Takashi Takizawa, profile picture
Uploaded byTakashi Takizawa
PPTX, PDF5,408 views

DNS RFCの歩き方(短縮版)

DNS RFCの歩き方(短縮版)

Embed presentation

Downloaded 21 times
2016-03-26 DNS温泉番外編(2016年春) LT DNSのRFCの歩き方(短縮版) 滝澤隆史 @ttkzw https://emaillab.jp/ 1
この資料の概要 • DNSの概念や仕様を定めている ▫ RFC 1034 DOMAIN NAMES – CONCEPTS AND FACILITIES (ドメイン名 – 概念と機能)と ▫ RFC 1035 DOMAIN NAMES – IMPLEMENTATION AND SPECIFICATION (ドメイン名 – 実装と仕様) • と、後に発行されたRFCで変更・修正された内 容および拡張された仕様の一部について説明す る。 2
注意点 • この資料ではRFCの文書を一部翻訳しています が、おおざっぱな訳なので、後で自身で原文を 当たってください。 • 今回は拡張された機能についてはほとんど説明 しません。特にDNSSECについては全く説明し ません。 3
4
DNSの基本仕様 • RFC 1034 ▫ DOMAIN NAMES – CONCEPTS AND FACILITIES ▫ ドメイン名 – 概念と機能 • RFC 1035 ▫ DOMAIN NAMES – IMPLEMENTATION AND SPECIFICATION ▫ ドメイン名 – 実装と仕様 5
RFC 1034 DOMAIN NAMES - CONCEPTS AND FACILITIES • タイトル ▫ DOMAIN NAMES – CONCEPTS AND FACILITIES ▫ ドメイン名 – 概念と機能 • 概要 ▫ DNSの構成要素の役割や機能についての説明  ドメイン名空間とリソースレコード  ネームサーバー  リゾルバー 6
RFC 1035 DOMAIN NAMES - IMPLEMENTATION AND SPECIFICATION • タイトル ▫ DOMAIN NAMES – IMPLEMENTATION AND SPECIFICATION ▫ ドメイン名 – 実装と仕様 • 概要 ▫ DNSのプロトコルの仕様  ドメイン名空間  リソースレコード  メッセージ  マスターファイル  ネームサーバーの実装  リゾルバーの実装  メールエクスチェンジャ 7
DNSの構成要素 スタブリゾルバー フルリゾルバー メッセージ マスター ファイル com jp coexampleexample ns www ドメイン名空間 権威サーバー メッセージ ロード example.jp. IN NS ns.example.jp. example.jp. IN SOA ns.exampele.jp. .. ns.example.jp. IN A 192.0.2.1 リソースレコード ゾーン内のリソース レコードを記述 ドメイン名 タイプ 権威サーバー ゾーン転送 8
DNSの実装上の要求事項 • RFC 1123 ▫ Requirements for Internet Hosts -- Application and Support  6.1 DOMAIN NAME TRANSLATION ▫ インターネットホストの要求事項 – アプリケーションとサポート  6.1 ドメイン名変換 9
RFC 1123 Requirements for Internet Hosts -- Application and Support • タイトル ▫ Requirements for Internet Hosts -- Application and Support ▫ インターネットホストの要求事項 – アプリケーションとサポート • 概要 ▫ インターネットに接続するホストが満たすべき要求事 項を定めている。 ▫ DNSについての要求事項は「6.1 DOMAIN NAME TRANSLATION」に記載。 ▫ 基本的にはRFC 1034とRFC 1035を参照しているが、 RFC 1034とRFC 1035では言及されていない要求事 項も含まれている。 10
RFC 1034とRFC 1035への道 • DNSの仕組みをある程度理解していないとRFC 1034とRFC 1035の内容を理解できない。 ▫ いきなりRFCを読んでもたぶん理解できない。 • 時代背景が異なることを意識すること。 ▫ DNSが検討開始されたのはARPANETからThe Internetへの過渡期 ▫ 現在は、IN以外のクラス(CS, CH, HS)は使わ ない。  ただし、CHは本来の用途とは異なり、ネームサー バーの情報の取得に使われている。  $ dig TXT CH version.bind. 11
RFC 1034とRFC 1035への道 • 曖昧さや間違いがある。 ▫ RFC 1034とRFC 1035が基本仕様であるが、 ▫ 後から公開されたRFCにより、 ▫ 曖昧な点や間違いが訂正されたり、仕様が変更さ れたりしているため、 ▫ RFC 1034とRFC 1035の内容がすべて正しいと は思わないように。 • RFC 1034、RFC 1035、RFC 1123をアップ デートしているRFCも読む必要がある。 12
アップデート (拡張機能のRFCは除く) • RFC 1982 ▫ Serial Number Arithmetic ▫ シリアル番号演算 • RFC 2181 ▫ Clarifications to the DNS Specification ▫ DNSの仕様の明確化 • RFC 2308 ▫ Negative Caching of DNS Queries (DNS NCACHE) ▫ DNSクエリーのネガティブキャッシュ • RFC 3425 ▫ Obsoleting IQUERY ▫ IQUERYの廃止 • RFC 4343 ▫ Domain Name System (DNS) Case Insensitivity Clarification ▫ DNSの大文字小文字を区別しないことの明確化 13
