バナー:Internet Week 2013

BoF開催報告:日本DNSオペレーターズグループBoF

BoF名 日本DNSオペレーターズグループBoF
BoF開催団体 DNSOPS.JP
開催日時 2013年11月28日(木) 18:45~20:15
参加者数 約100名
BoFの概要

アジェンダ

  1. 新gTLDのname collistionについて(JPIX石田)
  2. とあるゾーンの親子崩壊(BBTOWER大本)
  3. オープンリゾルバ確認サイトの公開について(JPCERT/CC小林)
  4. FreeBSD 10でlocal unboundを立ててみる(力武)
  5. ルートとJPでみたクエリ元IPアドレス数の比較など(JPRS藤原)
  6. JP DNSで観測したDSクエリ増大について(JPRS藤原)

発表・質疑(サマリー)

  1. 新gTLDのname collistionについて(JPIX石田)
    新gTLDと企業内ネットワークやネットワーク機器内で使っているローカルTLDが衝突することについて、 ICANNが調査した状況について紹介が行われた。 今後ICANNやJPNICにて調査および対策検討が行われるとのこと。
  2. とあるゾーンの親子崩壊(BBTOWER大本)
    社内の検証環境用ドメインにおいてサブドメインを切り、 Amazon Route53に委譲したが、 SOAのマスターサーバが時折異なる応答を返すことに気づいた。 権威DNSサーバにてそのサブドメインを親からきちんと委譲せずに個別にゾーンとして設定していたことが原因。
    会場からはキャッシュの状態等によって名前解決ができる場合とできない場合があったのではないかとのコメントがあった。
  3. オープンリゾルバ確認サイトの公開について(JPCERT/CC小林)
    オープンリゾルバ確認サイトの紹介が行われた。 Webサイト(http://www.openresolver.jp)で自ネットワークで使用しているキャッシュサーバがオープンリゾルバかどうかチェックすることができる。 コマンドラインでも簡単にできるとのこと。 オープンリゾルバである場合はどんなことをすればよいかも記載されている。
    会場からは、 1時間キャッシュすることは使用した人にもわかるとよい、 ブログパーツとか作ってみてはどうか、 同意確認画面は不要、 テストボタンを画面上に配置するとわかりやすい、 IPv6対応を進めてほしい、 WebカメラなどがDNSサーバ機能を持つ例もあり検知できるとよいとのコメントがあった。
  4. FreeBSD 10でlocal unboundを立ててみる(力武)
    FreeBSD 10でunboundが採用された理由、 および利用時の注意点が紹介された。 BINDはリリーススケジュールの調整が難く、 DNSSEC Validationが実装されていることからunboundが採用されたとのこと。 利用時の注意点としてプライベートIPアドレスの逆引きがNXDOMAINとなること。 またFreeBSD 10での設定ファイルの置き場所や設定方法が紹介された。 余談として、 FreeBSD 10ではlibiconvがlibcに組み込まれたためiso-2022-jpの自動変換が動作しなくなり、 日本語のメール送受信時には注意が必要とのこと。
    会場からは、 libiconvについてはFreeBSD側にて情報を発信すべきではないかとのコメントがあった。
  5. ルートとJPでみたクエリ元IPアドレス数の比較など(JPRS藤原)
    DNS-OARCが実施しているルートサーバの計測データと、 JP DNSの計測データを用いてクエリ解析を行い、 その結果が紹介された。 2日間で291億クエリ、Parsedクエリは277億。 ルートサーバはJP DNSの10倍のクエリ数、 EDNS0のサポートが30.8%から41.8%、 DOのサポートが26.6%から38.4%と増えているとのこと(発表資料が掲載されているので詳細はそちらを参照)。
    会場からは、 力武氏が過去に電子情報学会で出した論文にて、 同じような解析を行なったので比較するとよいとのコメントがあった。
  6. JP DNSで観測したDSクエリ増大について(JPRS藤原)
    JPゾーンではncache(存在しないことをキャッシュする時間)が900秒と設定されており、 有名なドメイン名がDNSSEC署名をしていない状況において、 ISP等のDNSキャッシュサーバがDNSSEC Validationを有効にするとそのドメイン名に対しDSレコードの900秒毎にクエリを送信するため、 Validatorの数が増えることでJP DNSへのクエリ数が増大する可能性があることが紹介されていた。 対策としてncacheを大きくする、 JPゾーンにダミーのDSを登録する、 署名していないことを表すリソースレコードを追加する案が紹介された。
    会場からは、 JPゾーンではDSのTTLが短縮されたため増大するクエリの量が予想より少し減るのではないか、 DSレコードをクエリされたときだけTTLを増やすのはどうか、 DNSSEC署名したドメイン名については料金を安くする意見も海外であがったはずとのコメントがあった。
総括/所感

DNSDAYと同室で引き続き実施した事もあり、 例年同様に多数の参加を頂いた。 議題についても実運用に関わる技術紹介だけなく、 新gTLDに関連する話題や実トラフィック解析等多岐に渡り、 意見交換や情報共有を行なうことができた。

次回BoF開催への賛同が得られた事もあり、 継続して活動を続けたい。