1. タイトル DNS正引きの実態 (JPNIC DNSQC-TF 活動報告) 2. 発表者:藤原 和典 KAZUNORI FUJIWARA 所属: JPRS 3. 時間 2003年1月24日(金) 10:30-11:00 実際 10:37-11:06(発表:10:37-10:51 議論:10:51-11:06) 4. 発表の焦点・論点・議題 ○DNSQCとは ・2002年の5月ごろから始まったタスクフォース ・WIDE, JPNIC, JPRSのジョイントプロジェクト ・JPゾーンのサイトをチェックし、可能な限り直すのが目的 ○チェック項目 ・SOAのメールアドレスは間違っていないか、ホスト名の中に_は入ってないか ・NSレコードのホスト名の中に_は入ってないか ・NS, MXレコードにプライベートアドレスがないか ・親に書いてあるNSリストとゾーンのNSリストが一致してるか ・Lame Delegationかどうか(後述) ・NSレコードのホスト名にCNAMEを用いていないか  →RFC違反であり、重要な問題 ・MXレコードのホスト名にCNAMEを用いていないか  →sendmail/qmail/postfix等では動くが、届かないアプリケーションもあり得る ・到達できないネームサーバはないか  →実際には何度かチェックし、1週間ずっと到達できない場合エラー等 ○Lame Delegation ・上位から指定されたネームサーバが、ゾーンの情報を持っていない場合をLAMEという ・最初は正しく設定されていたが、後にマスターが消え、スレーブだけで運用している エラー例もある ・一部がLameでも再問い合わせが発生し、無駄なトラフィックに ◯親のNSリストとゾーンのNSリストが異なる場合 ・問題が少ないケース:親⊆子 ・問題が多いケース:子⊂親 →・子にLameがある   ・子のNSの内容が不一致   ⇒検索結果に一貫性無し ○チェックプログラムについて ・sohgo@wideさんが開発 ・2400行のperlプログラム ・クエリーにdigを使用 →待ち時間が発生するので、将来的にはNET::DNSかselectに変更 ・測定環境 →・メモリ4GのFreeBSD   ・IPv6の接続には6to4を使用   ・近いうちに大手町に設置 ・2日間で47万ドメインを消化できる ○測定結果(2003年1月19日 現在) ・45.5万ドメイン中、37.9%がなんらかのエラー →・COドメインでは30%  ・汎用ドメインでは50%   ・日本語ドメインでは9割近く ・SOAやプライベートアドレスの問題は少ない ・Lame →・上位と下位のNSが違う:どのドメインでも2〜3割   ・ゾーンに到達できない:日本語ドメインが79%(それ以外は10%ほど) ・ネームサーバに到達できなかったもの →・汎用ドメインでは2割   ・日本語ドメインでは79%   ・それ以外は10%程度 ・MXレコードにCNAMEがあるケースが3.6% ・orやneにエラーが多い ○エラーに関する考察 ・日本語ドメインにLAMEが多い理由 →以前のJPドメイン規則ではネームサーバが不可欠であり   そのまま運用している事業者が多い   日本語ドメインはとりあえず保持しているという人が多いのではないか IP Meetingで、ドメインごとのエラー率調査のリクエストがあった ・ad.jpのケース →・570のサーバが17万ドメイン(1サーバ当たり300ドメイン)  ・なんらかのエラーがあるのが平均83ドメイン⇒4分の1がエラー ○改善に向けて ・連絡方法をどうするか →メール、電話、指定事業者経由 ・ダメなところはNSレコードをとってしまう⇔Delegationしない  という強烈な意見もある ・チェック環境を作ってユーザに調べてもらうか? →・Webインターフェースが必要  ・どうも他人に自分のところを知られてもらいたくない  ・JPNICでチェックページを作ると、(エラードメインは)JPNICが   ダメと認定したことになるのだろうか?   →・善意の第三者が作るならそうはならないか?    ・DNSQCが規格を作りそれを実装するのは第三者にするか? 5. 議論 ○議論したい点 ・チェックページがあったとして、いいか?悪いか? →・指摘されて嬉しいか   ・2chにダメなドメインとして公開されてもよいか ・ドメイン名さえわかればDNSクエリーするだけ ・どうやって指摘すると直してもらえるか ○DNSの設定について ・DNSの管理者で、自分の設定に自信がある人はあまりいない ・自分のをチェックしようという認識はあるが  他人からチェックできてしまうのはどうなんだろう ○設定テストツールについて ・Apacheに付属しているような設定テストツールを作成し  BINDに入れてはどうか? →・ISCのPaul Vixieさんも現状を憂いていてチェックツールが必要という話があった。   ・Microsoftがdnslintというツールを出していて、結果が分かりやすい(仕様がやや不安) (民田さんによる補足として)けっこう使える。 # http://www.microsoft.com/serviceproviders/downloads/dnslint_P123867.asp  ・フリーのツールの存在を知っている人は少ない ○チェック結果の連絡について ・他人のところをチェックして知らせてあげようという人は少ない →JPRSやJPNICが指摘すると良いのではないか? →それが、JPRSが今回の調査をはじめたモチベーション?     Lame delegation等の設定間違いってのは、ひどいときは、     JPのDNSへの異常なトラフィックになったりするので     そういうのを減らしたいというのもある ・LAMEでも本人は問題なく利用できてしまって、他人にだけ迷惑がかかることが多いの で、Delegationを止めるのも1つの手ではないだろうか? ・JPNICが設立され誰でもドメインを取れる頃から、エラーが増えてきたようだ ・バーチャルドメインによるレンタルサーバを運営している事業者にエラーが多い これらを直していくと効果的なようだ ・ツールを公開すると公開サイトが、そのツールの的になってしまうため  公開しづらいのではないか? ・ブロードバンド化によって、無駄なトラフィックを気にしなくなったのも  問題かも知れない ・2chに載せられる可能性があってもチェックできる機構を提供した方がよいか? →そこそこの人数が賛同 6. まとめ DNSQCの調査により、多くのDNSで設定ミスがあることがわかってきている ・公開テストツールを用意した方が良いのか ・誰が調べて、どうやって連絡するのか など、検討課題は多い。 7. 所感 セッション中に「DNSの設定ミスがJPのrootサーバへの異常トラフィックなどの問題 を引きおこす」という話が出ていましたが、管理者自身にそれほど被害は無いので、 参加者にそれほど危機感が無いように感じました。このようなセッションを定期的に 開催し、少しずつ、管理者や世間の意識を高めていくのが良いような気がします。 8. ロガー 宍倉弘祐 (早稲田大学)