MoinQ:

1. なぜキャッシュの動作を調べるか

「浸透問題」につながる動作(refresh)をするキャッシュサーバがあります。

しかし、今となってはGhost脆弱性の警告が最重要です。-- ToshinoriMaeno 2012-03-17 02:47:29

2. DNS/キャッシュサーバ上のRRsetのTTLが更新されるか

キャッシュサーバが問い合わせたときに、コンテンツサーバからの返事に authority/additional sectionが含まれていることがあります。 これらのレコードセット(RRSet)をキャッシュにとりこむための条件がゆるいとTTLの更新などが起きます。 [注:場合によっては毒盛される危険性もあります。]

一覧表のTTLの項にrefreshとあるサーバを使っていると、「浸透遅延」に出会う可能性があります。

authority section などを返事に含めないキャッシュサーバ(Googleなど)は今の検査では判別できません。 -- ToshinoriMaeno 2011-08-17 02:44:04

BINDはbind-9.2.3以降は浸透遅延につながる動作はしません。(ghost脆弱性がありますが)

ひとつのIPアドレスに対して、複数のサーバが隠れているものがあります。これらはrefresh判定が困難です。 -- ToshinoriMaeno 2011-08-15 14:50:41

/調査方法


server\query

IP address

NSTTL,上限

../OpenDNS

208.67.222.222

authなし

../Google

8.8.8.8

authなし

DNSadvantage

--

refresh

../plala.or.jp

220.220.248.1,220.220.248.9

refresh2

Norton

198.153.192.1

retain4-6台

OpenNIC

216.87.84.211

retain+

../Level3

209.244.0.3

authなし

../sakura.ad.jp

210.188.224.10

refresh8台?

../sphere.ne.jp

203.138.63.115

retain,1H

../kddi.ne.jp

211.134.181.105

retain 2台

../so-net.ne.jp

202.238.95.24,202.238.95.26

2台

../iij4u.or.jp

210.130.0.1,210.130.1.1

○, refresh(4台)

../nifty.com

202.248.37.74,202.248.20.133

refresh(4-5台)

../point.ne.jp

210.238.9.10

--

ocn.ne.jp

211.129.14.166

?

eaccess.ne.jp

211.14.194.250

*3?

vectant.ne.jp

odn

143.90.130.165,143.90.130.39

3台◯

auone

210.196.3.183,210.141.112.163

4台◯

NTT America

129.250.35.250,129.250.35.251

○?

eo光ネット (eonet.ne.jp)

NTT America Technical Operations: 129.250.35.250,129.250.35.251

flets DNS サーバアドレス一覧 http://flets.com/square/sq_dns.html

【NTT東日本】excite ? プライマリDNS:210.130.1.1 OK セカンダリDNS:210.130.0.1

3. 契約者用?

sphere

203.138.71.154, 210.150.255.66, 203.138.63.114, 203.138.63.122

REFUSED

OCN

202.234.232.6,221.113.139.250

REFUSED

biglobe

210.147.235.3, 133.205.66.51

REFUSED

DNSSECを導入したサイトの検証をするには、210.147.235.4, 133.205.66.52

ASAHIネット:http://asahi-net.jp/support/news/111227.html

(’以外' は外部というつもりだろう) ../asahi-net.jp 202.224.32.1

4. 考察

NSレコードのTTLが更新されるのはDNS/浸透問題DNS/GhostDomainNames脆弱性につながる。

-- ToshinoriMaeno 2012-03-15 23:27:36