1. DNS/用語/glue

/Arends   /JPRS   /JP_NS   /NSレコードに付随するAレコード   /RFCより   /arpa   /policies   /sibling glue   /survey   /twitter   /twitterQuestion   /あれば充分か   /なかったらどうする   /グルーなし問題   /サブドメイン委譲返答   /ルートサーバ返答   /上位のゾーンサーバ   /毒盛   /演習問題   /防御しづらい攻撃法  

glue/グルーがなにかがはっきりしていないのに、グルーレコードという言い方をするのもおかしいので、 単にglueと言うことにしました。-- ToshinoriMaeno 2015-04-02 02:13:25

世間でglue/グルーと呼ばれているものをすべて網羅する表現だとします。

1.1. RFC 1034

glue の説明はDNS/RFC/1034/4.2#A12 に現れる。

"glue"をtext searchで検索すると、wiki内に573件もヒットする。!!

../グルー は 226件です。

/あれば充分か

../なかったらどうする

Contents

  1. DNS/用語/glue
    1. RFC 1034
    2. superglue
    3. グルーとはなにか
    4. 別の立場
    5. グルーではないもの
    6. なぜグルーレコードが必要と言われるのか
    7. グルーなし問題
    8. グルーレコードの最大の問題
    9. グルーレコードに関係する二つの問題
    10. 毒盛
    11. djbdns/dnscache
    12. JP
    13. 似て非なる状況

/JPRS

DNS Glue RR Survey and Terminology Clarification https://datatracker.ietf.org/doc/draft-koch-dns-glue-clarifications/ Expires: September 10, 2015 

while all early RFCs are consistent in using "glue" only for type A address records for NS RR targets, 
they apply slightly different logic as to when a glue A RR should be present.

「NS RR に付随するAレコードだと言う部分は共通している」がとあるが、

https://www.ietf.org/mail-archive/web/dnsop/current/msg14244.html

/survey DNS Glue RR Survey and Terminology Clarification (RFC draft)

DJBの説明: http://D/notes/glue.html

中国語では「胶水」,日本語だと 糊、膠、接着剤 ですね。きづな、つなぎとかもありそう。

関連事項: DNS/委譲 DNS/authority

1.2. superglue

https://fanf.livejournal.com/145708.html

Domain registry APIs and "superglue" - Tony Finch's blog

1.3. グルーとはなにか

このwikiでは以下のように定義しておきます。BIND集団が使うときとは意味が異なるので注意すること。

/上位のゾーンサーバが返す/サブドメイン委譲返答中の/NSレコードに付随するAレコード

別の面からみると、次のように言えます。

DNS 運用上, 必要なA(AAAA)レコードだけを示すようにすることが目的です。

例: 

qmail.jp のNSレコード値は a.ns.qmail.jp です。

こういう問題があるかも:

サブドメインの委譲(委任)DNS/ドメインの委譲の概念をしっかり理解していないと、グルーを理解することは難しいでしょう。

-- ToshinoriMaeno 2013-10-25 11:23:36

1.4. 別の立場

https://www.ietf.org/mail-archive/web/dnsop/current/msg07881.html /Arends

1.5. グルーではないもの

上記以外のものはグルーレコードではないとします。 (グルーモドキというひともいるが、混乱のもと)

BIND集団としては比較的まともな説明:http://www.atmarkit.co.jp/fnetwork/dnstips/015.html 

なお、委任先のサブドメインを管理するネームサーバの名前が全く関係ない場合
    グルーレコードは不要になります。
例えば、example.jpのネームサーバとしてns1.example.com を指定している場合、
   jpのネームサーバはexample.jp に関する問い合わせに対して 
   NS として ns1.example.com を答えるだけで、additional rekord (グルーレコードではない)は返しません。

ここでの前提条件:

が成立する場合、グルーレコードというものが無用なのです。言葉そのものが存在意義がない状況だと言えます。

BIND集団にはNSレコードに対する付加Aレコードをすべてglueと呼ぶ人も含まれているが、 これは正確な議論をするときには妨げになるので、この立場には組しない。

1.6. なぜグルーレコードが必要と言われるのか

DNS の設計ミスを補うため。(ドメイン名空間にこだわりすぎたのです。)

https://lists.dns-oarc.net/pipermail/dns-operations/2015-June/013400.html

https://lists.isc.org/pipermail/bind-users/2009-October/077863.html

1.7. グルーなし問題

必要がないとはいえ、名前解決のためにグルーなしの場合の検索が多段になると、キャッシュサーバも検索をあきらめます。

1.8. グルーレコードの最大の問題

IP アドレスが間違っているケース <:(

1.9. グルーレコードに関係する二つの問題

1.10. 毒盛

Kaminsky手法による攻撃のターゲットになります。 /毒盛

-- ToshinoriMaeno 2011-08-24 23:54:03

1.11. djbdns/dnscache

DJBによる記述: http://djbdns.qmail.jp/djbdns/notes/glue.html 

 当該サーバの管轄区域外のレコードは保存しません; (当然、渡しません。) 
    これらのレコードには毒が入っているかもしれないからです。
 例えば、foo.domのレコードは ルートサーバ、dom サーバ、そしてfoo.dom サーバ からしか受け取りません。

dnscacheは返事の additional セクションからグルーを取り出すために キャッシュをバイパスしたりしません。
 特に、サーバの管轄範囲外のグルー、 TTL 0 のグルー、
その他のキャッシングポリシーに反するグルー などの情報は使いません。

1.12. JP

http://jprs.jp/whatsnew/notice/before2011/20100712-arecord-2.html

/JP_NS

1.13. 似て非なる状況

問い合わせた名前がCNAMEレコードを持つ場合(つまり、別名であった場合)DNS/返答/CNAME返答

ただし、正規名が返答を返すサーバが「権威」をもつゾーン内にある場合にかぎる。

glueと似た状況ではあるが、まったく意味が異なる。

-- ToshinoriMaeno 2017-01-15 10:05:25