## page was renamed from DNS/キャッシュサーバ <> = DNS キャッシュサーバ = [[DNS/用語/リゾルバー]] [[DNS/調査/キャッシュサーバ]] == 仕様の現状 == [[DNS/キャッシュサーバ/動作]]に関しては実装任せです。 (RFC 1034 に参考程度)  RFCはまともな動作(問題なく動作するという意味で)を記述していない。 BINDが事実上の規格だが、それが問題を生み出してきた。 dnscache, unbound,deadwood などのキャッシュサーバ実装が使えるようになって、 BINDだけの時代よりは多少ましになった。 キャッシュサーバで一番重要なこと: どこのゾーンサーバからデータを入手すべきかを決めること。  (RTTなどのことではなく、信用すべきかどうかを決定することです。念のため)  よほどひどい状態ならともかく、性能チューニングはあとでよろしい。 偽返答を受け取ってしまっても、毒盛されにくいようにすることも重要です。-- ToshinoriMaeno <> http://D/intro-dns.html DNSの動作原理 「キャッシュサーバの動作」はまともに定義されていないようだ。 こんな状態でDNSSECの署名が確認できるのか。 == 脆弱 == [[DNS/毒盛]] [[DNS/キャッシュ毒盛/対策]] は本当に実現されているのか。  http://www.lurhq.com/dnscache.pdf DNS Cache Poisoning -The Next Generation http://www.ciac.org/ciac/bulletins/j-063.shtml DNS DoS Attacks (1999) {{{ 公開/共用のキャッシュサーバは毒盛されやすい。 }}} キャッシュサーバの実装 ソースが公開されているもの [[DNS/実装/リゾルバー]] == 共用キャッシュサーバ == free public DNS servers: http://pcsupport.about.com/od/tipstricks/a/free-public-dns-servers.htm [[/free-public]] [[/eaccess.ne.jp]] キャッシュサーバの問題 --> TCP サポートなし。 [[/kddi.ne.jp]] は OK [[/so-net.ne.jp]] も調査した。 TCP, EDNS0 サポートあり。 ocn.ne.jp: http://www.ocn.ne.jp/info/tech/netset/ はどうか。  202.234.232.6 221.113.139.250 接続拒否された。 [[/sakura.ad.jp]] さくらもOK (TCP, EDNS0 OK)  %dig @210.188.224.10 any iij.ad.jp {{{ ;; Truncated, retrying in TCP mode. }}} [[/sphere.ne.jp]] (TCP, EDN0 OK) 203.138.63.115, 203.138.63.123 === TCP mode === [[/eaccess.ne.jp]] キャッシュサーバの問題 -- ToshinoriMaeno <> kddi: OK ;; Truncated, retrying in TCP mode. {{{ プライマリDNS: dns01.hs.kddi.ne.jp. IPアドレス: 211.134.181.104. セカンダリDNS: dns02.hs.kddi.ne.jp. IPアドレス: 211.134.181.105. }}} === EDNS0 === [[/kddi.ne.jp]] は OK  DNSSEC を使うなら、 EDNS0は必須。 A6 はexperimental になった。 AAAAはどうなっているか。  苦労して、返答を512バイトに押し込んでいる様子。 root, TLD サーバなら、 TCPを避けたいのも分かるが、通常のドメインやキャッシュでTCPを使わない理由があるのか。 == キャッシュサーバの動作の調査 == [[yatz.qmail.jp]]ドメインを使って、[[/free-public]]などを調査している。 -- ToshinoriMaeno <> [[/比較表]] == 浸透問題 == 移転後も旧サーバをキャッシュしつづけるキャッシュサーバがあるのか。[[/浸透問題]] = 毒盛される危険性 = キャッシュサーバの弱点 [[/毒盛]] Kaminskyの発見は「TTLで守られている」と思っていたことが幻想であったことを示したことである。 == リンク == <>