Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.
「DNS浸透いうな」
と言うけれど…
そういえば、どこに「浸透」するのだろう?
OSC2018 Tokyo/Spring
日本Unboundユーザー会
@goto_ipv6
質問
• どこに「浸透」したら、あなたは満足ですか?
• 具体的に言えますか?
• 「浸透」というのだから、どこかに「浸透」するはずな
のです
• ここでは、そのあたりをちょっと考えてみたいと思
います
自己紹介
• 名前 : 後藤 芳和
• 「JANOG 後藤 芳和」でググってください
• Twitter : @goto_ipv6
• https://www.slideshare.net/goto_ipv6
• https://togette...
浸透するかも候補
• アプリケーション
• Webブラウザーとか
• Lightweight Languageも
• OS
• Windows
• Linux (Ubuntu, CentOS, Debian, Gentoo, RHELなど)
•...
アプリケーションへ浸透?
• 得られたドメイン名についての情報をキャッ
シュする?
• いつまでキャッシュしていればよいのかわからない
ので、なかなかこんな実装はない(はず)
• OSを介さずに独自で名前解決する?
• 名前解決に必要な情報をど...
OSへ浸透?
• OSではなくてlibc/glibcといった「ライブラリ」
がアプリからの名前解決要求を受け付ける
• この機能を「スタブリゾルバ」という
• 当然、「キャッシュ」機能なんて持っていない
• でも、「キャッシュ」機能を持ったOS...
フルリゾルバーへ浸透?
• スタブリゾルバからの要求を受けて、実際に名
前解決をするサーバー
• Unboundが有名 ;-)
• Iterative(反復的)な問い合わせ「動作」をする
• DNSメッセージとしては「再帰のフラグ(RD bit...
キャッシュへ浸透?
• 問い合わせ要求を受けたときの、最終的な結果
を保持
• 要求を受けないと保持されないので「浸透」しない
• TTLが切れるまで情報は有効なので「浸透」しない
• 「要求されたドメイン名(など)はありませんで
した」という...
権威サーバーへ浸透?
• ドメイン名などの情報を保持するサーバー
• その「ドメイン」に関する名前についての情報しか
知らない
• www.example.jpのIPアドレス情報を、jpドメインの権威
サーバー(a.dns.jpなど)が保持する...
その他にも?
• 既存の権威サーバーを新しいサーバーへ切り替
える手順を間違えると「DNSが浸透しない」
「DNSが反映されない」状態となる
• ドメイン名の委譲元への変更「申請」と、権威サー
バーに対するドメイン名の変更「作業」とを区別し
な...
そもそも既存の説明が悪い?
• 今までの説明(絵)ではそれぞれの登場人物が一
つずつなのが大半
• ルートサーバー
• jp の権威サーバー
• example.jp の権威サーバー
• フルリゾルバー
• クライアント(アプリケーション)
よくある例
簡略化して説明するのが
目的なのでこれはこれで
仕方がない
ルートサーバー
jp の権威サーバー
example.jp の
権威サーバー
フルリゾルバー
クライアント
本来はこんな世界
• 登場人物があっちこっちに存在し、OSもアプ
リケーションもいっぱい存在する
• アプリケーション
• OS
• フルリゾルバー(キャッシュDNSサーバー)
• ISPの数以上、あると言っても過言ではない
• 権威サーバー(...
DNS関係者はいっぱいいる
a.root-servers.net b.root-servers.net c.root-servers.net
a.dns.jp b.dns.jp / c.dns.jp d.dns.jp
ns1.example.j...
よく考えてみて!
• これら全てに「浸透」すると思うのはそもそも
おかしい
• p.3 に書いた質問を思い出してください
• どこに「浸透」したら、あなたは満足ですか?
• ドメイン名だって、星の数ほど存在する
• これら全部、キャッシュで保持...
気持ち悪いですよね?
• あなたが使っている「アプリケーション」
• あなたが使っている「OS」
• あなたが構築した「フルリゾルバー」
• あなたが使っている「権威サーバー」
• これらに、他人のデータが「浸透」してきたら
うれしいですか?
見るべき資料
• 浸透いうな!
• http://www.e-ontap.com/dns/propagation/
• ネガティブキャッシュについて
• http://www.e-ontap.com/dns/onsen4/index.html
...
まとめ
• 「浸透」する先は存在しません
• 「反映」は、いろいろな意味を含むので、適切に使
いましょう
• DNSを勉強しましょう!
• 「浸透」を待たなくても、作業確認のための正しい
方法はあります
• フルリゾルバーの気持ちになって、di...
Nächste SlideShare
Wird geladen in …5
×

