JPドメイン名のサービス案内、ドメイン名・DNSに関連する情報提供サイト

増刊号

vol.79

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━2007-08-09━
                    ◆ FROM JPRS 増刊号 vol.79 ◆
━!JP━━━━━━━━━━━━━━━━━━━━━━━━━JPRS━━
___________________________________

 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
                      DNSの管理運用に関する最新動向
   ~第69回IETF Meeting、2007 DNS-Operations Workshopでの話題から~
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

第69回IETF Meeting(以下、IETF69)が2007年7月22日から7月27日にかけて、
アメリカのシカゴで開催されました。今回のIETFには40ヵ国から1,175人の参
加者が集い、インターネット技術の標準化に関する様々な議論が行われました。

また、これに合わせる形で、OARC(Operations, Analysis, and Research 
Center)が主催する2007 DNS-Operations Workshopが7月27日、28日の両日に
わたって開催されました。ワークショップには世界各国からDNSオペレータや
研究者が集まり、DNSの管理運用に関する話題を中心とした、活発な情報交換
と議論が行われました。

今回のFROM JPRSではDNSの管理運用に関する最新動向として、IETF69で開催さ
れたDNSOP(Domain Name System Operations) WG、およびOARCのDNSワーク
ショップで議論された話題の中から特に注目すべきものについて、その概要や
議論内容をお伝えします。

          ◇                     ◇                     ◇

■DNSOP WG

DNSOP WGは、DNSの管理運用に関する技術的課題や手法について議論し、その
ための標準的なガイドラインを作成することを目的としています。

▼DNSサーバ識別の仕組みの標準化が完了

会議ではまず、DNSサーバの実体を識別するための仕組み(serverid)が、RFC
4892として標準化されたことが報告されました。

これまでは、IP Anycastやロードバランシングといった冗長化や負荷分散のた
めの技術をDNSサーバに適用した場合、複数のDNSサーバで1つのIPアドレスを
共有することになるため、実際にどのサーバが応答を返してきたのかをクライ
アント側で識別しにくいという問題がありました。

これは普段はそれほど意識されませんが、障害発生時の原因追求や、IP Anycast
の効果の検証といったDNSサーバの管理運用を円滑に行うために必要な情報で
す。

従来は、BINDネームサーバに固有の機能であった"HOSTNAME.BIND"に対する問
い合わせを利用することでこの問題を解決してきましたが、今回発行されたRFC
4892では、この"HOSTNAME.BIND"の仕様を汎用的に拡張した"ID.SERVER"を使用
しています。これにより、DNS問い合わせを用いてそれぞれのDNSサーバに管理
者があらかじめ設定した固有の情報を参照できるようになりました。

なお、IP Anycastによる分散配置を行っているa.dns.jpでは既に"ID.SERVER" 
を用いたDNSサーバの運用を実施しています。

▼DNSサーバの制御に関する議論

DNSサーバそのものの制御(例えば、管理するゾーンの増減を伴う変更やアク
セス制御、あるいはDNSサーバの動作状態の診断など)は、named.confや
nsd.confのようなそれぞれのDNSサーバの設定ファイルを直接操作するか、あ
るいはrndcやnsdcといった、各実装に準備されている管理用のコマンドを使う
ことで実現されてきました。

今回のDNSOPでは.ukのレジストリであるNominet UKのJohn Dickinson氏から、
DNSサーバの遠隔制御の標準化に関する提案が行われました。この提案はDNS
サーバの制御をネットワーク経由で動的に行うための仕組みを確立、標準化す
ることにより、DNSの管理運用をより円滑に行えるようにしようとするもので
す。

この中には前回のIETF68で.frのレジストリであるAFNICのStephane Bortzmeyer
氏が発表した内容とも関連するものが多く(発表内容については2007年4月5日
付FROM JPRS「第68回IETF Meeting報告(前編)」をご参照ください)会議の
場でこの話題の議論に参加した有志を中心にプロトコルをデザインするチーム
を作成し、標準化作業をすすめることになりました。今後、メーリングリスト
で議論が進められ、次回のIETF70で状況が報告される予定です。

■OARC 2007 DNS-Operations Workshop

2007 OARC DNS-Operations Workshopが2007年7月27日、28日の両日にわたり、
IETF69の会場となったPalmer House Hiltonから2ブロックほど先にあるDePaul 
大学のLoopキャンパス内の会議室で開催されました。ワークショップにはDNS 
オペレータや研究者を中心に世界各国から約70名ほどの参加があり、DNSの管
理運用に関する情報交換と議論が行われました。

ワークショップではまず、OARCの責任者であるKeith Mitchell氏からOARCの現
状が報告され、この半年の間にJPRSを含む7つの組織が新たにOARCメンバーと
して加盟したことも発表されました。特に、ccTLD運用組織とルートサーバ運
用組織が増えており、ルートサーバにおいては、G-rootとH-root以外のすべて
の組織が加盟したことになります。これはNANOG、RIPE、CENTR等の国際会議の
場を通じたOARCの活動の成果であると共に、OARCへの注目の高さが示された結
果であると言えるでしょう。

