トップ «前の日記(2020-08-27) 最新 次の日記(2021-03-15)» 編集

インターノット崩壊論者の独り言


EPIC2014
Google Public DNS (8.8.8.8, 8.8.4.4) 経由では本サイトにアクセスできないよう措置させて頂いております。

2021-02-05 なぜいつまでも直せないのか?

JP サーバの不良と EDNS0 バッファサイズ

私から JPRS への一週間前の質問に回答が昨日来ていました。

JPRS が伝聞の形ながらようやく EDNS0 バッファサイズの推奨値を回答したのが画期的です。 (これまでは回答を拒んでいた)

要するに、、、

  1. JP サーバが問題のある動作をするのは既知の問題で RFC のせい
    JPRS が待っているのはたぶんこの I-D の RFC 化。RFC 1034 にたったこの一文
    "If glue RRs do not fit set TC=1 in the header."
    が加わらないと直せないということのようです。(言いたいことはあるけれどとりあえずノーコメント)
  2. DO bit が ON であれば少なくとも 1220 オクテットにしないといけない (RFC 4035 により MUST)
    (私は質問のためにあえて 565 オクテットにしていたので違反 / DO bit は off にして 512 にするのが私の推奨 / DNSSEC は害)
  3. DNS Flag Day 2020ではフルサービスリゾルバーにおける EDNS バッファサイズとして 1,232バイトが推奨されている
  4. JP サーバーにおける DNS Flag Day 2020 で推奨される EDNS バッファサイズへの変更は現在検討中
ということですね。

From: info@jprs.jp
To: "T.Suzuki" <tss@e-ontap.com>
Cc: info@jprs.jp
Subject: Re: [JPRS info 410313] ends-buffer-size
Date: Thu, 04 Feb 2021 15:46:50 +0900
X-Mailer: Cybozu MailWise 5.1.3
 
鈴木 様
                                        株式会社日本レジストリサービス
													                                                     お客様サポート係
 
お問い合わせいただきましてありがとうございます。
 
> 1. 必要な glue がつかないのに TC フラグが立たない JP サーバは欠陥では
> ないでしょうか?
 
当該動作はDNSプロトコル上の問題である旨が指摘されており、問題を解決す
るためのプロトコルの修正が、インターネットドラフトとして提案されており
ます。
 
当社としては、標準化の動向を踏まえて対応を進める予定です。
 
> 2. edns-buffer-size: 565 がいけないということであれば、適切なサイズは
> いくつですか?
 
ご質問のdigコマンドにおいてUnboundから送出される問い合わせにはDO bitが
セットされており、RFC 4033における「security-aware resolver」として取
り扱われると承知しております。
 
その場合、EDNSバッファサイズには、RFC 4035 Section 4.1の記述が適用され
ると承知しております。ご参考までに、以下に引用いたします。
 
また、DNS Flag Day 2020ではフルサービスリゾルバーにおけるEDNSバッファ
サイズとして、1,232バイトが推奨されていると存じます。
 
>  A security-aware resolver MUST support a message size of at least
>  1220 octets, SHOULD support a message size of 4000 octets, and MUST
>  use the "sender's UDP payload size" field in the EDNS OPT pseudo-RR
>  to advertise the message size that it is willing to accept.  A
>  security-aware resolver's IP layer MUST handle fragmented UDP packets
>  correctly regardless of whether any such fragmented packets were
>  received via IPv4 or IPv6.  Please see [RFC1122], [RFC2460], and
>  [RFC3226] for discussion of these requirements.
 
> 3. 現在 JP サーバは ; EDNS: version: 0, flags: do; udp: 4096 という応答をし
>   てきますが、4096 というサイズは DNS flag day 2020 に対応していない危険なサイズ
>   ではないでしょうか? DNS flag day 2020 への対応予定を教えてください。
 
JP DNSサーバーにおける、DNS Flag Day 2020で推奨されるEDNSバッファサイ
ズへの変更につきましては、現在検討中です。
 
何かございましたらお手数ですが、以下の窓口までお問い合わせください。

ちなみに私の質問のメールは以下

From: "T.Suzuki" <tss@e-ontap.com>
To: info@jprs.jp
Subject: ends-buffer-size
Date: Thu, 28 Jan 2021 12:09:55 +0900
Organization: E-ONTAP
X-Mailer: Sylpheed 3.7.0 (GTK+ 2.24.32; amd64-portbld-freebsd12.1)
 
お世話になっております。JP ドメイン利用者の鈴木と申します。
 
一部のドメイン名が Unbound (1.13.0) で引けない現象がおきています。
 
% dig www.chukyo-uac.jp
 
; <<>> DiG 9.9.5 <<>> www.chukyo-uac.jp
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 33801
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
 
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 565
;; QUESTION SECTION:
;www.chukyo-uac.jp.		IN	A
 
;; Query time: 1481 msec
;; SERVER: 127.0.0.2#53(127.0.0.2)
;; WHEN: Thu Jan 28 11:50:17 JST 2021
;; MSG SIZE  rcvd: 46
 
% dig www.internat.jp
 
; <<>> DiG 9.9.5 <<>> www.internat.jp
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 49684
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
 
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 565
;; QUESTION SECTION:
;www.internat.jp.		IN	A
 