「DNS浸透いうな」と言うけれど… (OSC 2018 Tokyo/Spring)

224 Aufrufe

Veröffentlicht am

そういえば、どこに「浸透」するのだろう?
そんなことを、技術的目線から一つ一つ再確認してみました。

Veröffentlicht in: Internet
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

「DNS浸透いうな」と言うけれど… (OSC 2018 Tokyo/Spring)

  1. 1. 「DNS浸透いうな」 と言うけれど… そういえば、どこに「浸透」するのだろう? OSC2018 Tokyo/Spring 日本Unboundユーザー会 @goto_ipv6
  2. 2. 質問 • どこに「浸透」したら、あなたは満足ですか? • 具体的に言えますか? • 「浸透」というのだから、どこかに「浸透」するはずな のです • ここでは、そのあたりをちょっと考えてみたいと思 います
  3. 3. 自己紹介 • 名前 : 後藤 芳和 • 「JANOG 後藤 芳和」でググってください • Twitter : @goto_ipv6 • https://www.slideshare.net/goto_ipv6 • https://togetter.com/id/goto_ipv6 • 仕事でDNSを運用しているわけではありません • 趣味でもないと思っていますが…
  4. 4. 浸透するかも候補 • アプリケーション • Webブラウザーとか • Lightweight Languageも • OS • Windows • Linux (Ubuntu, CentOS, Debian, Gentoo, RHELなど) • BSD系 (FreeBSD, NetBSD, OpenBSDなど) • フルリゾルバー(キャッシュDNSサーバー) • 権威サーバー(コンテンツサーバー)
  5. 5. アプリケーションへ浸透? • 得られたドメイン名についての情報をキャッ シュする? • いつまでキャッシュしていればよいのかわからない ので、なかなかこんな実装はない(はず) • OSを介さずに独自で名前解決する? • 名前解決に必要な情報をどうやって得るの? • OSから得たとして、OS側で設定が変わったときに追随で きる? • OSにその機能があるのに、車輪を再発明するの?
  6. 6. OSへ浸透? • OSではなくてlibc/glibcといった「ライブラリ」 がアプリからの名前解決要求を受け付ける • この機能を「スタブリゾルバ」という • 当然、「キャッシュ」機能なんて持っていない • でも、「キャッシュ」機能を持ったOS(やディ ストリビューション)も存在する • デーモンやサービスとして実装されている • 例) Ubuntu (systemd-resolved), FreeBSD (local_unbound), Windows (DNS Client) • お?
  7. 7. フルリゾルバーへ浸透? • スタブリゾルバからの要求を受けて、実際に名 前解決をするサーバー • Unboundが有名 ;-) • Iterative(反復的)な問い合わせ「動作」をする • DNSメッセージとしては「再帰のフラグ(RD bit)無 し」であり「非再帰問い合わせ」と言います • RFC 1034に書いてあります ;-> • 「キャッシュ」機能を持つことが多い • お?
  8. 8. キャッシュへ浸透? • 問い合わせ要求を受けたときの、最終的な結果 を保持 • 要求を受けないと保持されないので「浸透」しない • TTLが切れるまで情報は有効なので「浸透」しない • 「要求されたドメイン名(など)はありませんで した」という情報も保持される • 「ネガティブキャッシュ」という • これにもTTLがあるので、その期間中はずっと、要 求に対して「ありませんでした」という応答が続く • 「DNSが浸透しない」ことの原因の一つ
