## page was renamed from DNS/キャッシュサーバ調査/ISP比較/TTLの更新 ## page was renamed from DNS/キャッシュサーバ/ISP比較/TTLの更新 ## page was renamed from DNS/キャッシュサーバ比較/TTLの更新 <> == なぜキャッシュの動作を調べるか == 「浸透問題」につながる動作(refresh)をするキャッシュサーバがあります。  ドメイン管理者の移転方法にも問題があるのですが、キャッシュサーバの動作に原因があります。   [[watchNS/cocone.jp]], [[DNS/引越/booklog.jp]]で見られたようにキャッシュだけに問題があるという管理者もいます。  どこのキャッシュで問題が起きているのかを説明してもらえれば、再発防止につながるでしょう。 しかし、今となってはGhost脆弱性の警告が最重要です。-- ToshinoriMaeno <> TTLの更新は脆弱性に直結しています。 == DNS/キャッシュサーバ上のRRsetのTTLが更新されるか == キャッシュサーバが問い合わせたときに、コンテンツサーバからの返事に authority/additional sectionが含まれていることがあります。 これらのレコードセット(RRSet)をキャッシュにとりこむための条件がゆるいとTTLの更新などが起きます。 [注:場合によっては毒盛される危険性もあります。] 一覧表のTTLの項にrefreshとあるサーバを使っていると、「浸透遅延」に出会う可能性があります。 http://www.cocone.jp/plaza/info/1579/ cocone.jpでの問題との共通点がありそうです。 authority section などを返事に含めないキャッシュサーバ(Googleなど)は今の検査では判別できません。 -- ToshinoriMaeno <> {{{ BINDはbind-9.2.3以降は浸透遅延につながる動作はしません。(ghost脆弱性がありますが) }}} ひとつのIPアドレスに対して、複数のサーバが隠れているものがあります。これらはrefresh判定が困難です。 -- ToshinoriMaeno <> [[/調査方法]] ----- ||server\query||IP address||NSTTL,上限|| ||[[../OpenDNS]]||208.67.222.222||authなし|| ||[[../Google]]||8.8.8.8||authなし|| ||DNSadvantage||--||--(refresh)--|| ||[[../plala.or.jp]]||220.220.248.1,220.220.248.9||'''refresh'''2|| ||Norton||198.153.192.1||retain4-6台|| ||OpenNIC||216.87.84.211||retain+|| ||[[../Level3]]||209.244.0.3||authなし|| ||[[../sakura.ad.jp]]||210.188.224.10||'''refresh'''8台?|| ||[[../sphere.ne.jp]]||203.138.63.115||retain,1H|| ||[[../kddi.ne.jp]]||211.134.181.105||retain 2台|| ||[[../so-net.ne.jp]]||202.238.95.24,202.238.95.26||2台|| ||[[../iij4u.or.jp]]||210.130.0.1,210.130.1.1||○, '''refresh'''(4台)|| ||[[../nifty.com]]||202.248.37.74,202.248.20.133||'''refresh'''(4-5台)|| ||[[../point.ne.jp]] ||210.238.9.10||--|| ||ocn.ne.jp||211.129.14.166 ||?|| ||eaccess.ne.jp||211.14.194.250 ||*3?|| ||vectant.ne.jp|| || ||odn||143.90.130.165,143.90.130.39||3台◯|| ||auone||210.196.3.183,210.141.112.163||4台◯|| ||NTT America||129.250.35.250,129.250.35.251||○?|| eo光ネット (eonet.ne.jp) * 優先DNSサーバー :【 60.56.0.135 】  4+台TTL refresh * 代替DNSサーバー :【 218.251.89.134 】 NTT America Technical Operations: 129.250.35.250,129.250.35.251 flets DNS サーバアドレス一覧 http://flets.com/square/sq_dns.html 【NTT東日本】excite ? プライマリDNS:210.130.1.1 OK セカンダリDNS:210.130.0.1 == 契約者用? == ||sphere||203.138.71.154, 210.150.255.66, 203.138.63.114, 203.138.63.122||REFUSED|| ||OCN||202.234.232.6,221.113.139.250||REFUSED|| ||biglobe||210.147.235.3, 133.205.66.51||REFUSED|| {{{ DNSSECを導入したサイトの検証をするには、210.147.235.4, 133.205.66.52 }}} ASAHIネット:http://asahi-net.jp/support/news/111227.html  ASAHIネット以外のインターネット接続回線から、ASAHIネットのDNSサーバーがご利用いただけなくなります。 (’以外' は外部というつもりだろう) [[../asahi-net.jp]] 202.224.32.1 == 考察 == NSレコードのTTLが更新されるのは[[DNS/浸透問題]]や[[DNS/GhostDomainNames]]脆弱性につながる。 詳細な調査が必要だ。 -- ToshinoriMaeno <>