アップデート (拡張機能のRFCは除く) • RFC 4592 ▫ The Role of Wildcards in the Domain Name System ▫ DNSにおけるワイルドカードの役割 • RFC 5452 ▫ Measures for Making DNS More Resilient against Forged Answers ▫ DNSを偽の回答に対する耐性の強化方法 • RFC 5936 ▫ DNS Zone Transfer Protocol (AXFR) ▫ DNSのゾーン転送プロトコル (AXFR) • RFC 6604 ▫ xNAME RCODE and Status Bits Clarification ▫ xNAME RCODEとステータスビットの明確化 • RFC 7766 ▫ DNS Transport over TCP - Implementation Requirements ▫ DNSのTCP転送 – 実装と要求事項 14
DNSの基本仕様およびアップデート RFC 1034 / STD 13 DOMAIN NAMES - CONCEPTS AND FACILITIES RFC 1982 / PS Serial Number Arithmetic RFC 1035 / STD 13 DOMAIN NAMES - IMPLEMENTATION AND SPECIFICATION RFC 1123 / STD 3 Requirements for Internet Hosts -- Application and Support RFC 3425 / PS Obsoleting IQUERY RFC 2308 / PS Negative Caching of DNS Queries (DNS NCACHE) RFC 5452 / PS Measures for Making DNS More Resilient against Forged Answers RFC 7766 / PS DNS Transport over TCP - Implementation Requirements RFC 5936 / PS DNS Zone Transfer Protocol (AXFR) RFC 4343 / PS Domain Name System (DNS) Case Insensitivity Clarification アップデート 参照 15 RFC 4592 / PS The Role of Wildcards in the Domain Name System RFC 2181 / PS Clarifications to the DNS Specification RFC 6604 / PS xNAME RCODE and Status Bits Clarification
16
RFC 1982 Serial Number Arithmetic • タイトル ▫ Serial Number Arithmetic ▫ シリアル番号演算 • 概要 ▫ RFC 1034とRFC 1035ではゾーン転送における SOAレコードのシリアル番号の比較に"sequence space arithmetic"を使うと記述されている。 ▫ しかし、"sequence space arithmetic"そのもの の定義がない。 ▫ RFC 1982ではその定義を行う。 17
RFC 1982 Serial Number Arithmetic • おおざっぱにまとめると ▫ シリアル番号の扱い  32ビットの符号無し整数  範囲は[0 .. 4294967295](2^32 - 1)  最大値から0に周回する。つまり、4294967295+1は0  増加の範囲は[0 .. 2147483647] (2^31 - 1) ▫ シリアル番号の増分が増加の最大値以下であれば「シリアル番号 の増加(increment)」と判断する。  例)「4294967295 → 0」は増分が1なので、「増加」と判断で きる。 • シリアル番号の保守 ▫ RFC 2182 "Selection and Operation of Secondary DNS Servers"  "7. Serial Number Maintenance"  間違って大きすぎる番号を付けてしまった場合に、小さい番号に付け 直す方法が書いてある。 18
RFC 2181 Clarifications to the DNS Specification • タイトル ▫ Clarifications to the DNS Specification ▫ DNSの仕様の明確化 • 概要 ▫ この文書はDNSの仕様の問題として確認されてい る分野について考察し、確認された欠陥の改善を 提案する。 19
RFC 2181 Clarifications to the DNS Specification • 4. Server Reply Source Address Selection ▫ マルチホームのサーバにおける応答の送信元アド レスの選択方法 • 4.1. UDP Source Address Selection  問い合わせの宛先アドレスを応答の送信元アドレス としてセットする。 • 4.2. Port Number Selection  問い合わせの送信元ポート番号を応答の宛先ポート 番号として使う。  応答は指示されたポート番号から送信される。  DNSのウェルノウンポート、53 20
RFC 2181 Clarifications to the DNS Specification • 5. Resource Record Sets ▫ 同じラベル、クラス、タイプのリソースレコード の集まりを「リソースレコードセット」 (RRset)と定義する。 ▫ 問い合わせに対して、関連するRRが複数あるとき には、RRsetのすべてのRRを返す。 ▫ RRsetのすべてのRRは同じTTLを使う。 21