;; Query time: 243 msec
;; SERVER: 127.0.0.2#53(127.0.0.2)
;; WHEN: Thu Jan 28 11:50:29 JST 2021
;; MSG SIZE  rcvd: 44
 
unbound.conf は以下のようになっています。
 
server:
	verbosity: 5
	interface: 127.0.0.2
	prefer-ip4: yes
	outgoing-num-tcp: 50
	edns-buffer-size: 565
	do-ip6: no
	logfile: "unbound.log"
	use-syslog: no
	harden-referral-path: no
	qname-minimisation: yes
	aggressive-nsec: no
	use-caps-for-id: no
	minimal-responses: no
	module-config: "iterator"
	auto-trust-anchor-file: "/usr/local/etc/unbound/root.key"
 
原因は edns-buffer-size: 565 なのに対して、以下のように glue も TC フラグも
立っていない応答が返ってきていることだと思います。
 
~% dig -t a www.internat.jp @a.dns.jp +dnssec +notcp +ignore +norec +qr +bufsize=565
 
; <<>> DiG 9.9.5 <<>> -t a www.internat.jp @a.dns.jp +dnssec +notcp +ignore +norec +qr +bufsize=565
;; global options: +cmd
;; Sending:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8815
;; flags: ad; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
 
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 565
;; QUESTION SECTION:
;www.internat.jp.		IN	A
 
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8815
;; flags: qr; QUERY: 1, ANSWER: 0, AUTHORITY: 5, ADDITIONAL: 1
 
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;www.internat.jp.		IN	A
 
;; AUTHORITY SECTION:
internat.jp.	86400	IN	NS	ns.internat.jp.
D4R30L9CETC680EV8UASC74TLJJOK5H2.jp. 900 IN NSEC3 1 1 8 80722445BE D4TOBSLK5IS3M3551DVTF68MN0O8J8S7 NS SOA RRSIG DNSKEY NSEC3PARAM
D4R30L9CETC680EV8UASC74TLJJOK5H2.jp. 900 IN RRSIG NSEC3 8 2 900 20210222174503 20210123174503 39945 jp. HP6LnfaNAar4I90csxRO8GEMvbfmLdNIcpwSxQnC7wtiaklHilryuH/j XGqkGGfSKuyQ1cKC/TyrV+v3IujaQj3j+osGcJCuyWs8l0zR9uxoEoPg z+yKKKm7pG28ZR/JOSappIJnrlm/Qrlv8zNcFMPvnoy0u8VhrGpawMMF w98=
41KTTL2MNI5RKK32378RH6QOPQLV3EQF.jp. 900 IN NSEC3 1 1 8 80722445BE 42Q5A65HN8KPQSFCTTJ2K946MUAF2P1N TXT RRSIG
41KTTL2MNI5RKK32378RH6QOPQLV3EQF.jp. 900 IN RRSIG NSEC3 8 2 900 20210222174503 20210123174503 39945 jp. mCQskVHnKp1UiF3phtcyW1uRu8W1s+unUOrBcL4PVBlcjIyGNCUxeR/G z6iR2Y5ooeaMfl7dtNFR9idggyUT46v8pAVcM9uqi/0/OZmxNSpGMKKQ kBSv+Pl1miIUnKk6nlIwuOkZjDuMJKJAuk24de3ZxN12aEJ/a4sJ5LdC +7Q=
 
;; Query time: 26 msec
;; SERVER: 203.119.1.1#53(203.119.1.1)
;; WHEN: Thu Jan 28 12:01:26 JST 2021
;; MSG SIZE  rcvd: 554
 
そこで質問です。
 
1. 必要な glue がつかないのに TC フラグが立たない JP サーバは欠陥ではないでしょうか?
 
2. edns-buffer-size: 565 がいけないということであれば、適切なサイズはいくつですか?
 
3. 現在 JP サーバは ; EDNS: version: 0, flags: do; udp: 4096 という応答をし
  てきますが、4096 というサイズは DNS flag day 2020 に対応していない危険なサイズ
  ではないでしょうか? DNS flag day 2020 への対応予定を教えてください。
 
--
------------------------------------------------------------------------------
T.Suzuki / E.F.シューマッハーとI.イリイチを読もう
『コンヴィヴィアリティのための道具』が文庫本になりました
本日のツッコミ(全4件) [ツッコミを入れる]
tss (2021-02-07 12:45)

ちなみに com は TC bit を立ててくる。RFC を待たないと直せないというのは理由にならないと思いますね。 <br>dig soa e-ontap.com @a.gtld-servers.net +dnssec +norec +ignore +bufsize=630

tm (2021-08-24 22:31)

8/24 今調べてみたら、TC onの返事が返りました。修正されたのかも。 <br>(広報は見ていない。)

tss (2021-12-23 08:33)

NSEC3 のバイト数が変化しましたかね。590 だと TC つきません。 <br>dig -t a www.internat.jp @a.dns.jp +dnssec +notcp +ignore +norec +qr +bufsize=590

tss (2022-01-11 17:14)

いまは 560 くらい


最近の日記

2008|04|05|06|07|08|10|11|
2009|02|03|04|06|07|09|10|11|
2010|01|03|06|09|10|11|12|
2011|01|02|03|05|06|07|10|11|
2012|03|06|07|10|11|12|
2013|02|03|04|05|06|08|09|10|11|
2014|01|03|04|05|06|07|08|09|10|11|12|
2015|01|02|03|04|07|08|09|10|11|12|
2016|01|06|08|12|
2017|03|07|08|09|12|
2018|04|08|10|11|
2019|01|02|07|11|12|
2020|01|02|03|05|06|07|08|
2021|02|03|09|12|
2022|02|03|05|06|
2024|02|

リンク

Copyright by T.Suzuki