メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です
文字サイズ:

2002年2月7日

各位

社団法人日本ネットワークインフォメーションセンター
株式会社日本レジストリサービス

BIND ネームサーバの更新に関するお願い

 皆様におかれましては、 平素より (社) 日本ネットワークインフォメーションセンター (JPNIC) および (株) 日本レジストリサービス (JPRS) の活動にご理解とご協力を頂き誠にありがとうございます。

DNSの実装の一つであるBINDのVersion 8.3.0において特定の条件下で DNSの過大なqueryを行う(DNS storm)という問題が確認されました。 (http://www.isc.org/products/BIND/bind8.html)

 BIND Version 8.3.0を利用している皆様には至急BIND Version 8.3.1へのアップグレードを行うことをお願いします。

 また、あわせてDNSの運用を行っている皆様には問題を起こしうる設定の修正を行っていただけますよう、お願いします。

1. 概要

 先日より、JPのネームサーバにおきまして、 急激なquery数の増加が観測されております。 この原因を調査した結果、ISC (Internet Software Consortium、http://www.isc.org/)が提供している Domain Name SystemパッケージBIND Version 8.3.0のネームサーバプログラム namedが特定の条件において過大なDNSのqueryを行う場合があることが発見されました。

 この問題は、該当するBIND 8.3.0のnamedが、 NSレコードの設定に誤りがあるドメインに対する検索要求を受けた場合などに発生することが確認されています。 なお、今回の問題は、該当するBIND 8.3.0のnamedの設定内容に問題がない場合でも、 設定内容に誤りのある他組織の存在によって、 該当の問題が発生することが確認されています。

 BIND 8.3.0によって起こる問題は以下の2点になります。

  • 自サイトから他サイトへの過大なDNS queryが送出される
  • 他サイトから自サイトへの過大なDNS queryが受信される

 過大なDNS queryが発生した場合、通信量の増大による通信障害、 DNSサーバの過負荷による無応答などの問題が起こることが予想されます。

 BINDの開発元であるISCでは既にこの問題を確認しており、 修正版パッケージとしてBIND Version 8.3.1がリリースされました。

2. 対象

現在のところ、 この問題が存在することが確認されているバージョンとしては以下のものが報告されています。

  • BIND Version 8.3.0

3. 解決方法

 以下の2つの対策を両方行ってください。

(1) BIND パッケージのバージョン変更

問題のあるバージョンのBINDパッケージを使用している方は、 問題が修正された以下のバージョンに変更してください。

BIND Version 8.3.1
http://www.isc.org/products/BIND/bind8.html

 なお、この対策により、 自サイトのネームサーバが他サイトのネームサーバへ過大な負荷をかける事は抑制できますが、 他サイトの同様の問題を抱えたネームサーバが自サイトのネームサーバへ過大な queryを送出することは抑制できません。

(2) 問題のある DNS 設定の修正

 概要でも説明しました通り、 ネームサーバが管理するドメインのサブドメインにおいて問題のある NSレコードの設定があった場合にこの問題は観測されます。

  例) example.jp の BIND のゾーンファイルにおいて NS レコードの最後の
      ピリオドを忘れた場合 (lame delegations)

----- 正しい設定例 -----
@ IN  SOA ns1.example.jp. root.example.jp. (
    1 ; Serial
    3600  ; Refresh
    900 ; Retry
    604800  ; Expire
    86400 ) ; Minimum
  IN      NS      ns1.example.jp.
  IN      NS      ns2.example.jp.
----------------------

----- 間違った設定例 (NS レコードの最後のピリオドがない ) -----
@ IN  SOA ns1.example.jp. root.example.jp. (
    1 ; Serial
    3600  ; Refresh
    900 ; Retry
    604800  ; Expire
    86400 ) ; Minimum
  IN      NS      ns1.example.jp
  IN      NS      ns2.example.jp
------------------------

 自サイトが管理するドメインの全てのサブドメインのゾーンファイルにこのような問題がないかどうかを確認する事を推奨します。 これにより、他サイトから自サイトへの過大なqueryが発生しないようになります。

 なお、本文書はBINDの開発に関する最新の情報を BINDの利用者に広くお知らせすることを目的としており、 上述の事項の実施により予期できない事態が発生し被害が生じた場合でも、 責任の所在に関してはBINDの利用条件と同じ原則が適用されるものと御理解ください。

以上

このページを評価してください

このWebページは役に立ちましたか?
ページの改良点等がございましたら自由にご記入ください。

このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、お問い合わせ先をご利用ください。

▲頁先頭へ