SOFMAP.COM が更新忘れで、一旦失効して、また復活に成功したらしいのだが、、、
以下のように確かに権威サーバは復活している。
% dig a www.sofmap.com @a.gtld-servers.net ; <<>> DiG 9.6.-ESV-R4-P1 <<>> a www.sofmap.com @a.gtld-servers.net ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 19378 ;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 2, ADDITIONAL: 0 ;; WARNING: recursion requested but not available ;; QUESTION SECTION: ;www.sofmap.com. IN A ;; AUTHORITY SECTION: sofmap.com. 172800 IN NS dns-b.iij.ad.jp. sofmap.com. 172800 IN NS dns-c.iij.ad.jp. ;; Query time: 258 msec ;; SERVER: 192.5.6.30#53(192.5.6.30) ;; WHEN: Thu Jun 30 09:34:10 2011 ;; MSG SIZE rcvd: 81 % dig a www.sofmap.com @dns-b.iij.ad.jp. ; <<>> DiG 9.6.-ESV-R4-P1 <<>> a www.sofmap.com @dns-b.iij.ad.jp. ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 14785 ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 0 ;; WARNING: recursion requested but not available ;; QUESTION SECTION: ;www.sofmap.com. IN A ;; ANSWER SECTION: www.sofmap.com. 28800 IN A 61.204.171.132 ;; AUTHORITY SECTION: sofmap.com. 28800 IN NS dns-c.iij.ad.jp. sofmap.com. 28800 IN NS dns-b.iij.ad.jp. ;; Query time: 46 msec ;; SERVER: 210.130.1.46#53(210.130.1.46) ;; WHEN: Thu Jun 30 09:34:53 2011 ;; MSG SIZE rcvd: 97
しかし、DNSSECに対応したNTTPCのオープンリゾルバでみると、、、
% dig a www.sofmap.com @203.138.63.115 ; <<>> DiG 9.6.-ESV-R4-P1 <<>> a www.sofmap.com @203.138.63.115 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 38992 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 0 ;; QUESTION SECTION: ;www.sofmap.com. IN A ;; ANSWER SECTION: www.sofmap.com. 6856 IN A 209.62.105.19 ;; AUTHORITY SECTION: sofmap.com. 108688 IN NS ns1.pendingrenewaldeletion.com. sofmap.com. 108688 IN NS ns2.pendingrenewaldeletion.com. ;; Query time: 48 msec ;; SERVER: 203.138.63.115#53(203.138.63.115) ;; WHEN: Thu Jun 30 09:33:33 2011 ;; MSG SIZE rcvd: 107
これはNTTPCのオープンリゾルバが、権威サーバの提供するNSではなく委譲元のNSをキャッシュしているから。そうする理由は、たぶん毒入れ対策だが、このようなケースでは裏目にでるかも(ポリシーが一貫していれば大丈夫かな)。そもそも DNSSEC対応ならオープンリゾルバでも大丈夫というのがとんでもない大間違い。
そして、pendingrenewaldeletion.com は NS を提供しないというひどい運用をしている(なのでNTTPCが権威サーバのNSをキャッシュしようにもキャッシュできないわけだが)。これは、「浸透問題」を避けるためだとしたら理があるがどうなんだろう。おかげで、NTTPCのキャッシュが、TTLをリフレッシュし続けることはなさそうだが。
% dig a www.sofmap.com @ns1.pendingrenewaldeletion.com. ; <<>> DiG 9.6.-ESV-R4-P1 <<>> a www.sofmap.com @ns1.pendingrenewaldeletion.com. ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 34276 ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; WARNING: recursion requested but not available ;; QUESTION SECTION: ;www.sofmap.com. IN A ;; ANSWER SECTION: www.sofmap.com. 7200 IN A 209.62.105.19 ;; Query time: 224 msec ;; SERVER: 205.178.190.51#53(205.178.190.51) ;; WHEN: Thu Jun 30 09:43:24 2011 ;; MSG SIZE rcvd: 48 % dig ns pendingrenewaldeletion.com @ns1.pendingrenewaldeletion.com. ; <<>> DiG 9.6.-ESV-R4-P1 <<>> ns pendingrenewaldeletion.com @ns1.pendingrenewaldeletion.com. ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 40961 ;; flags: qr aa rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0 ;; WARNING: recursion requested but not available ;; QUESTION SECTION: ;pendingrenewaldeletion.com. IN NS ;; AUTHORITY SECTION: . 1 IN SOA ns1.pendingrenewaldeletion.com. ns2.pendingrenewaldeletion.com. 2005092400 10800 3600 604800 7200 ;; Query time: 216 msec ;; SERVER: 205.178.190.51#53(205.178.190.51) ;; WHEN: Thu Jun 30 09:45:51 2011 ;; MSG SIZE rcvd: 87
どうしてDNS業界ってのは、こう、、、(自粛
Copyright by T.Suzuki