Internet Week 2005 - DNS DAY - OCN Lameクエリの現状など

1. 1
Internet Week 2005
-DNS DAY-
OCN Lameクエリの現状など
NTTコミュニケーションズ（OCN）
吉村 知夏 / yosimura@ocn.ad.jp

2. 2
今日の概要
1. Lameクエリの現状
n OCNのトラフィックデータより
n エンドユーザから来るクエリの現状
2. “危ない”ドメインの現状(簡単に)
n NSのwhois登録がExpireしているドメイン
n OCNでの現状、対応方法

3. 3
1. Lameクエリの現状

4. 4
1-1. Lameとは
n Lameとは
n 権限委譲されたDNSサーバが正しく動いていない
状態
n 権限委譲設定（NSレコード）は存在するが、委譲
先のDNSサーバが応答しない など
n 無駄なトラフィックを引き起こす
n OCNでの現状は？
n “Lameになる”クエリは？

5. 5
1-2. Lameになる割合
(OCN キャッシュDNSサーバより)
OCNキャッシュDNSサーバ Lameクエリ率率率
(2005/11/18-‐‑‒23)
0.00%
1.00%
2.00%
3.00%
4.00%
5.00%
6.00%
2005/11/18
2005/11/19
2005/11/20
2005/11/21
2005/11/22
2005/11/23
■ DNSサーバ1
■ DNSサーバ2
• OCNのキャッシュ
DNSサーバで調査
(2005/11/18-23)
• 総クエリのうち、
3～4％前後が
Lameになる
• なぜ？

6. 6
1-3. Lameクエリの内訳
(OCN キャッシュDNSサーバより)
ドメイン別Lameクエリ（11/18-‐‑‒23）
61%
7%
2% 0% 0% 1% 0% 1% 0% 0%
4%
12%
5%
1%
5%
0.00%
10.00%
20.00%
30.00%
40.00%
50.00%
60.00%
70.00%
in-addr.arpa
co.jp
ne.jp
gr.jp
ad.jp
ac.jp
ed.jp
or.jp
go.jp
lg.jp
jp
com
net
org
etc
• in-addr.arpa
（逆引き）の名前
解決時にLame
になっている
（およそ60%）
• comもやや多
め
逆引き名
前解決の
Lame
.cn, .tw,
.infoなど

7. 7
1-4. 逆引きのLame
n なぜ逆引きLameが
多いのか
n Cクラス未満の権限
委譲が上手くいって
いない
n /25以下の権限委譲
n 委譲設定がわかりにくい
n CNAMEで委譲する方法
がよく紹介されるが…
160.139.203.in-addr.arpaの
権威DNSサーバ
DNS-A
0-127.160.139.203.in-addr.arpaの設
定がされていない
【160.139.203.in-addr.arpa】
0-127.160.139.203.in-addr.arpa. IN NS DNS-A
0-127.160.139.203.in-addr.arpa. IN NS DNS-B
1.160.139.203.in-addr.arpa. IN CNAME
1.0-127.160.139.203.in-addr.arpa.
DNS-B
203.139.160.0/25を権限委譲

8. 8
1-5. 逆引きの需要
OCN DNSサーバ QTYPE別推移（％）
2003/05/01〜～2005/11/29
0.0%
10.0%
20.0%
30.0%
40.0%
50.0%
60.0%
70.0%
80.0%
2003/5/1
2003/6/1
2003/7/1
2003/8/1
2003/9/1
2003/10/1
2003/11/1
2003/12/1
2004/1/1
2004/2/1
2004/3/1
2004/4/1
2004/5/1
2004/6/1
2004/7/1
2004/8/1
2004/9/1
2004/10/1
2004/11/1
2004/12/1
2005/1/1
2005/2/1
2005/3/1
2005/4/1
2005/5/1
2005/6/1
2005/7/1
2005/8/1
2005/9/1
2005/10/1
2005/11/1
A(%)
NS(%)
PTR(%)
MX(%)
逆引き名前解
決要求
n 逆引きってそんなに重要なの？
n クエリ全体の40％を占める

9. 9
1-6. Lameを減らすために
n 逆引きの委譲間違いを減らす
n /25以下の権限委譲方法がトリッキー
n そもそもあまり真面目に設定してない？
n OCNでは、委譲時に確認をしています
n 皆さんの逆引き委譲状態は大丈夫ですか？
n 思ったよりも、逆引きは使われている
n OCN DNSトラフィックの4割は逆引き要求

10. 10
2. “危ない”ドメインの現状

11. 11
ocn.jp. IN NS dns1.example.com
2-1. ドメイン乗っ取り問題
n 乗っ取りの仕組み
n ocn.jpのNSレコードである”example.com”が、誰
でも取得できる状態に
n example.comを取得すれば、” dns1.example.com”が立て
られる
n ” dns1.example.com”が立てられれば、ocn.jpのDNSとし
て振舞える
n ocn.jpを乗っ取ることができる！

12. 12
2-2. OCNでの現状
n NSレコードの右側がexpireしているドメイン
n OCNではどのくらいあるのか？（JPドメイン中）
n 【汎用ドメイン】0.03%以下 【属性ドメイン】0.01%以下
n OCNでの対応
n お客様に通知の上、NSレコードの削除、修正をしている
n お返事を頂けないお客様も多い
n JP以外のドメインについては未調査
+++.co.jp. IN NS ns-XXX.onc.ad.jp.
+++.co.jp. IN NS ns.XXX.jp.

13. 13
2-3. ドメインがexpireしたとき…
n 2004年2月に発生
n あるユーザサポート系のドメイン登録がExpire
n 「仕事にならない！！」と申告
n 該当ドメインのqueryを、相手のDNSにforwardした
n 2005年秋に発生
n あるポータルサイトのドメイン登録がExpire
n Network SolutionsのWEBページが表示される
n （whois登録完了後、）該当ドメインをキャッシュクリア
n ドメインExpireによる対応は、ここ2～3年で2回ほど
行っている

14. 14
2-4. expireを防ぐために
n 「うっかりミス」は免れないのか
n 自分のドメイン登録期間はしっかり見ているべき
n ISP（レジストラ）として出来ること
n 基本的には自動更新をしている
n 40, 60, 90日前にリマインダメールを送信
n メールが届かない場合
n 決裁がうまくいかない場合
n 基本的には自己責任