1. 浸透神話の起源

/実例を募集します

「DNS 浸透をお待ちください。」に騙されてはいけない。

キャッシュサーバではなく、ブラウザとかの類がTTLを無視している(入手できない?)という噂をきいた。

それにもかかわらず、「浸透期間」、「伝播期間」という業者が多い。 浸透遅延で困っているという相談は減っているようだが、実際の発生はどうなのだろう。

以下のことは2001年ころにはすでに知られていたはずだが、JPRSなどの文書には見つからない。


以下は推敲中(コピー)であり、読まなくてよい。

1.1. 旧サーバが古い返事を返し続ける

DNSホスティングサービスを__解約__しても、旧サーバは問い合わせに返事しなくなるわけではない。

上位サーバへの登録を変更しても、旧サーバが返答しなくなるわけではない。

1.1.1. 上位サーバの登録から削除されたのに

一度は登録されていたことを忘れていないか。

上位サーバへの登録変更旧サーバ上の情報変更・削除はドメイン所有者の責任であることを 認識しなくてはならない。

1.1.2. 解約して半年たっても残っているところもある

こういう業者を使っていたときに、DNSレコードを更新しないまま契約解除すると、 いつまでも新サーバにアクセスできない人がでる。

この古い返事が「浸透」という都市伝説を作っている。ホスティング業者は改善して欲しい。

昔から、分かっていたのに、なぜ改善されないのか。まともな記事がほとんどないのか。 ここの95番の記事に一票。

1.1.3. 危ない業者

「浸透遅延」問題の具体例を求めていたときに一括して発掘する方法に気づいた。 それを使って発見したのが、

 sphere.ad.jp, dns.ne.jp, cpi.ad.jp, namedserver.net, value-domain.com

などで、解約したドメインのゾーンがそれぞれ100こ以上削除されないで残っていることが分かった。 ほかにも、多くのDNSプロバイダで削除されていないゾーンが見つかった。 DNS/ホスティング/BADなど。

これらのDNSホスティング業者のサーバは「浸透遅延」を引き起こすというのではなく、

「不当な返答」を返す可能性をもったサーバである。


以前から収集していたドメインのサーバ登録情報と最近の登録情報とを比較して検出した。

解約されたドメインのレコードをまったく消去しないわけでもないらしいが、 きちんとした手順が定められていないために残っているのだろう。 -- ToshinoriMaeno 2011-02-10 14:52:58

1.1.4. 対応策

かつて、これらのサービスを使っていたのなら、

レコードが残っていないかを調査して、残っていたら削除するよう申し入れる

ことを勧める。 調べ方は各自勉強すること。

古い情報を使いつづけている客が残っているかもしれない。

現在、これらのサービスを使っていたら、移転でのトラブルを覚悟すること。

1.2. 上位から委譲がなくなれば残っていても問題ないか

そういうケースもあろう。だが、このサーバがキャッシュに残っていたらなにが起きるか考えてみよう。

例 cbcc.co.jp ドメインの場合:

%dnsq ns cbcc.co.jp a.dns.jp

2 cbcc.co.jp:
104 bytes, 1+0+2+2 records, response, noerror
query: 2 cbcc.co.jp
authority: cbcc.co.jp 86400 NS ns2.xserver.jp
authority: cbcc.co.jp 86400 NS ns1.xserver.jp
additional: ns1.xserver.jp 86400 A 219.94.200.246
additional: ns2.xserver.jp 86400 A 210.188.201.246

そこで、sphere内の古いサーバをキャッシュしていたクライアントがあったとして、(ないと言いきれるか)

%dnsq ns cbcc.co.jp ns3.sphere.ad.jp

2 cbcc.co.jp:
90 bytes, 1+2+0+1 records, response, authoritative, noerror
query: 2 cbcc.co.jp
answer: cbcc.co.jp 86400 NS ns4.sphere.ad.jp
answer: cbcc.co.jp 86400 NS ns3.sphere.ad.jp
additional: ns3.sphere.ad.jp 86400 A 202.239.113.22

%dnsq ns cbcc.co.jp ns4.sphere.ad.jp

2 cbcc.co.jp:
90 bytes, 1+2+0+1 records, response, authoritative, noerror
query: 2 cbcc.co.jp
answer: cbcc.co.jp 86400 NS ns3.sphere.ad.jp
answer: cbcc.co.jp 86400 NS ns4.sphere.ad.jp
additional: ns4.sphere.ad.jp 86400 A 202.239.113.30

1.3. こういう業者にDNSアウトソースするな

他の業者もいずれ公開の予定。

-- ToshinoriMaeno 2011-02-09 13:13:30

他社への移転に必要な作業をしてくれない業者: DNSの理解不足だろう。

1.4. クライアント側の防衛策

キャッシュがおかしいことに気づけば、対策はある。

キャッシュに無効になったはずの古い情報(毒)が残っているのだから、 いったんキャッシュをクリアしてやれば、新しくルートサーバなどからたどることになり、毒は抜ける。

1.5. Who Ignores TTLs ? [dns-operations]

https://lists.dns-oarc.net/pipermail/dns-operations/2011-February/006782.html

  It's the apps not the caches that don't respect TTLs.