1. なぜキャッシュの動作を調べるか
「浸透問題」につながる動作(refresh)をするキャッシュサーバがあります。
- ドメイン管理者の移転方法にも問題があるのですが、キャッシュサーバの動作に原因があります。
watchNS/cocone.jp, DNS/引越/booklog.jpで見られたようにキャッシュだけに問題があるという管理者もいます。
しかし、今となってはGhost脆弱性の警告が最重要です。-- ToshinoriMaeno 2012-03-17 02:47:29
- TTLの更新は脆弱性に直結しています。
2. DNS/キャッシュサーバ上のRRsetのTTLが更新されるか
キャッシュサーバが問い合わせたときに、コンテンツサーバからの返事に authority/additional sectionが含まれていることがあります。 これらのレコードセット(RRSet)をキャッシュにとりこむための条件がゆるいとTTLの更新などが起きます。 [注:場合によっては毒盛される危険性もあります。]
一覧表のTTLの項にrefreshとあるサーバを使っていると、「浸透遅延」に出会う可能性があります。
http://www.cocone.jp/plaza/info/1579/ cocone.jpでの問題との共通点がありそうです。
authority section などを返事に含めないキャッシュサーバ(Googleなど)は今の検査では判別できません。 -- ToshinoriMaeno 2011-08-17 02:44:04
BINDはbind-9.2.3以降は浸透遅延につながる動作はしません。(ghost脆弱性がありますが)
ひとつのIPアドレスに対して、複数のサーバが隠れているものがあります。これらはrefresh判定が困難です。 -- ToshinoriMaeno 2011-08-15 14:50:41
server\query |
IP address |
NSTTL,上限 |
208.67.222.222 |
authなし |
|
8.8.8.8 |
authなし |
|
DNSadvantage |
-- |
refresh |
220.220.248.1,220.220.248.9 |
refresh2 |
|
Norton |
198.153.192.1 |
retain4-6台 |
OpenNIC |
216.87.84.211 |
retain+ |
209.244.0.3 |
authなし |
|
210.188.224.10 |
refresh8台? |
|
203.138.63.115 |
retain,1H |
|
211.134.181.105 |
retain 2台 |
|
202.238.95.24,202.238.95.26 |
2台 |
|
210.130.0.1,210.130.1.1 |
○, refresh(4台) |
|
202.248.37.74,202.248.20.133 |
refresh(4-5台) |
|
210.238.9.10 |
-- |
|
ocn.ne.jp |
211.129.14.166 |
? |
eaccess.ne.jp |
211.14.194.250 |
*3? |
vectant.ne.jp |
|
|
odn |
143.90.130.165,143.90.130.39 |
3台◯ |
auone |
210.196.3.183,210.141.112.163 |
4台◯ |
NTT America |
129.250.35.250,129.250.35.251 |
○? |
eo光ネット (eonet.ne.jp)
- 優先DNSサーバー :【 60.56.0.135 】 4+台TTL refresh
- 代替DNSサーバー :【 218.251.89.134 】
NTT America Technical Operations: 129.250.35.250,129.250.35.251
flets DNS サーバアドレス一覧 http://flets.com/square/sq_dns.html
【NTT東日本】excite ? プライマリDNS:210.130.1.1 OK セカンダリDNS:210.130.0.1
3. 契約者用?
sphere |
203.138.71.154, 210.150.255.66, 203.138.63.114, 203.138.63.122 |
REFUSED |
OCN |
202.234.232.6,221.113.139.250 |
REFUSED |
biglobe |
210.147.235.3, 133.205.66.51 |
REFUSED |
DNSSECを導入したサイトの検証をするには、210.147.235.4, 133.205.66.52
ASAHIネット:http://asahi-net.jp/support/news/111227.html
- ASAHIネット以外のインターネット接続回線から、ASAHIネットのDNSサーバーがご利用いただけなくなります。
(’以外' は外部というつもりだろう) ../asahi-net.jp 202.224.32.1
4. 考察
NSレコードのTTLが更新されるのはDNS/浸透問題やDNS/GhostDomainNames脆弱性につながる。
- 詳細な調査が必要だ。
-- ToshinoriMaeno 2012-03-15 23:27:36