011-01: 逆引き DNS の lame delegation 改善に関する提案
概要
[提案ID]
- 011-01
[提案タイトル]
- 逆引き DNS の lame delegation 改善に関する提案
[提案内容]
- 現状の問題
DNSではその階層的な構造のためにネームサーバの階層的な位置が上位になるほど影響範囲は大きくなる。逆引きDNSにおいてもこの点は例外ではなく、逆引きネームサーバが不適切に設定されている状況(Lame Delegation)では、その該当IPアドレス範囲内の逆引き問い合わせが正常に行われない事に起因し、アプリケーションサービス全てに影響がでる可能性がある。
こうした状況を改善するため、JPNICから割り振られたアドレス範囲内の逆引きDNSがlame delegationとなるゾーンに対しては、JPNIC管理下の逆引きの委任をしない措置を導入したい。
- 提案が採択された場合
- 想定されるメリット、デメリット
- メリット
- DNSの逆引きが正常に行われるようになることで健全なインターネットの運用に貢献できる
- デメリット
- 特になし
- メリット
- 影響をうける対象(指定事業者、JPNIC、ユーザなど)
- JPNIC
- レジストリシステムの改修が必要
- ユーザおよび指定事業者への対応業務の負荷が増える
- 指定事業者・ユーザ
- DNSの逆引き設定を正しく行うことが必要である
- 指定事業者での業務フローを変更しなければならない場合がある
- JPNIC
- 想定されるメリット、デメリット
[提案者]
- 小山 祐司 (JPNIC)
ip-users ML (JPNIC-IP-USERS 1129) に提案者より投稿されました,提案内容の詳細です
『逆引きDNSのlame delegationの改善に関する提案』 1. 概要 JPNICの管理する逆引きDNSにおいて、lame delegationとなっているネームサー バを調査・検知し、一定期間lame delegationの状態が継続する場合、JPNICか らそのネームサーバへの逆引きゾーンの委任を停止します。 lame delegationとなっているゾーンの委任を停止するまでの順序は以下の 通り: (1) 逆引きDNSのゾーン委任の状態を調査し、lameの状態が継続しているネー ムサーバを検知 (2) そのゾーンに該当するIPアドレスの割り当て先、および上位の割り振り 先技術連絡担当者へ通知 (3) 逆引きDNSのゾーン委任を停止し、lameにより停止した旨whoisに表示 (4) 委任停止したネームサーバのlameの状態が修正され次第、ゾーンの委任 が再開 2. lame delegationによる影響 逆引きDNSがlame delegationになっていると以下のような影響が出ます。 ・lameのゾーンに含まれるユーザがインターネット上のサービスを利用する ときに、動作が遅くなる + 接続元を確認する目的などで名前解決を行うとき、lameにより遅延や リトライが発生するため ・名前解決ができないことにより、サービスが利用できない + メールの送受信, アクセスコントロールなど ・キャッシュサーバと、rootからそのゾーンまでの各権威サーバ間で無駄な DNSトラフィックが増大する。 + リトライやネームサーバ名の誤りなど ・lame delegationは問題のあるドメイン内のすべてに影響する + DNSは階層構造を持っているため、親(rootに近い)ドメインのlame delegationが解消されない限り、そのドメインに含まれるゾーンのユー ザは、正しくDNSを設定していたとしても悪影響を受ける 3. lame delegationの定義 本提案では、以下の状態のいずれかであるとき、そのネームサーバはlame delegationであると判断し、逆引きゾーンの委任を停止します。 (1) TCPおよびUDP port53へのDNSクエリに応答しない (2) 委任されたゾーンのSOAについての問い合わせに対し応答がない (3) 委任されたゾーンのSOAについての応答にAAビットがついていない 4. 詳細 以下の手順でlame delegationを改善します。 (1) lame delegationの検知 1日1回、JPNIC管理下の対象逆引きゾーンについて、登録されたネーム サーバがlame delegationになっているかどうかを調査する。 (2) lame状態の確認 15日間継続してlame delegationを検知した場合、ネットワーク障害・ 誤検知・一時的なサービス停止などによるものではなく、恒常的にlame delegation になっていると判断する。 (3) lame状態の通知 lame delegationと判断されたゾーンに該当するIP アドレスを管理する 技術連絡担当者(割り振り先・割り当て先の双方)へ、該当ネームサーバ がlame delegationとなっていることを通知する。