RFC 2181 Clarifications to the DNS Specification • 5.4.1. Ranking data ▫ データの信頼性の順位について論じている。下に行くほど低い。  Data from a primary zone file, other than glue data,  Data from a zone transfer, other than glue,  The authoritative data included in the answer section of an authoritative reply.  Data from the authority section of an authoritative answer,  Glue from a primary zone, or glue from a zone transfer,  Data from the answer section of a non-authoritative answer, and non-authoritative data from the answer section of authoritative answers,  Additional information from an authoritative answer, Data from the authority section of a non-authoritative answer, Additional information from non-authoritative answers. 22
RFC 2181 Clarifications to the DNS Specification • 6. Zone Cuts ▫ zone ▫ zone cut ▫ "child" zone ▫ "parent" zone ▫ zone's "origin" • 6.1. Zone authority ▫ ゾーンの権威について 23
RFC 2181 Clarifications to the DNS Specification • 7. SOA RRs ▫ SOAレコードに関する記述を3つ修正 24
RFC 2181 Clarifications to the DNS Specification • 7.1. Placement of SOA RRs in authoritative answers ▫ RFC 1034 "4.3.4 Negative response caching (Optional)"の内容が間違っている。  The method is that a name server may add an SOA RR to the additional section of a response when that response is authoritative. ▫ ネガティブキャッシュのときにもSOAレコードを authorityセクションにおいて回答する。  SOA records, if added, are to be placed in the authority section. 25
RFC 2181 Clarifications to the DNS Specification • 7.2. TTLs on SOA RRs ▫ RFC 1035 "3.2.1. Format"の内容が間違っている。  SOA records are always distributed with a zero TTL to prohibit caching. • 7.2. TTLs on SOA RRs ▫ どこにも言及されていないし、そのような実装は行わ れていない。実装はTTLが0であることを想定すべき ではないし、0のTTLを持つSOAレコードを送信する ことを要求してもいけない。  This is mentioned nowhere else, and has not generally been implemented. Implementations should not assume that SOA records will have a TTL of zero, nor are they required to send SOA records with a TTL of zero. 26
RFC 2181 Clarifications to the DNS Specification • 7.3. The SOA.MNAME field ▫ 仕様では明確になっているが広く無視されている。 ▫ SOAレコードのMNAMEフィールドはゾーンのマ スターサーバの名前を設定する。 ▫ ゾーン自体の名前を書くべきではない。 27
RFC 2181 Clarifications to the DNS Specification • 8. Time to Live (TTL) ▫ RFC 1035におけるTTLの定義  2.3.4. Size limits  positive values of a signed 32 bit number.  3.2.1. Format  a 32 bit signed integer that specifies the time interval  4.1.3. Resource record format  a 32 bit unsigned integer that specifies the time interval ▫ 明確にする  符号無し整数  最小値: 0  最大値: 2147483647 (2^31 - 1)  最上位ビットが1であるときにはTTLを0と扱うべき 28
RFC 2181 Clarifications to the DNS Specification • 9. The TC (truncated) header bit ▫ TCビットについての説明 29
RFC 2181 Clarifications to the DNS Specification • 10.1. CNAME resource records ▫ CNAMEの意味を明確化  CNAME ("canonical name")「正式名」は"alias name"「別名」と関連づけるために使う  CNAMEは「別名」を示すのでなく、「別名」に対 する「正式名」を示す。  別名 IN CNAME 正式名 30
RFC 2181 Clarifications to the DNS Specification • 10.2. PTR records ▫ PTRレコードは一つだけ持つというのは誤り。 ▫ PTRレコードの値には(CNAMEで定義される) 別名であってならない。 31
