
- 自分が引けたから誰もが引けるとは限らないのでそれだけではいけませんね (自分以外ずっと引けないケースも存在します)
- 逆にキャッシュサーバが古い権威サーバ兼用のせいでその利用者だけが古いままという事例もありました)
- 無闇に待たなくとも TTL である程度の目処はつくはずですね
- TTL をみてもわからない例外は色々あるのでは?
  - 短すぎる TTL を切り上げる設定がなされているケースもありますが 1 時間以上は非推奨です
  - 上記を除き TTL を超えてキャッシュを保持し続けるキャッシュサーバは見つかっていません。
  - TTL より早くキャッシュが切れる (上限が切られている) 運用は割と一般的です
  - サーバの実体がたくさんあって負荷分散されているかもしれませんので丁寧な観察が必要です
  - NS キャッシュの TTL が 0 になる前にリセットされ、いつまでも新しい NS を参照しないなら幽霊ドメイン名脆弱性の対策が必要です
- 急いでいるなら自分の hosts ファイルを編集すればよいでしょう (可能ならキャッシュをフラッシュ)
世界中のキャッシュサーバが更新されるのを待っている?
- 残念ながらそういう仕組みは DNS にはありません
- 利用者が検索を行うまで新しいレコードはキャッシュに入りません
- なので浸透完了などという状態は存在しません
世界中のキャッシュサーバから古いキャッシュが消えるのを待っている?
- 多様な実装があり一部を観察しても無意味でしょう (チェックサイトがあったりしますが大部分は実装が悪く、古いデータやネガティヴキャッシュをわざわざ入れてしまう危険性がありますから使わないほうが良いです)
- やはり浸透完了などという状態は存在しません
- TTL で判断するしかありませんが、どの TTL で判断するべきかが問題です
- TTL は事前に短くしておきましょう (それができない事業者は避けましょう)
- NS レコードやその A (glue) レコード (の値やTTL) は権威サーバに設定したものではなく、委譲(委任)元のものが使われる場合があります
- NS 移転時は委譲元の NS の TTL だけ気長に待ちましょう (確認方法を知りましょう)
- NS と他のレコードの変更を同時に行わなければ急ぐ必要はなく徹夜で見守る必要もありません
権威サーバの応答が設定したゾーンデータに変わるのを待っている?
- これを待つのが正解ですが、それがわかっている人は浸透とは言わないでしょう
- 権威サーバの応答の確認方法をしらない人が浸透と言っている気がします
- 気の短い人はどういうタイミングで更新されるかを事前にサーバ管理者に確認するのをお勧めします
- NS 移転時は新旧のサーバのゾーンデータを一致させておけば不一致で困ることはありません (それができない事業者は避けましょう)
天に祈って新しいウェブコンテンツが見えたりメールが届いたりするのを待っている?
- 一ヶ月近くキャッシュが更新されないブラウザなんてのが以前存在しました
- むやみに待ったうえに失敗したくないなら DNS を学びましょう
ゾーン転送を待っている?
- ゾーン転送は許可されていますか? シリアルは増やしましたか?

以上を承知のうえで浸透とやらを待っている人はいったい何を待っているのでしょう?

本日のツッコミ(全2件) [ツッコミを入れる]

■ tm (2019-01-16 14:39)

最近は「浸透」を言わないようです。待っていることには変わりはないのですけど。

■ tss (2019-01-16 14:45)