通知は週1回、繰り返 し行う。 (4) 委任の停止 通知開始後30日(最初にlameを検知してから45日)経過してもlame delegationが改善されない場合、JPNICの逆引きゾーンファイルから該 当NSレコードをゾーンから削除する。それと同時に、whoisの該当する ネットワーク情報にlameであると表示する。これによりlame delegationとなっているネームサーバへの逆引きDNSのゾーンの委任が 停止する。 いずれの場合でも、ネームサーバが正しく設定され、lame delegationが改 善された時点で(1)へ戻ります。(4)の状態で委任が停止していた場合は、削 除対象のNSレコードが復旧し、ゾーンの委任が再開されます。 4.2. ネームサーバ登録申請 割り当て報告申請、ネットワーク情報変更申請、逆引きネームサーバ追加・ 削除申請時には、ネームサーバのlame調査は行いません。 また、割り振り・割り当て報告申請時にネームサーバが未設定である場合は、 ネームサーバの欄を空白にしたままで申請し、後日ネームサーバを設定完了 した時点で再度申請してください。 5. 対象 JPNICの管理しているIPアドレス(v4/v6)のうち、以下のアドレスの逆引きゾー ンが対象となります。 (1) JPNICのIPアドレス管理指定事業者に割り振りが行われているアドレス ブロック (2) 特殊用途用プロバイダ非依存アドレス (3) 歴史的経緯を持つプロバイダ非依存アドレスのうち、割り当て先組織に 管理用のIDとパスワードが発行されているアドレスブロック 6. 影響 上記2.の影響が減少することが期待されます。 7. RIRでのlame delegationに対する取り組み すでに各RIRでもlameに対する取り組みを行っており、本提案はそれらを参考 に検討を行いました。 APNIC: http://www.apnic.net/docs/policy/proposals/prop-004-v001.html ARIN: http://www.arin.net/policy/2002_1.html LACNIC: http://lacnic.net/en/politicas/lame.html RIPE NCC: http://www.ripe.net/ripencc/pub-services/stats/revdns/ 8. 参考 8.1. lame delegationの割合 lame delegationとなっているネームサーバは、全体に占める割合は調査開始 以来ほぼ横ばいですが、その数は増加傾向にあります。推移については以下の pdfファイル(IPアドレス管理指定事業者連絡会資料の抜粋)をご参照ください。 http://www.nic.ad.jp/dns-survey/lame-revdns-061020.pdf 8.2. TCP port53への問い合わせ 2006年10月20日にJPNIC管理下のゾーンに登録されているネームサーバに対し、 TCP53での問い合わせを行った結果、応答しなかったサーバ・NSレコードの数 は以下の通りとなりました: TCP53への問い合わせに応答しないサーバ数: 638/6348 (約10%) 同 NS RRの数: 9513/284992 (約3%) 8.3. ネットワーク到達性 lameの調査は、JPNICネットワーク内のサーバから各ネームサーバへ問い合わ せをすることで行います。そのため、その間のネットワーク到達性が消失した 場合、DNS問い合わせに対して応答がないとして、該当ネームサーバはlameで あると判断することになります。 しかし、4. のとおり逆引き委任停止は45(15+30)日間の調査において継続し てlameであることが条件ですので、一時的な到達性の消失では委任停止とはな りません。 8.4. メールの到達性 各技術連絡担当者へはメールにてlameの通知を行うことになりますので、その メールアドレスへの到達性が確保されていることが重要です。取り組み開始に 前もって登録情報の更新をお願いします。 以上
提案の履歴
アクティビティ |
日付 |
状態 |
参照 |
|
MLへの投稿 |
2006年11月21日 |
JPNIC-IP-USERS 1141 |
|
|
JPOPM11での発表 |
2006年12月7日 |
JPOPM11にて議論されました。 |
||
MLでのコメント募集 |
2006年12月26日 |
JPNIC-IP-USERS 1153 にてアナウンス |
|
|
MLでのコメント募集 |
2007年1月19日 |
コメント募集期間終了.コメントなし,コンセンサス確定 |
|
|
実装勧告 |
2007年2月13日 |
ポリシーWGよりJPNICにポリシーの実装を勧告 |
|
|
実装完了 |
2008年7月1日 |
JPNICよりアナウンス(実装完了) |