MoinQ:


../キャッシュサーバ ../キャッシュサーバ/関連ページ

1. キャッシュサーバの振る舞い

/動作確認 毒盛対策の視点からは「なにをキャッシュしているか」が問題です。

浸透問題の視点からはキャッシュされたレコードの/TTLの更新が行われるかなどが調査項目になります。 そして、TTL満了時の動作も問題になります。

1.1. TTL についての調査

http://www.e-ontap.com/dns/propagation/ttl.html

unbound, PowerDNS recursor などにはTTLの上限、下限を指定する機能があります。

長いTTLを許すキャッシュサーバにはGhost Domain Names脆弱性がありそうです。

1.2. TCP サポート

DNSプロバイダでのDNS/TCPのサポート状況を調査しました。

1.3. yatz.qmail.jp を問い合わせたときの返答

(警告)以下は調査したときの返事をまとめたもので、いつも同じ返事になるとは限らない。

順番を入れ替え,NS,SOAは安定して返される項目だけに変更した。 -- ToshinoriMaeno 2011-07-29 01:31:54

server\query

A

NS

SOA

any

IP address

../PowerDNS

cn,A

cn;au(soa)

soa,cn;au(ns)

cn,A

../unbound

cn,A;au(NS)

cn;au(soa)

cn;au(soa)

cn;au(A)

../dnscache

cn,A

cn

cn

soa,ns,cn,A

/OpenDNS/yatz

cn,A

cn

soa

soa,ns,cn,A

208.67.222.220,208.67.222.222

/Google/yatz

cn,A

cn;au(soa)

cn;au(soa)

soa,ns,cn,A

8.8.8.8

/plala.or.jp

cn,A

cn

cn

cn

220.220.248.1

Norton

cn,A;au(ns)

ns,cname

soa,cn;auth

198.153.192.1,8.153.194.1

OpenNIC

cn,A;au(ns)

ns

soa;au(ns)

69.164.208.50

/Level3/yatz

cn,A

ns

soa

soa,ns,cn,A

209.244.0.3

/sakura.ad.jp/yatz

cn,A

ns

soa

soa,ns,cn,A

210.188.224.10

/sphere.ne.jp

cn,A;au(ns)

ns

soa;au(ns)

cn,ns;auth

203.138.63.115

/asahi-net.jp/yatz

cn,A;au(ns)

ns

soa;au(ns)

soa,ns,cn,A;auth

202.224.32.1

/kddi.ne.jp/yatz

cn,A;au(ns)

ns

soa;auth

soa,ns,cn,A;auth

211.134.181.105

/so-net.ne.jp/yatz

cn,A;au(ns)

ns

soa;auth

soa,ns,cn,A;auth

202.238.95.24,202.238.95.26

/iij4u.or.jp

cn,A;au(ns)

ns

soa;au(ns)

soa,ns,cn,A;auth

210.130.0.1

/nifty.com

cn,A;au(ns)

ns

soa;auth

202.248.37.74,202.248.20.133

/point.ne.jp

cn,A;au(ns)

ns

soa;au(ns)

ocn.ne.jp

cn,A;au(ns)

ns

soa;au(jp)

202.234.232.6, 221.113.139.250

vectant.ne.jp

cn,A;au(q)

cn;au(soa)

cn;au(soa)

eo光ネット ・ 優先DNSサーバー :【 60.56.0.135 】  TTL refresh ・ 代替DNSサーバー :【 218.251.89.134 】


OpenDNSがdnscacheと類似の返答をしています。 日本のプロバイダのサーバはBINDが多いようです。 -- ToshinoriMaeno 2011-07-27 10:30:40

authority section にあるSOAやNSは返事としては余計だと考えますので、無視してみます。

1.4. ひとつの分類

(NS, SOA)を問い合わせたときに、(NS, SOA)を答えるものと、CNAMEだけを答えるものに分けられます。

NSなどにCNAMEを答えるものはanyに対しての返答で分類できます。

zone apex に対するCNAMEをどう扱うかの違いでしょう。

1.4.1. CNAME がキャッシュされると

いったんCNAMEがキャッシュに入ると、SOAを問い合わせても、CNAMEを答えてくるようです。 -- ToshinoriMaeno 2011-07-28 01:35:26

1.5. yata.qmail.jp の扱い

yata.qmail.jp/設定 zone が CNAME だけから構成されている。

1.6. 今後調べたいこと

毒盛対策の視点からは「なにをキャッシュしているか」が問題です。