watchNS/clnx.qmail.jp - moin.dnsq.info

watchNS/clnx.qmail.jpについて、ここに記述してください。

リゾルバーの動作を調べるために、設定してみた。DNS/用語/オープンリゾルバー/公開リスト

委譲のTTLは10分（600秒）であることに注意してほしい。-- ToshinoriMaeno 2015-12-24 00:05:18
- 3分に変更してみた。-- ToshinoriMaeno 2015-12-24 00:14:14

/Google /Level3 /OpenDNS /So-net /Norton

https://twitter.com/beyondDNS/status/490793904640229376?lang=ja

1. clnx.qmail.jp

$ dig -t ns clnx.qmail.jp @a.ns.qmail.jp

; <<>> DiG 9.9.5-3ubuntu0.6-Ubuntu <<>> -t ns clnx.qmail.jp @a.ns.qmail.jp
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 20979
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;clnx.qmail.jp.                 IN      NS

;; AUTHORITY SECTION:
clnx.qmail.jp.          600     IN      NS      ns1.clnx2015.com.

;; Query time: 11 msec
;; SERVER: 14.192.44.5#53(14.192.44.5)
;; WHEN: Thu Dec 24 09:03:31 JST 2015
;; MSG SIZE  rcvd: 61

2. unbound

$ dig -t ns clnx.qmail.jp @127.0.0.2

; <<>> DiG 9.9.5-3ubuntu0.6-Ubuntu <<>> -t ns clnx.qmail.jp @127.0.0.2
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 16218
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;clnx.qmail.jp.                 IN      NS

;; ANSWER SECTION:
clnx.qmail.jp.          604322  IN      NS      ns1.clnx2015.com.
clnx.qmail.jp.          604322  IN      NS      ns3.clnx2015.com.
clnx.qmail.jp.          604322  IN      NS      ns4.clnx2015.com.
clnx.qmail.jp.          604322  IN      NS      ns2.clnx2015.com.

;; Query time: 0 msec
;; SERVER: 127.0.0.2#53(127.0.0.2)
;; WHEN: Thu Dec 24 09:05:38 JST 2015
;; MSG SIZE  rcvd: 126

TTLの扱いはだめだ。指定が効いていない。（なぜ: 表示と内部での管理は別とかいう話があったが）

cache-max-ttl: 86400

3. pdns recursor

$ dig -t ns clnx.qmail.jp @127.0.0.1

; <<>> DiG 9.9.5-3ubuntu0.6-Ubuntu <<>> -t ns clnx.qmail.jp @127.0.0.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56837
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;clnx.qmail.jp.                 IN      NS

;; ANSWER SECTION:
clnx.qmail.jp.          85994   IN      NS      ns2.clnx2015.com.
clnx.qmail.jp.          85994   IN      NS      ns1.clnx2015.com.
clnx.qmail.jp.          85994   IN      NS      ns4.clnx2015.com.
clnx.qmail.jp.          85994   IN      NS      ns3.clnx2015.com.

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Thu Dec 24 09:06:53 JST 2015
;; MSG SIZE  rcvd: 115

多少はましだが、Ghost Domain Names 脆弱なのは同様だ。

4. dnscache

%dnsqr ns clnx.qmail.jp

2 clnx.qmail.jp:
61 bytes, 1+1+0+0 records, response, noerror
query: 2 clnx.qmail.jp
answer: clnx.qmail.jp 597 NS ns1.clnx2015.com

これは委譲返答をそのまま返事しているだけ。

%dnsqr a clnx.qmail.jp ~

1 clnx.qmail.jp:
47 bytes, 1+1+0+0 records, response, noerror
query: 1 clnx.qmail.jp
answer: clnx.qmail.jp 85470 A 195.22.126.213

max TTLを1日にしてあるので、この返事が返るが、これでもだめ。

委譲返答のTTLで制約すべき場面である。 -- ToshinoriMaeno 2015-12-24 00:14:14

MoinQ: watchNS/clnx.qmail.jp

1. clnx.qmail.jp

2. unbound

3. pdns recursor

4. dnscache