RFC 2181 Clarifications to the DNS Specification • 10.3. MX and NS records ▫ MXレコードとNSレコードの値は(CNAMEで定 義される)別名であってはならない。 32
RFC 2181 Clarifications to the DNS Specification • 11. Name syntax ▫ DNSはホスト名からデータへ、IPアドレスからホ スト名へとマッピングするためだけのものではな い。 ▫ DNSは汎用的な階層型データベースであり、様々 なデータを様々な目的で格納できる。 33
RFC 2308 Negative Caching of DNS Queries (DNS NCACHE) • タイトル ▫ Negative Caching of DNS Queries (DNS NCACHE) ▫ DNSクエリーのネガティブキャッシュ • 概要 ▫ ネガティブキャッシュについての詳細な説明と再 定義を行っている。 34
RFC 2308 Negative Caching of DNS Queries (DNS NCACHE) • RFC 1034からの変更点(8 - Changes from RFC 1034) ▫ ネガティブキャッシュはoptionalであったが、RFC 2308ではキャッシュする場合は、ネガティブキャッ シュもしなければならない(must)ようになった。 ▫ AuthorityセクションのSOAレコードはキャッシュし なければならない(MUST)。 ▫ キャッシュしたSOAレコードは応答に加えなければな らない(MUST)。 • SOA Minimumフィールド ▫ 否定応答のTTLとして使われる。 ▫ 元々別の意味で定義されていたが再定義された。 35
RFC 3425 Obsoleting IQUERY • タイトル ▫ Obsoleting IQUERY ▫ IQUERYの廃止 • 概要 ▫ 逆引き検索を実施するIQUERY opcodeを廃止す る。 ▫ 逆引きはPTRレコードのクエリーで行うことが望 ましい。 36
RFC 4343 Domain Name System (DNS) Case Insensitivity Clarification • タイトル ▫ Domain Name System (DNS) Case Insensitivity Clarification ▫ DNSの大文字小文字を区別しないことの明確化 • 概要 ▫ ドメイン名の大文字小文字を区別しない。  ASCII文字が対象 ▫ この文書はその意味を説明し、仕様を明確にする。 37
RFC 4343 Domain Name System (DNS) Case Insensitivity Clarification • 問い合わせにおいては大文字小文字を区別すべきで ない。 ▫ 次の2つのドメイン名の問い合わせは同じ結果となる。  foo.example.net.  Foo.ExamplE.net. ▫ 実装  比較前に0x61-0x7Aの範囲の文字(小文字)であれば 0x20を引く。 • 大文字小文字の維持 ▫ 可能な限りオリジナルの大文字小文字を維持すべきで ある。 38
RFC 4343 Domain Name System (DNS) Case Insensitivity Clarification • ラベルのエスケープ方法 ▫ DNSのプロトコル上は8ビット文字も使える。 ▫ 文字コードが0x00-0x20,0x2E(.),0x7F-0xFFである 文字をバックスラッシュでエスケープする記法  バックスラッシュ() + 文字コードの3桁の十進数  バックスラッシュ() + 文字(ASCII印字可能文字の場 合) ▫ 例  バックスラッシュ"" → "092" or ""  ピリオド"." → "046" or "."  スペース" " → "032" 39
RFC 4592 The Role of Wildcards in the Domain Name System • タイトル ▫ The Role of Wildcards in the Domain Name System ▫ DNSにおけるワイルドカードの役割 • 概要 ▫ RFC 1034のワイルドカードの定義を更新する。 ▫ "*"(Asterisk Label) 40
RFC 5452 Measures for Making DNS More Resilient against Forged Answers • タイトル ▫ Measures for Making DNS More Resilient against Forged Answers ▫ DNSを偽の回答に対する耐性の強化方法 • 概要 ▫ DNSを不正な応答を受け付けることに対して耐性 を強化する方法について説明する。 41
RFC 5452 Measures for Making DNS More Resilient against Forged Answers • 9.1. Query Matching Rules ▫ RFC 2181 "5.4.1. Ranking data"のDNSの信頼性規 則を適応する前に ▫ リゾルバーの実装は次のようなクエリーの属性のすべ てに、応答が一致していなければならない(MUST)。  クエリーの宛先アドレスに対する送信元アドレス  クエリーの送信元アドレスに対する宛先アドレス  クエリーの送信元ポートに対する宛先ポート  クエリーID  クエリーの名前  クエリーのクラスとタイプ ▫ 一致しない応答は不正と判断しなければならない (MUST)。 42
RFC 5452 Measures for Making DNS More Resilient against Forged Answers • 9.2. Extending the Q-ID Space by Using Ports and Addresses ▫ リゾルバーの実装(MUST):  外部への問い合わせには、実際に利用できて可能な 限り大きい範囲のポート番号から予測不能な送信元 ポート番号を使う  同時に複数の問い合わせが起こる場合には、複数の 異なる送信元ポート番号を使う  外部への問い合わせには、全範囲(0-65535)を利 用して、予測不能な問い合わせIDを使う。 43
