DNS/運用/delegation - moin.dnsq.info

1. DNS/運用/delegation

Contents

DNS/運用/delegation
JP zone
delegation figure
相互依存の例
1. com.qmail.jp
2. net.qmail.jp
BIND リゾルバー
Unbound リゾルバー
dnscache

委任情報を上位の権威サーバーに正しくDNS/ドメイン名/登録し･維持することはドメイン管理運用の基本です。 DNS/delegation

2. JP zone

JPサーバーが返答に含めているAdditional Sectionはなにか。

JP下のゾーンのglueとして登録されているものらしい。(glueとは限らない。)
- BINDが勝手に付けるものだとのこと。 sibling domain glueと呼ぶひともいる。

信用できるのだろうか。

default設定のBINDリゾルバーは受け取っているようだ。

もしこれらが毒だとすると、とんでもない被害がでる。

JPが付けてくるレコードはどういう理由で付けているのだろうか。

多くがどこかのドメインのNSに対するglue(真)だが、すべてがそうだろうか。

-- ToshinoriMaeno 2018-03-30 01:14:55

3. delegation figure

https://www.buddyns.com/delegation-lab/int-gw.kddi.ne.jp

DNS/lame_delegation

4. 相互依存の例

sibling domainだが、glueはまったく関係なし。

4.1. com.qmail.jp

$ dnsq ns com.qmail.jp a.ns.qmail.jp
2 com.qmail.jp:
69 bytes, 1+0+1+1 records, response, noerror
query: 2 com.qmail.jp
authority: com.qmail.jp 600 NS a.ns.net.qmail.jp
additional: a.ns.net.qmail.jp 600 A 192.168.10.7

additionalは捨てるのがまともと考える。

4.2. net.qmail.jp

$ dnsq ns com.qmail.jp a.ns.qmail.jp
2 com.qmail.jp:
69 bytes, 1+0+1+1 records, response, noerror
query: 2 com.qmail.jp
authority: com.qmail.jp 600 NS a.ns.net.qmail.jp
additional: a.ns.net.qmail.jp 600 A 192.168.10.7

こっちのadditional も同様だ。(普通にはどうせアクセスできない。)

5. BIND リゾルバー

192.168.10.7 (com.qmail.jpゾーンサーバー)が停止している状態でも、こうなる。

$ dig a.ns.net.qmail.jp

; <<>> DiG 9.12.0 <<>> a.ns.net.qmail.jp
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 43715
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;a.ns.net.qmail.jp.             IN      A

;; ANSWER SECTION:
a.ns.net.qmail.jp.      180     IN      A       192.168.10.7

;; Query time: 324 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Thu Mar 29 20:23:30 JST 2018
;; MSG SIZE  rcvd: 62

6. Unbound リゾルバー

こちらも返事がもらえる。ただし、TTLが違っていることに注目。　-- ToshinoriMaeno 2018-03-29 11:26:12

$ dig a.ns.net.qmail.jp @127.0.0.2

; <<>> DiG 9.12.0 <<>> a.ns.net.qmail.jp @127.0.0.2
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 57226
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1220
;; QUESTION SECTION:
;a.ns.net.qmail.jp.             IN      A

;; ANSWER SECTION:
a.ns.net.qmail.jp.      300     IN      A       192.168.10.7

;; Query time: 250 msec
;; SERVER: 127.0.0.2#53(127.0.0.2)
;; WHEN: Thu Mar 29 20:25:06 JST 2018
;; MSG SIZE  rcvd: 62

7. dnscache

BINDと同様の返事

%dig a.ns.net.qmail.jp                                                  ~

; <<>> DiG 9.11.2 <<>> a.ns.net.qmail.jp
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56355
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;a.ns.net.qmail.jp.             IN      A

;; ANSWER SECTION:
a.ns.net.qmail.jp.      180     IN      A       192.168.10.7

;; Query time: 7 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Thu Mar 29 20:26:43 JST 2018
;; MSG SIZE  rcvd: 51

MoinQ: DNS/運用/delegation (last edited 2021-09-10 23:51:25 by ToshinoriMaeno)