また、実際のDNS運用レポートからDNSサーバの実装状況、DNSに特化した計測
ツール、計測結果の考察など、20件弱にわたり、DNSの管理運用に関するさま
ざまな話題についても議論されました。

今回のワークショップのような、DNSの管理運用に特化した形で開催される会
議は他になく、複数のミーティングで分散して話されていた内容が一度に議論
できることから、参加者に好評を博していました。

以下、ワークショップの内容から特に興味深かったものについて、いくつかご
紹介します。

▼ルートサーバへのDDoS攻撃に関する続報

2007年2月に起きたルートサーバへのDDoS攻撃への対応について、L-rootを運
用するICANNのSteve Conte氏から報告がありました。報告では、DDoS攻撃を受
けた際にちょうど新たなL-rootサーバの構築を行っておりテスト稼動中であっ
たこと、そのため現行サーバを守るための緊急対応をするチームと、急遽新サー
バを本稼働させるチームに分かれて対応を進めたこと、現在L-rootサーバは従
来の10倍の処理能力とより良いネットワーク環境を持っている新しいサーバに
切り替えられたことが報告されました。

また、NeuStar/UltraDNSのJohn Kristoff氏からは、今回のDDoS攻撃の状況に
ついて、OARCに集められたDDoS攻撃時の実際のトラフィック情報などを元に、
調査・分析した結果、攻撃が5,000台程のボットネットによるもので5月まで継
続していたことや、当初話されていた300バイトを越える大きなパケットによ
るものという認識は必ずしも正確ではなかったことなどが報告されました。

▼DNS計測ツール

DNSの統計情報を計測するツールとしてOARCで多く用いられているDSC(DNS 
Statistics Collector)に関するセッションが設けられました。DSCの開発者で
もあるThe Measurement FactoryのDuane Wessels氏からは、新しいバージョン
で取り入れられた機能として、TCPによる問い合わせとIPv6への対応の説明が
ありました。

また、I-rootを運用するAutonomicaのLars-Johan Liman氏からは、DSCに適用
した独自拡張についての発表があり、ルートサーバのAnycastノードのように
多数のサーバがネットワーク上に分散配置されている環境において、遠隔地か
ら設定を変更するための仕組みを実装した報告がされました。

▼DNSキャッシュサーバからみたDNSの現状分析

NTTの豊野剛氏から、ISPのDNSキャッシュサーバにおけるDNSトラフィックにつ
いて分析した結果が報告されました。報告では、DNSキャッシュサーバにおけ
るキャッシュの効率は高く、ユーザからの問い合わせ全体の約80%以上が
キャッシュの恩恵を受けていること、DNSキャッシュサーバからルートサーバ
に実際に発信される問い合わせの実に99.5%が、実際には存在しないTLDに対
するものであることなどが発表されました。

あるルートサーバのオペレータが「ルートサーバの重要な役割の一つは、存在
しないドメイン名に対して存在しないということを正しく応答することである」
と話していたことがありますが、今回の調査結果はDNSキャッシュサーバの側
からも、それを裏付けるものであるといえるでしょう。

◎関連URI

    Domain Name System Operations (dnsop) Charter
    http://www.ietf.org/html.charters/dnsop-charter.html
    (IETF DNSOPワーキンググループ)

    Woolf, S. and D. Conrad, "Requirements for a Mechanism Identifying
    a Name Server Instance", RFC 4892, June 2007.
    http://www.ietf.org/rfc/rfc4892.txt
    (DNSサーバの実体を識別するための仕組み)

    P. Koch, M. Larson, "Initializing a DNS Resolver with Priming 
    Queries", July 2007.
    http://www.ietf.org/internet-drafts/draft-ietf-dnsop-resolver-priming-00.txt
    (プライミング問い合わせによるリゾルバの初期化)

    2007 DNS Ops Workshop - OARCI
    http://public.oarci.net/dns-operations/workshop-2007/
    (2007 DNS-Operations Workshopの公式ページ)

    Dsc: A DNS Statistics Collector
    http://dns.measurement-factory.com/tools/dsc/
    (DNS統計情報収集ツール、DSCの公式ページ)

━!JP━━━━━━━━━━━━━━━━━━━━━━━━━JPRS━━
              編集・発行:株式会社日本レジストリサービス(JPRS)
                            http://jprs.jp/
                            http://日本レジストリサービス.jp/
                会議報告:  http://jpinfo.jp/event/
  メールニュース配信解除:  http://jpinfo.jp/mail/
          ご意見・ご要望:  from@jprs.jp

当メールマガジンの全文または一部の文章をホームページ、メーリングリスト、
ニュースグループまたは他のメディア等へ許可なく転載することを禁止します。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Copyright(C), 2007 Japan Registry Services Co., Ltd. 2007年08月09日