RFC 5452 Measures for Making DNS More Resilient against Forged Answers • 9.3. Spoof Detection and Countermeasure ▫ リゾルバは詐称を検出したら、UDP問い合わせを 破棄し、TCPで再発行させてもよい(MAY)  TCPは詐称に対する耐性が強い 44
RFC 5936 DNS Zone Transfer Protocol (AXFR) • タイトル ▫ DNS Zone Transfer Protocol (AXFR) ▫ DNSのゾーン転送プロトコル (AXFR) • 概要 ▫ RFC 1034とRFC 1035におけるAXFRの定義が不 十分であり、仮定して実装しなければならないと ころがあり、相互運用性を阻害している。 ▫ この文書はAXFRの新しい定義である。 ▫ 「新しい」は相互運用できるAXFR機能の正確な 定義を記録する的な意味合いで。 45
RFC 6604 xNAME RCODE and Status Bits Clarification • タイトル ▫ xNAME RCODE and Status Bits Clarification ▫ xNAME RCODEとステータスビットの明確化 • 概要 ▫ この文書はCNAMEやDNAMEでクエリーがリダイ レクトされたときの応答コード(RCODE)とステー タスビットを明確化する。 46
RFC 7766 DNS Transport over TCP - Implementation Requirements • タイトル ▫ DNS Transport over TCP - Implementation Requirements ▫ DNSのTCP転送 – 実装と要求事項 • 概要 ▫ この文書はDNSの転送プロトコルとしてTCPの要 求事項を示す。 ▫ RFC 1123ではTCPサポートがSHOULDであった が、これをMUSTに変更する 47
48
RFC 1995 Incremental Zone Transfer in DNS • タイトル ▫ Incremental Zone Transfer in DNS ▫ DNSの差分ゾーン転送 • 概要 ▫ DNSのプロトコルにIXFR(差分ゾーン転送)機 能を提供するための拡張を提案する。 49
RFC 1996 A Mechanism for Prompt Notification of Zone Changes (DNS NOTIFY) • タイトル ▫ A Mechanism for Prompt Notification of Zone Changes (DNS NOTIFY) ▫ ゾーン変更の通知機能(DNS NOTIFY) • 概要 ▫ マスターサーバーがスレーブサーバーにゾーンの 変更を通知するNOTIFY opcodeを提案する。 50
RFC 2671 Extension Mechanisms for DNS (EDNS0) • タイトル ▫ Extension Mechanisms for DNS (EDNS0) ▫ DNSの拡張機構(EDNS0) • 概要 ▫ DNSのプロトコルを拡張する。 ▫ これにより、UDPで512オクテットを超えるメッ セージを扱うことができる。 51
RFC 3596 DNS Extensions to Support IP Version 6 • タイトル ▫ DNS Extensions to Support IP Version 6 ▫ IPv6をサポートするDNS拡張 • 概要 ▫ DNSにIPv6をサポートする拡張機能を定義する。 ▫ AAAAレコード ▫ IP6.ARPAドメイン 52
RFC 2782 A DNS RR for specifying the location of services (DNS SRV) • タイトル ▫ A DNS RR for specifying the location of services (DNS SRV) ▫ サービスロケーションを示すDNS RR(DNS SRV) • 概要 ▫ サービスロケーションを示すRRとしてSRVレコー ドを定義する。 53
54
RFC 2845 Secret Key Transaction Authentication for DNS (TSIG) • タイトル ▫ Secret Key Transaction Authentication for DNS (TSIG) ▫ DNSの秘密鍵によるトランザクション認証 (TSIG) • 概要 ▫ 共有秘密鍵を一方向ハッシュを使ったトランザク ションレベルの認証を提案する。 55
RFC 4635 HMAC SHA TSIG Algorithm Identifiers • タイトル ▫ HMAC SHA TSIG Algorithm Identifiers ▫ HMAC SHA TSIGアルゴリズム識別子 • 概要 ▫ TSIGでHMAC SHAを扱う方法を提案する。 56
RFC 2136 Dynamic Updates in the Domain Name System (DNS UPDATE) • タイトル ▫ Dynamic Updates in the Domain Name System (DNS UPDATE) ▫ DNSにおける動的更新(DNS UPDATE) • 概要 ▫ UPDATE opcodeを使って、指定したゾーンのRR やRRsetの追加や削除を行う方法を提案する。 57
RFC 3007 Secure Domain Name System (DNS) Dynamic Update • タイトル ▫ Secure Domain Name System (DNS) Dynamic Update ▫ セキュアなDNS動的更新 • 概要 ▫ DNS動的更新に認証機能を追加する。 58
59
RFC 7719 DNS Terminology • タイトル ▫ DNS Terminology ▫ DNS用語 • 概要 ▫ DNSで使われている用語を定義する。 60
61

