~% dig a www.sofmap.com @203.138.63.115 ; <<>> DiG 9.6.-ESV-R4-P1 <<>> a www.sofmap.com @203.138.63.115 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 59294 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 0 ;; QUESTION SECTION: ;www.sofmap.com. IN A ;; ANSWER SECTION: www.sofmap.com. 1 IN A 209.62.105.19 ;; AUTHORITY SECTION: sofmap.com. 1509 IN NS ns2.pendingrenewaldeletion.com. sofmap.com. 1509 IN NS ns1.pendingrenewaldeletion.com. ;; Query time: 17 msec ;; SERVER: 203.138.63.115#53(203.138.63.115) ;; WHEN: Fri Jul 1 15:19:51 2011 ;; MSG SIZE rcvd: 107
でも、 NS の TTL が残っているので、再度古いAがキャッシュされ直しました。 古いサーバで古いレコード提供し続けるとこうなります。 pendingrenewaldeletion.com は NSを提供しないので、NSまで更新されつづけるという醜いことにはならなさそうですが、、、
~% dig a www.sofmap.com @203.138.63.115 ; <<>> DiG 9.6.-ESV-R4-P1 <<>> a www.sofmap.com @203.138.63.115 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 28317 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 0 ;; QUESTION SECTION: ;www.sofmap.com. IN A ;; ANSWER SECTION: www.sofmap.com. 7200 IN A 209.62.105.19 ;; AUTHORITY SECTION: sofmap.com. 1507 IN NS ns1.pendingrenewaldeletion.com. sofmap.com. 1507 IN NS ns2.pendingrenewaldeletion.com. ;; Query time: 405 msec ;; SERVER: 203.138.63.115#53(203.138.63.115) ;; WHEN: Fri Jul 1 15:19:52 2011 ;; MSG SIZE rcvd: 107
次はAのTTLが切れた時点でNSのTTLも切れているはずなので、新しい A をとりにいくまで、たぶんあと 7200 秒
このような親ドメインからの委譲のNSをキャッシュしてしまう実装では、 .com だと 172800 時間 + Aレコードの TTL時間分、古いキャッシュを持ちつづけることになりますね。
% dig a www.sofmap.com @203.138.63.115 ; <<>> DiG 9.6.-ESV-R4-P1 <<>> a www.sofmap.com @203.138.63.115 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 21449 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 4 ;; QUESTION SECTION: ;www.sofmap.com. IN A ;; ANSWER SECTION: www.sofmap.com. 28036 IN A 61.204.171.132 ;; AUTHORITY SECTION: sofmap.com. 166495 IN NS dns-c.iij.ad.jp. sofmap.com. 166495 IN NS dns-b.iij.ad.jp. ;; ADDITIONAL SECTION: dns-b.iij.ad.jp. 54871 IN A 210.130.1.46 dns-b.iij.ad.jp. 54871 IN AAAA 2001:240:bb81::2:2 dns-c.iij.ad.jp. 54871 IN A 210.138.175.6 dns-c.iij.ad.jp. 54871 IN AAAA 2001:240:bb81::2:3 ;; Query time: 31 msec ;; SERVER: 203.138.63.115#53(203.138.63.115) ;; WHEN: Fri Jul 1 18:19:32 2011 ;; MSG SIZE rcvd: 185
めでたしめでたし、でしょうか? NSのTTL、ちょっと気になりませんか? ;-P
これ、やっぱり毒いれ対策な気がします。で、今回副作用(?)として「浸透遅い」となったような、、、 DNSSEC対応したからって公開しようなんて思うからですよ〜
でもこうやって毒いれ対策していいなら、DNSSECいらないじゃん。
Copyright by T.Suzuki