トップ 最新 追記

インターノット崩壊論者の独り言


EPIC2014
Google Public DNS (8.8.8.8, 8.8.4.4) 経由では本サイトにアクセスできないよう措置させて頂いております。

2019-01-16 気が長いのか宗教なのか

浸透とやらを待っている人は何を待っているのか?

JPRS の『DNSがよくわかる教科書』を読んでさえ「浸透を待っている」人を目撃しました。ほんとうによくわかる教科書なんでしょうかね。(あれよりまともなものを見たことはないのですけれど)

DNS の運用においては浸透という言葉の問題よりも、そもそも無闇に (あるいは根拠のない期間) 待つことの問題の方が大きいのです。長く待ってその末に設定ミスがわかるというケースがよく観察されます。いったい浸透を言う人たちは何を待っているのでしょう。待つことに意味はあるのでしょうか? 事業者が待てというのは単なる責任回避のデタラメですから信用してはいけません。以下に分析してみますので参考にしてください。

  1. 自分のキャッシュサーバで新しいレコードが引けるのを待っている?
    • 自分が引けたから誰もが引けるとは限らないのでそれだけではいけませんね (自分以外ずっと引けないケースも存在します)
    • 逆にキャッシュサーバが古い権威サーバ兼用のせいでその利用者だけが古いままという事例もありました)
    • 無闇に待たなくとも TTL である程度の目処はつくはずですね
    • TTL をみてもわからない例外は色々あるのでは?
      • 短すぎる TTL を切り上げる設定がなされているケースもありますが 1 時間以上は非推奨です
      • 上記を除き TTL を超えてキャッシュを保持し続けるキャッシュサーバは見つかっていません。
      • TTL より早くキャッシュが切れる (上限が切られている) 運用は割と一般的です
      • サーバの実体がたくさんあって負荷分散されているかもしれませんので丁寧な観察が必要です
      • NS キャッシュの TTL が 0 になる前にリセットされ、いつまでも新しい NS を参照しないなら幽霊ドメイン名脆弱性の対策が必要です
    • 急いでいるなら自分の hosts ファイルを編集すればよいでしょう (可能ならキャッシュをフラッシュ)
  2. 世界中のキャッシュサーバが更新されるのを待っている?
    • 残念ながらそういう仕組みは DNS にはありません
    • 利用者が検索を行うまで新しいレコードはキャッシュに入りません
    • なので浸透完了などという状態は存在しません
  3. 世界中のキャッシュサーバから古いキャッシュが消えるのを待っている?
    • 多様な実装があり一部を観察しても無意味でしょう (チェックサイトがあったりしますが大部分は実装が悪く、古いデータやネガティヴキャッシュをわざわざ入れてしまう危険性がありますから使わないほうが良いです)
    • やはり浸透完了などという状態は存在しません
    • TTL で判断するしかありませんが、どの TTL で判断するべきかが問題です
    • TTL は事前に短くしておきましょう (それができない事業者は避けましょう)
    • NS レコードやその A (glue) レコード (の値やTTL) は権威サーバに設定したものではなく、委譲(委任)元のものが使われる場合があります
    • NS 移転時は委譲元の NS の TTL だけ気長 に待ちましょう (確認方法を知りましょう)
    • NS と他のレコードの変更を同時に行わなければ急ぐ必要はなく徹夜で見守る必要もありません
  4. 権威サーバの応答が設定したゾーンデータに変わるのを待っている?
    • これを待つのが正解ですが、それがわかっている人は浸透とは言わないでしょう
    • 権威サーバの応答の確認方法をしらない人が浸透と言っている気がします
    • 気の短い人はどういうタイミングで更新されるかを事前にサーバ管理者に確認するのをお勧めします
    • NS 移転時は新旧のサーバのゾーンデータを一致させておけば不一致で困ることはありません (それができない事業者は避けましょう)
  5. 天に祈って新しいウェブコンテンツが見えたりメールが届いたりするのを待っている?
    • 一ヶ月近くキャッシュが更新されないブラウザなんてのが以前存在しました
    • むやみに待ったうえに失敗したくないなら DNS を学びましょう
  6. ゾーン転送を待っている?
    • ゾーン転送は許可されていますか? シリアルは増やしましたか?

以上を承知のうえで浸透とやらを待っている人はいったい何を待っているのでしょう?

本日のツッコミ(全21件) [ツッコミを入れる]

Before...

Lola [Thank you for posting this awesome article. I'm a long tim..]

Elle & Lui [Somebody essentially assist to make significantly posts ..]

Albertina [Thank you for the good writeup. It in fact was a amusement..]


2019-01-17 知らないってのは恐い

DNS 温泉 番外編 (第一フラグメント便乗攻撃の理解のために)

DNS温泉 番外編 (2019年2月) を有志たちが企画してくれました。DNS のなかでも特に理解者が少ないと思われる否定応答に焦点をあてた 2017年の DNS 温泉 4 (山代温泉) をベースとして、新たな知見を加えて理解が困難な DNSSEC の不存在証明の闇に迫ろうと思います。

基本的な話は私が引き受けさせてもらい、闇の部分については今年度の卒業研究で第一フラグメント便乗攻撃 (別名アイコラ攻撃) の PoC (Proof of Concept) システムを作ってくれた私のゼミの B4 太田健也くんに任せようと思います。危険性がよくわかるデモをご覧いただけることと思います。第一フラグメント便乗攻撃は理論的には可能でも実際の攻撃は難しいのではないかと思っている方には特に参加をお勧めします。

なお第一フラグメント便乗攻撃の PoC については春の情報処理学会全国大会でも発表予定ですが全国大会は時間が短いので、DNS温泉番外編のほうが詳しく聞いて頂けるかと思います。日本ではあまり注意喚起がなされていないのですが、これを知らないでいるのは怖いことだと思います。

追記: 当日の太田健也くんの発表「DNS第一フラグメント便乗攻撃 (アイコラ攻撃)」のスライドが公開されています。


最近の日記

2008|04|05|06|07|08|10|11|
2009|02|03|04|06|07|09|10|11|
2010|01|03|06|09|10|11|12|
2011|01|02|03|05|06|07|10|11|
2012|03|06|07|10|11|12|
2013|02|03|04|05|06|08|09|10|11|
2014|01|03|04|05|06|07|08|09|10|11|12|
2015|01|02|03|04|07|08|09|10|11|12|
2016|01|06|08|12|
2017|03|07|08|09|12|
2018|04|08|10|11|
2019|01|02|07|11|12|
2020|01|02|03|05|06|07|08|

リンク

Copyright by T.Suzuki