2018-09-25 / 最終更新日時 : 2025-05-23 xack 技術ブログ

Internet Week 2018 DNS DAY

本記事は、Internet Week 2018 DNS DAYで発表した内容を記事として書き起こし、加筆修正したものです。

DNS flag dayとは

DNSサーバーソフトウェア(※)からEDNS0が正しく実装されていないサーバー向けの回避策を削除する日(2019年2月1日)

※DNSソフトウェアのベンターおよび大規模なパブリックDNSプロバイダーが対象。OSS4製品から拡張になりました。
公式サイトhttps://dnsflagday.net/

回避策を削除するとどうなる

  • 一部または全部の権威サーバーがタイムアウトするようなドメインの名前解決にかかる時間が短くなることが期待される。
  • EDNS0に正しく対応していない権威サーバーの管理するドメイン名が名前解決できなくなるかもしれない(EDNS0はRFC 6891で規定されるDNSの拡張機構)

どうすればいい?

  • EDNS0に正しく対応しているか確認
  • 正しく対応していなければ対応(EDNS0をサポートしないことも含む)
  • トラフィックモデルが変わることが想定されるので必要に応じて検証、チューニングを検討

どうなるのかもう少し具体的に

いつから

  • 2019/2/1以降、ベンダーが回避策を削除したモジュールをリリースし、自身あるいは対向がそのモジュールを適用したら(2/1一斉にではない)

何が

  • 主にフルリゾルバー(キャッシュサーバー)
  • 権威サーバーも対象となることがあると思われる。
  • スタブリゾルバー(クライアント)は、このタイミングでは(あるいは将来的にも?) 、対応しないと思われるが...」

どうなる

フルリゾルバー

【権威サーバーが応答しない場合】
【権威サーバーがEDNS0なしに応答する場合】

マスター権威サーバー

  • ソフトウェアによっては、マスター権威サーバーでも自身が反復問い合わせをするケースがある。
  • BINDの外部名NS向けにNotifyを送信する際など
  • 外部名の名前解決時に対向の権威サーバーがEDNS0に正しく対応していないと、フルリゾルバーと同様の動作となる。
  • 結果、一部権威サーバーに即座にゾーン更新が反映されなくなる。

スレーブ権威サーバー

  • ゾーン転送要求時に大抵SOAを問い合わせる。
  • シリアルが更新なしだとゾーン転送処理をしない。
  • マスター権威サーバーがEDNS0に正しく対応していないとシリアルが取得できない。
  • その後、ゾーン転送要求をするが、ゾーン転送応答が返ってこないとやがて期限切れとなる。(例えばスレーブIPが変わったけれどマスター側で対応していないようなゾーン)
  • 結果、当該ゾーンを応答できなくなる。
  • 回避策がどの通信に適用されなくなるかは明言されていない。
  • ソフトウェアによって例示の通信自体がないケースも(Unboundのゾーン転送時SOAなど)
  • 例示のケース以外にもありそうな気がする。(フォワーダーなど)
  • 管理しているサーバーがどんな通信をしているか把握しよう!
  • ゾーン管理
    • なにはともあれ公式ツールでチェック
    • https://dnsflagday.net/
【DNSサーバー管理者】
  • なにはともあれ公式(に紹介されている)ツールでチェック
    • https://ednscomp.isc.org/ednscomp/
  • チェックに引っ掛かったら
    • 典型的にはソフトウェアかFWの問題らしい。
    • バージョンアップや設定の見直しを。
    • FWはEDNS0を理由にDNSパケットを破棄すべきではありません。
【DNSサーバー管理者(フルリゾルバー)】
  • チェックに引っ掛からなくても
  • バージョンアップ時には検証しましょう。
  • 同時反復問い合わせ数が少なくなるはず。
  • タイムアウト時間が短くなる=TATが短くなるので、スタブリゾルバーからの再送間隔も短くなるかもしれな
【DNSサーバー管理者(権威サーバー)】
  • チェックに引っ掛からなくても。
  • バージョンアップ時には検証しましょう。
  • ゾーン転送の対向はおおよそ想定できると思われるので、あらかじめ挙動を確認しておきましょう。(QPSの増加)
【DNSソフトウェア開発者】
  • なにはともあれ(ry
    • https://gitlab.isc.org/isc-projects/DNS-Compliance-Testing
  • RFC 6891に従って実装しましょう。
  • EDNS0の対応が必須なわけではありません。対応していなければOPTレコードなしのFormErrを応答すればよいです。
  • DNS flag dayに賛同しソフトウェアから回避策を削除するなら、どの場合に削除されるかを明確に。

まとめ

  • 2019/2/1以降、EDNS0の回避策が削除されます。
  • 基本的によい方向に修正されるはずですが、一部名前解決ができなくなることが懸念されています。
  • 事前に検証、対応できることはしておきましょう。
メディア一覧に戻る

XACK製品一覧

XACK DHCP

カバーリンク

XACK DNS

カバーリンク

XACK DDR Director

カバーリンク

XACK RADIUS

カバーリンク

XACK Tester

カバーリンク
コーポレート
メッセージ
会社案内
アクセス
メンバー紹介

課題抽出やどの製品を選定すればよいかの整理からご相談ください

システムの新規構築や更改にお悩みのお客様もお待ちしています。
現状の課題抽出や要件の整理、解決に導くための機能紹介やシステム
構成まで、アプライアンス・ソフトウェア問わずご提案します。

製品資料リクエスト
お問い合わせ
投稿メディアカテゴリ
技術ブログ
技術ブログ

前の記事

DNS Summer Day 2018
2018-06-27
開発ブログ

次の記事

JANOG44 Meeting
2019-07-26