反映をよく見ますが同じことですね。言い換えればいいわけではないということです。

最近の日記

2024-02-16
- 1. DNSSEC とは訣別しよう
2022-06-21
- 1. _acme-challenge ゾーンへの委任をグルーなしで実現
2022-05-21
- 1. (隠れ)オープンリゾルバとなっていた謎のアプライアンスが機能停止 (その後再開)
2022-03-22
- 1. GO .JP の隠れオープンリゾルバを公開しました。
2022-03-15
- 1. lame delegation の危険性を知りましょう
2022-03-14
- 1. CASHLESS .GO .JP が乗っ取られるかもしれません。フィッシングなどにご注意ください。
- 2. 対策された模様
2022-02-21
- 1. 日本ネットワークセキュリティ協会 (JNSA) 会員の隠れオープンリゾルバ (ファイアウォールが送信元詐称に対してがら空き)
2022-02-04
- 1. 外務省のネットワークの深刻な脆弱性が解消 (追記:誤認でした)
- 2. 2/10 追記: 脆弱な GO.JP リスト公開予告
2021-12-22
- 1. JPRS は EDNS buffer size の変更を知られたくないらしい
2021-09-18
- 1. login.live.com が引けない件
2021-09-07
- 1. 送信元詐称対策が不十分で隠れオープンリゾルバを放置しているドメインを本日公開しました。
2021-03-31
- 1. 隠れオープンリゾルバのスキャナを作ってみた
2021-03-15
- 1. 損保ジャパンDC証券株式会社のドメインを預かっていました
2021-02-05
- 1. JP サーバの不良と EDNS0 バッファサイズ
2020-08-27
- 1. Knot Resolver の危険なモード
- 2. labs.nic.cz からのメール
2020-07-04
- 1. DNS の仕組みを解説するスライドを作成した
2020-06-23
- 1. Sibling domain の glue に毒を入れる模擬実験
2020-05-27
- 1. ホスト情報取扱いの改善のお願いをしてみた
- 2. 5/29 追記: JPDIRECTからの返信
2020-05-22
- 1. 無駄で危険なホスト情報の話 (とりいそぎ)
2020-03-27
- 1. 感染シミュレーションしてみよう
2020-02-24
- 1. 厚生労働省検疫所が DNSSEC の運用に失敗
- 2. DNSSEC署名検証しているか確認するページを作りました
2020-01-24
- 1. 「つぶらな瞳で考える、DNSSECの普及に必要な何かは何か？」への暖かいエール
2019-12-13
- 1. 温泉は良いぞ
2019-12-11
- 1. 浸透いうなシミュレーション
2019-12-06
- 1. 論文「共用DNS権威サーバの脆弱性」を発表
2019-12-02
- 1. JANOG 45 Meeting に合わせて DNS 温泉 7 を開催します。
2019-11-30
- 1. 浸透いうな!直筆グッズを作成した。
2019-07-10
- 1. GMOペパボに統合されたドメインが乗っ取り可能だった件
2019-02-18
- 1. Measures against cache poisoning attacks using IP fragmentation in DNS
2019-02-07
- 1. 第一フラグメント便乗攻撃についてJPRSに質問してみた
2019-01-17
- 1. DNS 温泉番外編 (第一フラグメント便乗攻撃の理解のために)
2019-01-16
- 1. 浸透とやらを待っている人は何を待っているのか?
2018-11-04
- 1. Unbound を安全にしよう
2018-10-31
- 1. これを NSEC/NSEC3 Replacement Attack と呼ぶのはどうだろう?
2018-08-27
- 1. DNS 温泉 5 無事終了
2018-04-08
- 1. 8.8.8.8 に加え 1.1.1.1 を用いたアクセスも拒否させて頂きます。
2017-12-13
- 1. 子供たちに知っておいて欲しい話がある。
2017-09-18
- 1. DNS 温泉 4 無事終了
2017-08-07
- 1. DNSSEC に関する一連の注意喚起で混乱中の皆様へ
2017-07-31
- 1. こういう DNSSEC 推進おかしくないですか?
2017-03-11
- 1. とりあえず学ぶべき IPv6 関連 RFC をリストアップしてみた
2016-12-21
- 1. EXFORMATION
2016-08-04
- 1. 温泉と酒とDNS
2016-06-15
- 1. ENT was here !!!
2016-06-01
- 1. game は 50,000円?
2016-01-16
- 1. Paul Vixie の愚痴が面白かったので訳してみました
2015-12-22
- 1. 子供たちを消費者にしてはいけない
2015-11-07
- 1. 移転インジェクション脆弱性の確認用ドメインを用意しました
2015-10-05
- 1. JPRS の「学生向けJPドメイン名活用支援プログラム」は悪徳商法では?
2015-09-14
- 1. 今年も DNS 温泉を開催しました
2015-08-14
- 1. DNS の危険な脆弱性を無視し続ける IPA
2015-07-19
- 1. DNS 毒入れ疑似体験
2015-04-18
- 1. DNSSEC に対応している大学を調べてみました
2015-04-04
- 1. 平成27年4月3日国会提出電気通信事業法等の一部を改正する法律案
2015-03-01
- 1. お名前.com でドメイン名を失効させてみました。
2015-02-24
- 1. フォーラム「日本のインターネットガバナンスの課題と展望」
