DNS/毒盛/対策/NXDOMAIN返答活用/SOAレコード

1. DNS/毒盛/NXDOMAIN返答活用/SOAレコード

Contents

DNS/毒盛/NXDOMAIN返答活用/SOAレコード
1. SOA/RFC
例
例 2

1.1. SOA/RFC

SOAレコードは使われる場面の少ない資源レコードであり、それもラベルよりは値に注目されるが、ラベルにも意味がある。

http://tools.ietf.org/html/rfc2308

Section 3

Negative Answers from Authoritative Servers

   Name servers authoritative for a zone MUST include the SOA record of
   the zone in the authority section of the response when reporting an
   NXDOMAIN or indicating that no data of the requested type exists.
   This is required so that the response may be cached.  The TTL of this
   record is set from the minimum of the MINIMUM field of the SOA record
   and the TTL of the SOA itself, and indicates how long a resolver may
   cache the negative answer.  The TTL SIG record associated with the
   SOA record should also be trimmed in line with the SOA's TTL.

   If the containing zone is signed [RFC2065] the SOA and appropriate
   NXT and SIG records MUST be added.

否定返答に責任を持つゾーンのSOAレコードが分かる。

-- ToshinoriMaeno 2016-03-22 01:12:33

ラベルからquery name, type のレコードが存在しないことを保証するゾーンが分かる。

つまりこのゾーンにはquery nameを受け持つ他のゾーンは存在しないことも分かる。

　　query nameとラベルの中間に位置するドメイン名に対するNSレコードも存在しない。

-- ToshinoriMaeno 2016-03-22 01:19:21

2. 例

$ dnsq ns qmail.jp a.dns.jp

2 qmail.jp:
61 bytes, 1+0+1+1 records, response, noerror
query: 2 qmail.jp
authority: qmail.jp 86400 NS a.ns.qmail.jp
additional: a.ns.qmail.jp 86400 A 14.192.44.5

qmail.jpのNSであるa.ns.qmail.jpにxxxx.a.ns.qmail.jp A を問い合わせてみた。

$ dnsq a xxxx.a.ns.qmail.jp a.ns.qmail.jp

1 xxxx.a.ns.qmail.jp:
85 bytes, 1+0+1+0 records, response, authoritative, nxdomain
query: 1 xxxx.a.ns.qmail.jp
authority: qmail.jp 2560 SOA a.ns.qmail.jp hostmaster.m.qmail.jp 1454758295 16384 2048 1048576 2560

このNXDOMAIN返答が意味するのは：

もしxxxx.a.ns.qmail.jpというドメインが存在したなら、返事をすべきはqmail.jpゾーンのサーバだということである。つまり、ns.qmail.jpはゾーンではない。a.ns.qmail.jpもゾーンではない。

-- ToshinoriMaeno 2016-03-22 01:50:24

3. 例 2

別の例もみてみよう。

$ dnsq ns cz a.root-servers.net

2 cz:
267 bytes, 1+0+4+8 records, response, noerror
query: 2 cz
authority: cz 172800 NS d.ns.nic.cz
authority: cz 172800 NS c.ns.nic.cz
authority: cz 172800 NS b.ns.nic.cz
authority: cz 172800 NS a.ns.nic.cz
additional: d.ns.nic.cz 172800 A 193.29.206.1
...

$ dnsq a xxxx.a.ns.nic.cz a.ns.nic.cz

1 xxxx.a.ns.nic.cz:
81 bytes, 1+0+1+0 records, response, authoritative, nxdomain
query: 1 xxxx.a.ns.nic.cz
authority: nic.cz 1800 SOA a.ns.nic.cz hostmaster.nic.cz 1458222904 10800 3600 1209600 7200

このNXDOMAIN返答から分かることはなにか。演習問題としておく。

-- ToshinoriMaeno 2016-03-22 01:54:22

MoinQ: DNS/毒盛/対策/NXDOMAIN返答活用/SOAレコード

1. DNS/毒盛/NXDOMAIN返答活用/SOAレコード

1.1. SOA/RFC

2. 例

3. 例 2