= DNS/用語/glue = <> glue/グルーがなにかがはっきりしていないのに、グルーレコードという言い方をするのもおかしいので、 単にglueと言うことにしました。-- ToshinoriMaeno <> 世間でglue/グルーと呼ばれているものをすべて網羅する表現だとします。 == RFC 1034 == glue の説明は[[DNS/RFC/1034/4.2#A12]] に現れる。  ここの説明はまっとうなものだと思う。 [[/RFCより]] "glue"をtext searchで検索すると、wiki内に573件もヒットする。!! [[DNS/用語/glue/survey]] RFC-draft [[../グルー]] は 226件です。 [[/あれば充分か]] [[../なかったらどうする]] <> [[/JPRS]] DNS Glue RR Survey and Terminology Clarification https://datatracker.ietf.org/doc/draft-koch-dns-glue-clarifications/ Expires: September 10, 2015 {{{ while all early RFCs are consistent in using "glue" only for type A address records for NS RR targets, they apply slightly different logic as to when a glue A RR should be present. }}} 「NS RR に付随するAレコードだと言う部分は共通している」がとあるが、   それだけでglueと呼ぶのは間違いです。RFC1033,1034に戻ろう。-- ToshinoriMaeno <> https://www.ietf.org/mail-archive/web/dnsop/current/msg14244.html [[/survey]] DNS Glue RR Survey and Terminology Clarification (RFC draft) DJBの説明: [[http://djbdns.qmail.jp/djbdns/notes/glue.html|http://D/notes/glue.html]] 中国語では「胶水」,日本語だと 糊、膠、接着剤 ですね。きづな、つなぎとかもありそう。 関連事項: [[DNS/委譲]] [[DNS/authority]] == superglue == https://fanf.livejournal.com/145708.html Domain registry APIs and "superglue" - Tony Finch's blog == グルーとはなにか == このwikiでは以下のように定義しておきます。BIND集団が使うときとは意味が異なるので注意すること。 ---- 「[[/上位のゾーンサーバ]]が返す[[/サブドメイン委譲返答]]中の[[/NSレコードに付随するAレコード]]」 ただし、NSレコード値が委譲されるサブドメイン内の名前であるとき。 (in bailiwick といわれます。)  (以前に、「問い合わせドメイン内の名前である」と書いたのは間違いです。)   またNSレコードのラベルは問い合わせのsuffixである必要があります。(そのラベルを返答する権限も必要です) [[DNS/委譲返答]]は別途説明をみて欲しい。(answer 節がなくて、 authority を示すNSレコードがあるのが特徴です。) まぎらわしいのが、ゾーンサーバがおまけで返してくるNSレコードです。(委譲ではない) 別の面からみると、次のように言えます。  グルーレコードがなければ、ゾーンサーバにアクセス不可能になってしまう場合に、  親ゾーンサーバが委譲返答のadditional section につけるAレコードである DNS 運用上, 必要なA(AAAA)レコードだけを示すようにすることが目的です。 [[/JP]] [[/ルートサーバ返答]] などは余計な additional A レコードをつけてきます。  毒の可能性を考慮するなら、捨てるのが安全です。 例: {{{ qmail.jp のNSレコード値は a.ns.qmail.jp です。 }}} こういう問題があるかも: http://support.microsoft.com/kb/915022/ja サブドメインの委譲(委任)[[DNS/ドメインの委譲]]の概念をしっかり理解していないと、グルーを理解することは難しいでしょう。 -- ToshinoriMaeno <> == 別の立場 == https://www.ietf.org/mail-archive/web/dnsop/current/msg07881.html [[/Arends]] == グルーではないもの == 上記以外のものはグルーレコードではないとします。 (グルーモドキというひともいるが、混乱のもと)  特に権威サーバがauthority section に返してくる NS レコードに対応する additional section 中の対応 A レコードはグルーではない。 * DNS 関連のトラフィックを軽減するために、付け加えられているに過ぎない。 * それが毒盛に利用されるのは設計のミスといえよう。 ---- BIND集団としては比較的まともな説明:http://www.atmarkit.co.jp/fnetwork/dnstips/015.html ただし、誤解を招く表現がある。例えば、以下の部分です。 {{{ なお、委任先のサブドメインを管理するネームサーバの名前が全く関係ない場合 グルーレコードは不要になります。 例えば、example.jpのネームサーバとしてns1.example.com を指定している場合、 jpのネームサーバはexample.jp に関する問い合わせに対して NS として ns1.example.com を答えるだけで、additional rekord (グルーレコードではない)は返しません。 }}} ここでの前提条件: . 委任先のサブドメインを管理するネームサーバの名前が全く関係ない場合 が成立する場合、グルーレコードというものが無用なのです。言葉そのものが存在意義がない状況だと言えます。 (まったく関係ないというのはどういう意味なのかも問題です。-- ToshinoriMaeno <>) BIND集団にはNSレコードに対する付加Aレコードをすべてglueと呼ぶ人も含まれているが、 これは正確な議論をするときには妨げになるので、この立場には組しない。 == なぜグルーレコードが必要と言われるのか == DNS の設計ミスを補うため。(ドメイン名空間にこだわりすぎたのです。) https://lists.dns-oarc.net/pipermail/dns-operations/2015-June/013400.html "sibling glue" と呼ばれるglueではないがなんらかの情報(A/AAAA)が必要なケース。    そのような設定が間違っていると考える。-- ToshinoriMaeno <> https://lists.isc.org/pipermail/bind-users/2009-October/077863.html ここにあるような設定はだめという話になったはずだが。 == グルーなし問題 == 必要がないとはいえ、名前解決のためにグルーなしの場合の検索が多段になると、キャッシュサーバも検索をあきらめます。  [[watchNS/dip.jp]] 相互参照のドメイン問題 == グルーレコードの最大の問題 == IP アドレスが間違っているケース <:(  ドメイン乗っ取りにつながることでしょう。 == グルーレコードに関係する二つの問題 == * 権威がない名前に対して余計な A レコードをつけてくる DNS サーバ (バンド幅の無駄) . かつては毒盛手段としても使われた。現在はまともなレゾルバーには無視されるだけだが、非常に多い。 設定のミスに起因するが、実装の間違いでもある。 * 効率のためには付加すべき Aレコードを返さない DNS権威(コンテンツ)サーバ == 毒盛 == Kaminsky手法による攻撃のターゲットになります。 [[/毒盛]] -- ToshinoriMaeno <> == djbdns/dnscache == DJBによる記述: http://djbdns.qmail.jp/djbdns/notes/glue.html 権限外の名前に対するadditional A は不要・害だという立場。 dnscache での扱いは上の線に沿ったもののようだ: {{{ 当該サーバの管轄区域外のレコードは保存しません; (当然、渡しません。) これらのレコードには毒が入っているかもしれないからです。 例えば、foo.domのレコードは ルートサーバ、dom サーバ、そしてfoo.dom サーバ からしか受け取りません。 dnscacheは返事の additional セクションからグルーを取り出すために キャッシュをバイパスしたりしません。 特に、サーバの管轄範囲外のグルー、 TTL 0 のグルー、 その他のキャッシングポリシーに反するグルー などの情報は使いません。 }}} == JP == http://jprs.jp/whatsnew/notice/before2011/20100712-arecord-2.html JP DNSのDNS応答におけるIPアドレス出力条件変更のお知らせ(詳細) [[/JP_NS]] == 似て非なる状況 == 問い合わせた名前がCNAMEレコードを持つ場合(つまり、別名であった場合)[[DNS/返答/CNAME返答]]  Answer SectionにはCNAMEレコードが入れられる。さらに、  正規名が問い合わせタイプのレコードを持つ場合、そのレコードもAnswerとして付けられる。 ただし、正規名が返答を返すサーバが「権威」をもつゾーン内にある場合にかぎる。 glueと似た状況ではあるが、まったく意味が異なる。 -- ToshinoriMaeno <>