DNS再入門

26 May 2017 @OSC Nagoya

鈴木常彦 @東海インターネット協議会

DNS の基礎

DNS の構成 (ホワイトボードで) と知っておくべき概念

ゾーンとは

ゾーン分割

ゾーンデータ

ゾーンの主たる4つの構成物

権威とは何か

NS, SOA

グルー

再帰

以上 RFC1034 より抜粋: 実にわかりづらい。これが書かれた時代にはキャッシュとコンテンツの分離がちゃんとなされていなかったことも考慮して理解する必要がある

鈴木の解釈: recursive は iterative なサーバあるいはローカルな情報を持つサーバに辿り着くまで多段となりうるから recursive

5種類の DNS 返答

Notes on the Domain Name System (D.J.Bernstein) - The five types of DNS responses (前野訳)

TTL

RFC 2181 講座 (ランキング)

RFC2181
5.4.1. Ranking data

優先度の高い順に、、、
     + プライマリのゾーンデータ
     + セカンダリのゾーンデータ
     + 権威ある応答の Answer セクションの権威あるデータ (AA)
     + 権威ある応答の Authority セクションのデータ
     + プライマリ・セカンダリサーバの中のグルーデータ
     + 権威のない応答の Answer セクションのデータ, および
       権威のある応答の Answer セクションの権威のないデータ
       (コンテンツ・キャッシュ兼用サーバなどでゾーン外データがつくことがある)
     + 権威ある Answer の Additional セクションの情報,
       権威のない Answer の Authority セクションのデータ,
       権威のない Answer の Additional セクションのデータ

ランキング

RFC2181
5.4.1. Ranking data
  (snip)
   Unauthenticated RRs received and cached from the least trustworthy of
   those groupings, that is data from the additional data section, and
   data from the authority section of a non-authoritative answer, should
   not be cached in such a way that they would ever be returned as
   answers to a received query. 

最下位ランクのデータ(権威ある Answer の Additional セクションの情報, 権威のない Answer の Authority セクションのデータ, 権威のない Answer の Additional セクションのデータ) はキャッシュしても Answer に用いてはいけない、と書いてある。

2008 年の BlackHat での Kaminsky の説明 (嘘の Additional が毒になる説明) が間違っていた所以がここに...

NS 移転において憂慮すべき点

適切な NS 移転の要点

「浸透」でごまかすことの弊害

(このページのパーマネントリンクはこちらをお願いします)

以上、ご理解頂けましたら、、、