2015-02-06
- 1. 日本の大学の MX レコードを調べてみました
2015-01-15
- 1. 『なぜ私はPGPを書いたのか』を翻訳しました
2015-01-09
- 1. 内閣サイバーセキュリティセンターは基盤から脆弱に見えます
2014-12-13
- 1. 子供たちにとって大切なことは何でしょう
2014-11-29
- 1. 「JPNIC による AS 番号不当課金」裁判において東京高裁の不当判決が確定
2014-11-08
- 1. お名前が Blogspot.jp を駐車場へ
2014-11-07
- 1. ドメイン名政策パブコメを提出しました
2014-10-25
- 1. DEC.COM が期限切れとなり某 ccTLD がハイジャックされたらしい
2014-09-24
- 1. moe を DNSSEC walk してみた
2014-08-28
- 1. 「BIGLOBEクラウドホスティング」において、コントロールパネルから、DNS設定が可能に
2014-08-27
- 1. 毒入れに対して脆弱性のある名前の検査ツールを公開
2014-07-20
- 1. JPRSの弁明
2014-06-27
- 1. IETF.ORG が DNSSEC 運用失敗のデモンストレーション?
2014-06-17
- 1. ルートゾーンへの毒入れ解説
2014-06-09
- 1. DNS.JPゾーンの収容変更
2014-06-04
- 1. あらためて本サイトを 8.8.8.8 から見えなくさせて頂きます
2014-05-27
- 1. RECRUIT がやらかして ATND が見えなくなったようなのでメモ
2014-04-15
- 1. 長年放置されてきた DNS の恐るべき欠陥が明らかに
2014-03-24
- 1. 仮想通貨ラボがドメイン名を強制利用停止されたような、、、
2014-03-23
- 1. Firefox の名前解決キャッシュの謎
- 2. Firefox の名前解決キャッシュの正体
- 3. 結論
2014-01-18
- 1. JPNIC不当課金裁判の控訴審が始まります
- 2. JPNIC不当課金裁判第一審判決文
2013-11-05
- 1. AS番号の割り当ての中止について
2013-10-22
- 1. JPNICの不当課金に対する訴えは棄却されました
2013-10-15
- 1. 共用 DNS サービスの脆弱性は IPA の取扱い範囲外
2013-09-27
- 1. 「オープンリゾルバ根絶に向けての取り組み」ですか
2013-09-18
- 1. RRL は毒入れに脆弱?
2013-08-31
- 1. とある共用レンタルサーバの改竄が話題になっていますが、、、
2013-08-21
- 1. JPNIC との裁判は結審しました
- 2. ところで JPNIC の定款っておかしくないですか?
2013-06-15
- 1. JPNICによる不当課金裁判第1回審理
2013-05-03
- 1. 東京地方裁判所(民事第4部はA係)から第1回審理の期日呼出状を頂きました。
2013-04-30
- 1. ドメイン@nifty他社ドメイン登録に関する重要なお知らせ
2013-04-12
- 1. 一般社団法人JPNICを訴えました
2013-04-02
- 1. リュックのおねいさんを見ましたか?
2013-03-15
- 1. 個人による AS 運用を否定する判決
2013-02-25
- 1. phpVirtualBox を動かしてみた
2013-02-14
- 1. JPNICとの裁判は審理終了
2013-02-06
- 1. 東京地方裁判所(民事第39部ろA係)から第1回審理の期日呼出状を頂きました。
2012-12-21
- 1. 逆引き DNSSEC は何のため?
2012-11-26
- 1. JPNICを訴えました
2012-10-02
- 1. ハイジャックの危険性のあるドメイン名へのJPRSの対処
2012-07-04
- 1. 権威／キャッシュDNSサーバーの兼用によるDNSポイズニングの危険性について
2012-07-03
- 1. 共用DNSサービスに関する緊急の注意喚起?
2012-07-01
- 1. さくらインターネットのお知らせが意味するもの
2012-06-24
- 1. まさかのレンタルDNSコンテンツサーバは実在する
2012-06-18
- 1. NTPサーバを乗っ取ってしまいました
2012-06-14
- 1. 「さくらDNSにサブドメインハイジャックを許す脆弱性」ってのは過小評価
2012-03-09
- 1. iOSのアップデートで8.8.8.8を使うのは回避策であって解決策ではない
2011-11-14
- 1. Port Randomize Tester を作ってみた
2011-11-04
- 1. NIFTY Cloud さんさぁ、、、
2011-11-02
- 1. 危険なDNSサーバの利用者へ警告
2011-10-24
- 1. 公開質問には公開回答すべき?
2011-10-18
- 1. カミンスキー毒入れ攻撃の真実
2011-10-14
- 1. Google Public DNS (8.8.8.8) は浸透が遅い
- 2. DNS浸透の都市伝説を斬る〜ランチのお供にDNS〜
2011-07-27
- 1. ISPのキャッシュDNSサーバはTTLを越えてキャッシュを保持するか?
2011-07-01
- 1. SOFMAP.COM その後
- 6. やっと新しいサーバが見えましたね
2011-06-30
- 1. SOFMAP.COM は「浸透」するか?
2011-06-25
- 1. ルートサーバ更新
2011-05-08
- 1. ECLIPSE.ORG が消滅
2011-05-02
- 1. 河野太郎氏のサイトのDNSサーバ移行トラブル
2011-03-06
- 1. のび太のテロ
2011-02-08
- 1. 「浸透いうな」