More Related Content

PDF
MySQL・PostgreSQLだけで作る高速でリッチな全文検索システム
byKouhei Sutou
 
PPTX
今さら聞けない人のためのCI/CD超入門
byVirtualTech Japan Inc./Begi.net Inc.
 
PDF
Bluetoothl-Low-Energy入門講座-part1
byedy555
 
PDF
SQLアンチパターン - ナイーブツリー
byke-m kamekoopa
 
PDF
クラウド入門(AWS編)
by株式会社オプト 仙台ラボラトリ
 
PDF
ドメイン駆動設計のためのオブジェクト指向入門
by増田 亨
 
PDF
音源分離 ~DNN音源分離の基礎から最新技術まで~ Tokyo bishbash #3
byNaoya Takahashi
 
PDF
【Interop Tokyo 2018】 Telemetryの匠が解説~オープン技術を用いたマイクロバースト検知の最前線~
byJuniper Networks (日本)
 
MySQL・PostgreSQLだけで作る高速でリッチな全文検索システム
byKouhei Sutou
 
今さら聞けない人のためのCI/CD超入門
byVirtualTech Japan Inc./Begi.net Inc.
 
Bluetoothl-Low-Energy入門講座-part1
byedy555
 
SQLアンチパターン - ナイーブツリー
byke-m kamekoopa
 
クラウド入門(AWS編)
by株式会社オプト 仙台ラボラトリ
 
ドメイン駆動設計のためのオブジェクト指向入門
by増田 亨
 
音源分離 ~DNN音源分離の基礎から最新技術まで~ Tokyo bishbash #3
byNaoya Takahashi
 
【Interop Tokyo 2018】 Telemetryの匠が解説~オープン技術を用いたマイクロバースト検知の最前線~
byJuniper Networks (日本)
 

