1. ルートゾーンKSK/日本では/JPRS


おかしな記述の原点はこれか、これが参照している文献らしい。-- ToshinoriMaeno 2017-07-27 06:28:07

https://jprs.jp/tech/notice/2017-07-10-root-zone-ksk-rollover.html

ルートゾーンKSKロールオーバーの一部のステップにおいて、ルートサーバー
のDNSKEYリソースレコード(DNSKEY RR)の応答サイズが増加します。
これによりIPフラグメントが発生し、DNS応答を正しく受け取れなくなる可能性があります。

なお、その可能性はDNSSEC検証の有効・無効には関係ありません。

この文書の元になったと思われる以前の文書は../を見よ。

-- ToshinoriMaeno 2017-07-26 06:13:10

KSKとZSKとを取り違えている記述もあるようだし、書いた側も理解していないのだろう。

DNSKEYレコード(返答)の増大は定期的なZSKロールオーバーが理由だ。

(ZSKはこの期間中にはロールオーバーをしないだろうという思い込みがあったかも。)

DNSSEC Update 2016年12月1日 Internet Week 2016 DNS DAY 米谷嘉朗 https://www.nic.ad.jp/ja/materials/iw/2016/proceedings/d3/d3-2-yoneya.pdf

2. 追加説明

いろいろ質問があったらしく、/追加説明がでた。(ひと月後だ)

この部分を読み間違えていた可能性がある。(紛らわしい書き方だが)

わざわざ書くようなことであろうか。(結果として、総務省なども誤解下。) -- ToshinoriMaeno 2017-08-02 10:34:32

3. JPRS文書のまやかし

JPRSが参考リンクにあげているICANNのページは大量で複雑なので、JPRSも読みきれていない可能性もある。w

4. DNSSEC検証時

/slide

5. 分析

5.1. DNSSEC検証が有効な場合

  1. リゾルバーは検証のためにDNSKEYを必要とする。
    1. このため、root zone serverに対しDNSKEYを問い合わせる。
    2. 返答でフラグメントが発生して、それを正しく処理できないならば、受け取れない。
  2. 検証に失敗する。その後はDNSSEC検証に「影響」

5.2. DNSSEC検証が無効な場合

  1. リゾルバーは検証しないので、DNSKEYを必要とはしない。
  2. DNSKEYを問い合わせるかどうかは、リゾルバーに問い合わせるクライアントがあったときに限る。   
    • つまり、あるとはかぎらない。
  3. 問い合わせがあって、DNSKEYを問い合わせた場合に、正しく受け取れなかったとしても、
    • 影響を受けるのはクライアントであって、リゾルバー自身ではない。

これらを区別しないで、「その可能性はDNSSEC検証の有効・無効には関係ありません」と書いたのは

-- ToshinoriMaeno 2017-08-05 15:09:58

なぜDNSSECを推進するのか。利益を得られるのはだれか。


ルートゾーンKSKロールオーバーの概要と影響の確認方法 (最終更新:2017年7月25日) https://jprs.jp/tech/notice/2017-07-10-root-zone-ksk-rollover.pdf

ルートサーバーのDNSKEYリソースレコード(DNSKEY RR)の応答サイズが増加してIPフラグメントが発生し、
フルリゾルバー(キャッシュDNSサーバー)が応答を受け取れなくなる可能性があります。

なお、その可能性はDNSSEC検証の有効・無効には関係ありません

-- ToshinoriMaeno 2017-07-29 04:03:58

6. なぜTCPフォールバックに触れないのか

UDPで長大パケットを受け取らせるのは、フラグメントすり替え攻撃を受けやすくなります。

-- ToshinoriMaeno 2017-08-06 01:00:00

7. 資料

Root KSK rollover outreach activities in Japan and findings https://schd.ws/hosted_files/icann572016/18/Yoshiro-Yoneya-20161101-JPRS-DNSSEC-Act-03.pdf

DNSSEC Update 2016年12月1日 Internet Week 2016 DNS DAY 米谷嘉朗

https://www.nic.ad.jp/ja/materials/iw/2016/proceedings/d3/d3-2-yoneya.pdf

/iw2016

DNSのメッセージサイズについて考える (2013年11月28日Internet Week 2013 ランチセミナー) https://jprs.jp/tech/material/iw2013-lunch-L3-01.pdf

DNS関連ホットトピックス 2014年2月1日IPv6 Summit in SAPPORO 2014 https://www.iajapan.org/ipv6/summit/SAPPORO2014/pdf/JPRS_SAPPORO2014.pdf

https://www.janog.gr.jp/meeting/janog39/program/kskro.html IPフラグメントがやってくる!準備できていますか?

概要

2017年7月から2018年3月にかけて、一定の期間、Root DNSサーバーか らの応答パケットがIPフラグメントを起こす大きさ(1280オクテット を超える)になります。これは、DNS RootゾーンのDNSSEC鍵署名鍵の 鍵交換(Root KSK rollover)の実施による影響です。

この大きな応答パケットは、DNSSEC検証の有無に関わらず問い合わせ
を送ったすべてのフルリゾルバー(キャッシュDNSサーバー)に返っ
てきます。自分のフルリゾルバーはDNSSEC検証していないから無関係
だと思っているあなた、実は無関係ではないのです!

本LTでは、自分のフルリゾルバー(及びそのフロントのネットワーク 接続機器を含む)がIPフラグメントに対応しているかの確認方法、 及びRoot DNSサーバーからの応答パケットが大きくなる重要日付と継 続期間を説明します。

    Root KSK rolloverの概要
    今すぐできる自分のフルリゾルバーがIPフラグメントに対応しているかの確認方法
    Root DNSサーバーからの応答パケットが大きくなる重要日付と継続期間(複数回発生)
    コミュニケーションチャネル・有益リンクの紹介 

発表者

米谷嘉朗 (株式会社日本レジストリサービス(JPRS))

https://www.janog.gr.jp/meeting/janog39/application/files/5014/8471/4979/JANOG39-LT-yoneya.pdf

フルリゾルバーはDNSSEC検証の有無に関わらずDNSKEYを取得しているため

-- ToshinoriMaeno 2017-07-27 11:47:51

8. 資料

DNSSEC導入に関する世界的動向

佐藤新太

https://www.nic.ad.jp/ja/materials/iw/2010/proceedings/d2/iw2010-d2-07.pdf

2010年に急速に展開が進んだDNSSEC

世界のDNSSEC導入の概況