---------------------------------------------------------------------
■BIND 8.4.3 の問題について
                                                      2003/12/10(Wed)
---------------------------------------------------------------------

▼概要

  BIND 8.4.3 には特定の環境下で query を出し続ける不具合があったため、
  ISC がこのバージョンを破棄し、使用しないよう呼びかけています。ここで
  はその問題点と解決策について記します。

▼問題点

  ISC から2003年11月27日にリリースされた BIND のバージョン 8.4.3 には
  次のような問題があることが判明しています。

  BIND 8.4.3 を使用している DNS キャッシュサーバに IPv4, IPv6 アドレス
  の両方が割り当てられていて、かつ名前解決が正しくできないドメイン名を
  その DNS キャッシュサーバ経由で検索すると無駄なパケットを発生し続け
  ます。

  例えばexample.jpというドメイン名について、次のようにJPゾーンに登録し
  てあったとします。

    $ORIGIN jp.
    example.jp.      IN   NS   ns0.example.jp.
                     IN   NS   ns1.example.jp.
    ns0.example.jp.  IN   A    10.10.10.10
    ns1.example.jp.  IN   A    172.20.172.20

  ここで example.jpのネームサーバーである、ns0.example.jp と 
  ns1.example.jp の両方ともがDNS的に正常な応答を返さない場合、つまり

    ・ IP的な接続が得られない (ホストが停止している等)
    ・ ホストは動いているがネームサーバーのプログラムが停止している
    ・ ネームサーバーのプログラムは動いているが、example.jpゾーンの
       必要な情報が存在しない

  などの場合に、example.jp のホストに関する問い合わせ(例えば 
  www.example.jp の IP アドレスを検索する)が、BIND 8.4.3 経由で行われ
  ると、ns0.example.jp と ns1.example.jp のAAAA レコードの問い合わせを
  延々と繰り返し、無駄なパケットを発生し続けます。

  この場合、トラフィックの無駄になるばかりか、named プログラム自体も相
  当な CPU リソースを消費し、そのサーバーのパフォーマンスもかなり低下
  することとなります。

---------------------------------------------------------------------
▼当面の解決策

  ISC ではこの問題を解決する BIND 8.4.4 をリリースするとアナウンスして
  いますが、それまでの対応策には次のものが考えられます。

  BIND 8.4.3 の named に -4 オプションをつけて起動する、
  または BIND 8.3.7 を利用する

    named に -4 オプションを利用すると、IPv6 の対応の機能が停止し、こ
    の問題を回避できます。しかし IPv6 の機能を利用しないのであれば、
    BIND 8.3.7 を利用するのが望ましいと考えられます。

    なおBIND 8.4.3より前の8.4系(8,4.0～8.4.2)については、別のセキュリ
    ティホールがあるため利用は控えてください。

  IPv6 の機能が必要な場合は BIND 9.2.3 を利用する

    BIND 9の最新版である BIND 9.2.3 は IPv6 に対応しており、BIND 8.4.3 
    のような問題はありませんので、IPv6 機能を利用するのであれば、こち
    らを利用するのが望ましいといえます。

---------------------------------------------------------------------