  9. 9. 権威サーバーへ浸透? • ドメイン名などの情報を保持するサーバー • その「ドメイン」に関する名前についての情報しか 知らない • www.example.jpのIPアドレス情報を、jpドメインの権威 サーバー(a.dns.jpなど)が保持することはない • ドメイン名の委譲元の権威サーバーへ「浸透」すること はない • ドメイン名の変更作業では実際に変更するため、結 果として作業内容が「即時反映」される • 「浸透」するわけではない • ゾーン転送は自分で制御可能 • そもそも「浸透」でもない
  10. 10. その他にも? • 既存の権威サーバーを新しいサーバーへ切り替 える手順を間違えると「DNSが浸透しない」 「DNSが反映されない」状態となる • ドメイン名の委譲元への変更「申請」と、権威サー バーに対するドメイン名の変更「作業」とを区別し なければならない • 前者は、作業タイミングがわからないことも • 後者は、引越し元と引越し先の両方への作業が必要だが 特に引越し元の方の作業を忘れがち
  11. 11. そもそも既存の説明が悪い? • 今までの説明(絵)ではそれぞれの登場人物が一 つずつなのが大半 • ルートサーバー • jp の権威サーバー • example.jp の権威サーバー • フルリゾルバー • クライアント(アプリケーション)
  12. 12. よくある例 簡略化して説明するのが 目的なのでこれはこれで 仕方がない ルートサーバー jp の権威サーバー example.jp の 権威サーバー フルリゾルバー クライアント
  13. 13. 本来はこんな世界 • 登場人物があっちこっちに存在し、OSもアプ リケーションもいっぱい存在する • アプリケーション • OS • フルリゾルバー(キャッシュDNSサーバー) • ISPの数以上、あると言っても過言ではない • 権威サーバー(コンテンツサーバー) • 冗長構成を取っているため多数に
  14. 14. DNS関係者はいっぱいいる a.root-servers.net b.root-servers.net c.root-servers.net a.dns.jp b.dns.jp / c.dns.jp d.dns.jp ns1.example.jp ns2.example.jp フルリゾルバ クライアント http://www.dns.jp/index-j.html https://www.iana.org/domains/root/servers
  15. 15. よく考えてみて! • これら全てに「浸透」すると思うのはそもそも おかしい • p.3 に書いた質問を思い出してください • どこに「浸透」したら、あなたは満足ですか? • ドメイン名だって、星の数ほど存在する • これら全部、キャッシュで保持するの? • できません
  16. 16. 気持ち悪いですよね? • あなたが使っている「アプリケーション」 • あなたが使っている「OS」 • あなたが構築した「フルリゾルバー」 • あなたが使っている「権威サーバー」 • これらに、他人のデータが「浸透」してきたら うれしいですか?
  17. 17. 見るべき資料 • 浸透いうな! • http://www.e-ontap.com/dns/propagation/ • ネガティブキャッシュについて • http://www.e-ontap.com/dns/onsen4/index.html • JPRS さんの資料 • https://jprs.jp/related-info/guide/019.pdf • https://jprs.jp/tech/material/iw2011-lunch-L1-01.pdf • 浸透問題を解説してくださっています • https://jprs.jp/tech/material/iw2012-lunch-L3-01.pdf
  18. 18. まとめ • 「浸透」する先は存在しません • 「反映」は、いろいろな意味を含むので、適切に使 いましょう • DNSを勉強しましょう! • 「浸透」を待たなくても、作業確認のための正しい 方法はあります • フルリゾルバーの気持ちになって、dig/drillコマンドで、 自分でIterative(反復的)な問い合わせ手順をやってみたら 良いのです

×