DNSの管理運用に関する最新動向

～第69回IETF Meeting、2007 DNS-Operations Workshopでの話題から～

2007/08/10

第69回IETF Meeting（以下、IETF69）が2007年7月22日から7月27日にかけて、アメリカのシカゴで開催されました。今回のIETFには40ヵ国から1,175人の参加者が集い、インターネット技術の標準化に関する様々な議論が行われました。

また、これに合わせる形で、OARC（Operations, Analysis, and Research Center）が主催する2007 DNS-Operations Workshopが7月27日、28日の両日にわたって開催されました。ワークショップには世界各国からDNSオペレータや研究者が集まり、DNSの管理運用に関する話題を中心とした、活発な情報交換と議論が行われました。

今回のFROM JPRSではDNSの管理運用に関する最新動向として、IETF69で開催されたDNSOP（Domain Name System Operations） WG、およびOARCのDNSワークショップで議論された話題の中から特に注目すべきものについて、その概要や議論内容をお伝えします。

DNSOP WG

DNSOP WGは、DNSの管理運用に関する技術的課題や手法について議論し、そのための標準的なガイドラインを作成することを目的としています。

DNSサーバ識別の仕組みの標準化が完了

会議ではまず、DNSサーバの実体を識別するための仕組み（serverid）が、RFC4892として標準化されたことが報告されました。

これまでは、IP Anycastやロードバランシングといった冗長化や負荷分散のための技術をDNSサーバに適用した場合、複数のDNSサーバで1つのIPアドレスを共有することになるため、実際にどのサーバが応答を返してきたのかをクライアント側で識別しにくいという問題がありました。

これは普段はそれほど意識されませんが、障害発生時の原因追求や、IP Anycastの効果の検証といったDNSサーバの管理運用を円滑に行うために必要な情報です。

従来は、BINDネームサーバに固有の機能であった"HOSTNAME.BIND"に対する問い合わせを利用することでこの問題を解決してきましたが、今回発行されたRFC4892では、この"HOSTNAME.BIND"の仕様を汎用的に拡張した"ID.SERVER"を使用しています。これにより、DNS問い合わせを用いてそれぞれのDNSサーバに管理者があらかじめ設定した固有の情報を参照できるようになりました。

なお、IP Anycastによる分散配置を行っているa.dns.jpでは既に"ID.SERVER" を用いたDNSサーバの運用を実施しています。

DNSサーバの制御に関する議論

DNSサーバそのものの制御（例えば、管理するゾーンの増減を伴う変更やアクセス制御、あるいはDNSサーバの動作状態の診断など）は、named.confやnsd.confのようなそれぞれのDNSサーバの設定ファイルを直接操作するか、あるいはrndcやnsdcといった、各実装に準備されている管理用のコマンドを使うことで実現されてきました。

今回のDNSOPでは.ukのレジストリであるNominet UKのJohn Dickinson氏から、DNSサーバの遠隔制御の標準化に関する提案が行われました。この提案はDNSサーバの制御をネットワーク経由で動的に行うための仕組みを確立、標準化することにより、DNSの管理運用をより円滑に行えるようにしようとするものです。

この中には前回のIETF68で.frのレジストリであるAFNICのStephane Bortzmeyer氏が発表した内容とも関連するものが多く（発表内容については2007年4月5日付FROM JPRS「第68回IETF Meeting報告（前編）」をご参照ください）会議の場でこの話題の議論に参加した有志を中心にプロトコルをデザインするチームを作成し、標準化作業をすすめることになりました。今後、メーリングリストで議論が進められ、次回のIETF70で状況が報告される予定です。

OARC 2007 DNS-Operations Workshop

2007 OARC DNS-Operations Workshopが2007年7月27日、28日の両日にわたり、IETF69の会場となったPalmer House Hiltonから2ブロックほど先にあるDePaul大学のLoopキャンパス内の会議室で開催されました。ワークショップにはDNS オペレータや研究者を中心に世界各国から約70名ほどの参加があり、DNSの管理運用に関する情報交換と議論が行われました。

OARC会場、DePaul University Loop Campus外観

ワークショップではまず、OARCの責任者であるKeith Mitchell氏からOARCの現状が報告され、この半年の間にJPRSを含む7つの組織が新たにOARCメンバーとして加盟したことも発表されました。特に、ccTLD運用組織とルートサーバ運用組織が増えており、ルートサーバにおいては、G-rootとH-root以外のすべての組織が加盟したことになります。これはNANOG、RIPE、CENTR等の国際会議の場を通じたOARCの活動の成果であると共に、OARCへの注目の高さが示された結果であると言えるでしょう。

また、実際のDNS運用レポートからDNSサーバの実装状況、DNSに特化した計測ツール、計測結果の考察など、20件弱にわたり、DNSの管理運用に関するさまざまな話題についても議論されました。

今回のワークショップのような、DNSの管理運用に特化した形で開催される会議は他になく、複数のミーティングで分散して話されていた内容が一度に議論できることから、参加者に好評を博していました。

以下、ワークショップの内容から特に興味深かったものについて、いくつかご紹介します。

ルートサーバへのDDoS攻撃に関する続報

2007年2月に起きたルートサーバへのDDoS攻撃への対応について、L-rootを運用するICANNのSteve Conte氏から報告がありました。報告では、DDoS攻撃を受けた際にちょうど新たなL-rootサーバの構築を行っておりテスト稼動中であったこと、そのため現行サーバを守るための緊急対応をするチームと、急遽新サーバを本稼働させるチームに分かれて対応を進めたこと、現在L-rootサーバは従来の10倍の処理能力とより良いネットワーク環境を持っている新しいサーバに切り替えられたことが報告されました。

また、NeuStar/UltraDNSのJohn Kristoff氏からは、今回のDDoS攻撃の状況について、OARCに集められたDDoS攻撃時の実際のトラフィック情報などを元に、調査・分析した結果、攻撃が5,000台程のボットネットによるもので5月まで継続していたことや、当初話されていた300バイトを越える大きなパケットによるものという認識は必ずしも正確ではなかったことなどが報告されました。

DNS計測ツール

DNSの統計情報を計測するツールとしてOARCで多く用いられているDSC（DNS Statistics Collector）に関するセッションが設けられました。DSCの開発者でもあるThe Measurement FactoryのDuane Wessels氏からは、新しいバージョンで取り入れられた機能として、TCPによる問い合わせとIPv6への対応の説明がありました。

また、I-rootを運用するAutonomicaのLars-Johan Liman氏からは、DSCに適用した独自拡張についての発表があり、ルートサーバのAnycastノードのように多数のサーバがネットワーク上に分散配置されている環境において、遠隔地から設定を変更するための仕組みを実装した報告がされました。

DNSキャッシュサーバからみたDNSの現状分析

NTTの豊野剛氏から、ISPのDNSキャッシュサーバにおけるDNSトラフィックについて分析した結果が報告されました。報告では、DNSキャッシュサーバにおけるキャッシュの効率は高く、ユーザからの問い合わせ全体の約80％以上がキャッシュの恩恵を受けていること、DNSキャッシュサーバからルートサーバに実際に発信される問い合わせの実に99.5％が、実際には存在しないTLDに対するものであることなどが発表されました。

あるルートサーバのオペレータが「ルートサーバの重要な役割の一つは、存在しないドメイン名に対して存在しないということを正しく応答することである」と話していたことがありますが、今回の調査結果はDNSキャッシュサーバの側からも、それを裏付けるものであるといえるでしょう。