2011-01-27
- 1. DNSCurve を適用しました
- 2. DNSCurve と CurveCP で高速安全というDJBの話
2010-12-29
- 1. JPRSが JPレジストラをやめる?
2010-11-04
- 1. qmail 1.0 から10年 (1997)
2010-10-14
- 1. WWW.YAHOO.CO.JPのDNSサーバの一つが変でしたね
2010-10-08
- 1. IPアドレス事業料金体系見直しの動き
2010-09-23
- 1. ヨーロッパ（RIPE NCC)でDNSSECによる障害発生
2010-09-18
- 1. パネル討論会：「岡崎市中央図書館ウェブサーバ事件」から情報化社会を考える
2010-06-24
- 1. iOS4 の IPv6 はやはりプライバシー無視だった
2010-06-11
- 1. JANOG MLが荒れているとのことですが、、、
2010-03-16
- 1. IDN ccTLD「.日本」に関する意見
2010-03-15
- 1. ドメイン名を移管したら Name Server 情報を書き換えましょう
- 2. JPNICによる、IDN ccTLD「.日本」に関するご意見募集について
2010-01-09
- 1. 一部gTLDの振る舞いが変わる
2010-01-04
- 1. ネット選挙運動って何？
- 2. SrcPort53でアクセスしてきたリゾルバを晒し上げ
- 3. インターノット安全教室
2009-11-27
- 1. お名前.com どうしちゃったんでしょう。
- 2. IW2009
2009-11-18
- 1. DNSSECを破る
2009-10-22
- 1. DNS健全性チェッカー復活
2009-10-19
- 1. DNS健全性チェッカーの一時休止のお知らせ
2009-10-13
- 1. SEが.SE.SEになっていた？
- 2. 続報：本当にドット忘れだった模様
2009-10-09
- 1. OpenOffice.orgセミナー開催
2009-10-04
- 1. DNS健全性チェッカー試験公開
- 2. moin.qmail.jp
2009-09-04
- 1. BINDを捨てよう
2009-07-29
- 1. BIND Dynamic Update DoS
2009-06-29
- 1. 授業に使える「Linuxサーバー構築標準教科書」を授業に使っちゃダメ
2009-06-08
- 1. 地域型ドメイン名は廃止してはどうか、だそうですが
2009-06-01
- 1. 障害報告：APNIC逆引きネームサーバの障害について
2009-04-27
- 1. NTTデータの快挙
2009-03-28
- 1. インターノット最後のエイプリルフール？
- 2. Linuxのbotnet
2009-03-04
- 1. djsbnsにまた脆弱性？
2009-02-21
- 1. 2008 And The New (Old) Nature Of Critical Infrastructure
2009-02-19
- 1. djbdnsのdnscacheに毒入れ脆弱性
2009-02-17
2009-02-15
- 1. What-icann-is-doing-about-it
- 2. IPv6匿名アドレスの疑問
2008-11-21
- 1. インターネット安全教室
2008-11-19
- 1. DNS-OARC TDLmon
2008-10-03
- 1. RFC2821は終わり(といいつつRFC821な人もまだ...）
2008-08-31
- 1. Kaminskyは全てを語っていない
2008-08-09
- 1. 緊急DNS勉強会スライド
- 3. 追記のついでに
2008-08-07
- 1. It's The End Of The Cache As We Know It
2008-08-02
- 1. 緊急DNS勉強会
2008-07-29
- 1. 毒入れ脆弱性の改善は進んでいない
- 2. シューマッハーの「中間技術」
2008-07-24
- 1. 緊急
2008-07-10
- 1. Check your resolver's source port behavior.
2008-07-01
- 1. ICANN/IANA無能の証拠
- 2. sblo.jp suspended
2008-06-28
- 1. インターネット幻想
- 2. インターノットの親分
2008-06-23
- 1. ICANN is dying.
2008-06-13
- 1. 対象の定義がない法律
2008-06-04
- 1. 高木氏が良いこと言った。
2008-06-03
- 1. ぜひとも修正すべき qmail の問題
2008-05-30
- 1. オレオレレジストラ
2008-05-23
- 1. 512byteの壁とか
2008-05-21
- 1. ケータイの懸念はコンテンツばかりじゃない
- 2. オープンリゾルバの状況
- 3. 本日のバックスキャッタ(またまたOCN)
2008-05-20
- 1. 旧L.ROOT-SERVERS.NETを信用してはいけない
- 3. 5/21(JST)追記1: ICANN 曰く
- 4. 5/21(JST)追記2: Paul Vixie 曰く
2008-05-18
- 1. 本日のバックスキャッタ(OCN)
2008-05-14
- 1. パネル「情報フラット化がもたらす地域格差の可能性」
- 2. 講演会「YOUTUBEの現在と今後」
2008-05-05
- 1. インターネットユーザ？
- 2. "世界"に"ユーザー"はいない
2008-05-03
- 1. JPNICの懸念表明
- 2. インターネットを再定義する
2008-05-02
- 1. INFO がちょっとだけまともに
2008-04-28
- 1. ORGはDNSSECより先にやることあるだろう
2008-04-27
- 1. 日記帳新調