011-01: 逆引き DNS の lame delegation 改善に関する提案

概要

[提案ID]

[提案タイトル]

[提案内容]

[提案者]

ip-users ML (JPNIC-IP-USERS 1129) に提案者より投稿されました,提案内容の詳細です

『逆引きDNSのlame delegationの改善に関する提案』

1. 概要

JPNICの管理する逆引きDNSにおいて、lame delegationとなっているネームサー
バを調査・検知し、一定期間lame delegationの状態が継続する場合、JPNICか
らそのネームサーバへの逆引きゾーンの委任を停止します。

  lame delegationとなっているゾーンの委任を停止するまでの順序は以下の
  通り:

 (1) 逆引きDNSのゾーン委任の状態を調査し、lameの状態が継続しているネー
     ムサーバを検知

 (2) そのゾーンに該当するIPアドレスの割り当て先、および上位の割り振り
     先技術連絡担当者へ通知

 (3) 逆引きDNSのゾーン委任を停止し、lameにより停止した旨whoisに表示

 (4) 委任停止したネームサーバのlameの状態が修正され次第、ゾーンの委任
     が再開

2. lame delegationによる影響

逆引きDNSがlame delegationになっていると以下のような影響が出ます。

  ・lameのゾーンに含まれるユーザがインターネット上のサービスを利用する
    ときに、動作が遅くなる

     + 接続元を確認する目的などで名前解決を行うとき、lameにより遅延や
       リトライが発生するため

  ・名前解決ができないことにより、サービスが利用できない

     + メールの送受信, アクセスコントロールなど

  ・キャッシュサーバと、rootからそのゾーンまでの各権威サーバ間で無駄な
    DNSトラフィックが増大する。

     + リトライやネームサーバ名の誤りなど

  ・lame delegationは問題のあるドメイン内のすべてに影響する

     + DNSは階層構造を持っているため、親(rootに近い)ドメインのlame
       delegationが解消されない限り、そのドメインに含まれるゾーンのユー
       ザは、正しくDNSを設定していたとしても悪影響を受ける

3. lame delegationの定義

本提案では、以下の状態のいずれかであるとき、そのネームサーバはlame
delegationであると判断し、逆引きゾーンの委任を停止します。

  (1) TCPおよびUDP port53へのDNSクエリに応答しない
  (2) 委任されたゾーンのSOAについての問い合わせに対し応答がない
  (3) 委任されたゾーンのSOAについての応答にAAビットがついていない

4. 詳細

以下の手順でlame delegationを改善します。

  (1) lame delegationの検知

      1日1回、JPNIC管理下の対象逆引きゾーンについて、登録されたネーム
      サーバがlame delegationになっているかどうかを調査する。

  (2) lame状態の確認

      15日間継続してlame delegationを検知した場合、ネットワーク障害・
      誤検知・一時的なサービス停止などによるものではなく、恒常的にlame
      delegation になっていると判断する。

  (3) lame状態の通知

      lame delegationと判断されたゾーンに該当するIP アドレスを管理する
      技術連絡担当者(割り振り先・割り当て先の双方)へ、該当ネームサーバ
      がlame delegationとなっていることを通知する。通知は週1回、繰り返
      し行う。

  (4) 委任の停止

      通知開始後30日(最初にlameを検知してから45日)経過してもlame
      delegationが改善されない場合、JPNICの逆引きゾーンファイルから該
      当NSレコードをゾーンから削除する。それと同時に、whoisの該当する
      ネットワーク情報にlameであると表示する。これによりlame
      delegationとなっているネームサーバへの逆引きDNSのゾーンの委任が
      停止する。

  いずれの場合でも、ネームサーバが正しく設定され、lame delegationが改
  善された時点で(1)へ戻ります。(4)の状態で委任が停止していた場合は、削
  除対象のNSレコードが復旧し、ゾーンの委任が再開されます。

4.2. ネームサーバ登録申請

  割り当て報告申請、ネットワーク情報変更申請、逆引きネームサーバ追加・
  削除申請時には、ネームサーバのlame調査は行いません。

  また、割り振り・割り当て報告申請時にネームサーバが未設定である場合は、
  ネームサーバの欄を空白にしたままで申請し、後日ネームサーバを設定完了
  した時点で再度申請してください。

5. 対象

JPNICの管理しているIPアドレス(v4/v6)のうち、以下のアドレスの逆引きゾー
ンが対象となります。

  (1) JPNICのIPアドレス管理指定事業者に割り振りが行われているアドレス
      ブロック

  (2) 特殊用途用プロバイダ非依存アドレス

  (3) 歴史的経緯を持つプロバイダ非依存アドレスのうち、割り当て先組織に
      管理用のIDとパスワードが発行されているアドレスブロック

6. 影響

上記2.の影響が減少することが期待されます。

7. RIRでのlame delegationに対する取り組み

すでに各RIRでもlameに対する取り組みを行っており、本提案はそれらを参考
に検討を行いました。

APNIC:
  http://www.apnic.net/docs/policy/proposals/prop-004-v001.html

ARIN:
  http://www.arin.net/policy/2002_1.html

LACNIC:
  http://lacnic.net/en/politicas/lame.html

RIPE NCC:
  http://www.ripe.net/ripencc/pub-services/stats/revdns/


8. 参考

8.1. lame delegationの割合

lame delegationとなっているネームサーバは、全体に占める割合は調査開始
以来ほぼ横ばいですが、その数は増加傾向にあります。推移については以下の
pdfファイル(IPアドレス管理指定事業者連絡会資料の抜粋)をご参照ください。

 http://www.nic.ad.jp/dns-survey/lame-revdns-061020.pdf

8.2. TCP port53への問い合わせ

2006年10月20日にJPNIC管理下のゾーンに登録されているネームサーバに対し、
TCP53での問い合わせを行った結果、応答しなかったサーバ・NSレコードの数
は以下の通りとなりました:

     TCP53への問い合わせに応答しないサーバ数:  638/6348   (約10%)
                          同       NS RRの数: 9513/284992 (約3%)

8.3. ネットワーク到達性

lameの調査は、JPNICネットワーク内のサーバから各ネームサーバへ問い合わ
せをすることで行います。そのため、その間のネットワーク到達性が消失した
場合、DNS問い合わせに対して応答がないとして、該当ネームサーバはlameで
あると判断することになります。

しかし、4.  のとおり逆引き委任停止は45(15+30)日間の調査において継続し
てlameであることが条件ですので、一時的な到達性の消失では委任停止とはな
りません。

8.4. メールの到達性

各技術連絡担当者へはメールにてlameの通知を行うことになりますので、その
メールアドレスへの到達性が確保されていることが重要です。取り組み開始に
前もって登録情報の更新をお願いします。

以上

提案の履歴

アクティビティ

日付

状態

参照

MLへの投稿

2006年11月21日

JPNIC-IP-USERS 1141

JPOPM11での発表

2006年12月7日

JPOPM11にて議論されました。

発表資料(PDF)議事録

MLでのコメント募集

2006年12月26日

JPNIC-IP-USERS 1153 にてアナウンス

MLでのコメント募集

2007年1月19日

コメント募集期間終了.コメントなし,コンセンサス確定

実装勧告

2007年2月13日

ポリシーWGよりJPNICにポリシーの実装を勧告

実装完了

2008年7月1日

JPNICよりアナウンス(実装完了)

逆引きネームサーバの適切な設定についてのお願い関連情報