What's hot

PDF
ネットワークエンジニアはどこでウデマエをみがくのか?
byYuya Rin
 
PDF
関数プログラミング入門
byHideyuki Tanaka
 
PPTX
非負値行列分解の確率的生成モデルと 多チャネル音源分離への応用 (Generative model in nonnegative matrix facto...
byDaichi Kitamura
 
PDF
リッチなドメインモデル 名前探し
by増田 亨
 
PDF
目grep入門 +解説
bymurachue
 
PPTX
レガシーコード改善のススメ
byAkira Hirasawa
 
PDF
Quine・難解プログラミングについて
bymametter
 
PDF
HTTPを理解する
byIIJ
 
PDF
30分で理解するLet's Encryptの仕組みとSSL証明書の使い方
by法林浩之
 
PDF
ログについて改めて考えてみた
by株式会社オプト 仙台ラボラトリ
 
PDF
DevOps Overview
byIIJ
 
PPTX
SQLアンチパターン メンター用資料
byHironori Miura
 
PPTX
ゲート方式量子コンピュータの概要
byYahoo!デベロッパーネットワーク
 
PDF
SVOD市場におけるPaid Peering導入の影響
byToshiya Jitsuzumi
 
PDF
SQLアンチパターン - ジェイウォーク
byke-m kamekoopa
 
PDF
yans2022_hackathon.pdf
byKosuke Yamada
 
PDF
さくらのVPS で IPv4 over IPv6ルータの構築
byTomocha Potter
 
PDF
Parser combinatorってなんなのさ
bycct-inc
 
PPTX
FiNC DDD第一回勉強会
by裕紀 重村
 
PPTX
DDDモデリング勉強会 #6
by株式会社Jurabi
 
ネットワークエンジニアはどこでウデマエをみがくのか?
byYuya Rin
 
関数プログラミング入門
byHideyuki Tanaka
 
非負値行列分解の確率的生成モデルと 多チャネル音源分離への応用 (Generative model in nonnegative matrix facto...
byDaichi Kitamura
 
リッチなドメインモデル 名前探し
by増田 亨
 
目grep入門 +解説
bymurachue
 
レガシーコード改善のススメ
byAkira Hirasawa
 
Quine・難解プログラミングについて
bymametter
 
HTTPを理解する
byIIJ
 
30分で理解するLet's Encryptの仕組みとSSL証明書の使い方
by法林浩之
 
ログについて改めて考えてみた
by株式会社オプト 仙台ラボラトリ
 
DevOps Overview
byIIJ
 
SQLアンチパターン メンター用資料
byHironori Miura
 
ゲート方式量子コンピュータの概要
byYahoo!デベロッパーネットワーク
 
SVOD市場におけるPaid Peering導入の影響
byToshiya Jitsuzumi
 
SQLアンチパターン - ジェイウォーク
byke-m kamekoopa
 
yans2022_hackathon.pdf
byKosuke Yamada
 
さくらのVPS で IPv4 over IPv6ルータの構築
byTomocha Potter
 
Parser combinatorってなんなのさ
bycct-inc
 
FiNC DDD第一回勉強会
by裕紀 重村
 
DDDモデリング勉強会 #6
by株式会社Jurabi
 

Viewers also liked

PDF
DNS再入門
byTakashi Takizawa
 
PDF
10分でわかる幽霊問題-事後資料
byYasuhiro Morishita
 
PDF
DNSのRFCの歩き方
byTakashi Takizawa
 
PDF
20111029 part2-dnsトリビア(出張版)-事後資料
byYasuhiro Morishita
 
PDF
20111029 part1-dnsをあえてdisってみる-事後資料
byYasuhiro Morishita
 
PDF
DNS RFC系統図
byTakashi Takizawa
 
PDF
DNS悩み多きシステムの基礎から最新状況まで
byYoshiki Ishida
 
PPTX
セキュリティの都市伝説を暴く
byHiroshi Tokumaru
 
DNS再入門
byTakashi Takizawa
 
10分でわかる幽霊問題-事後資料
byYasuhiro Morishita
 
DNSのRFCの歩き方
byTakashi Takizawa
 
20111029 part2-dnsトリビア(出張版)-事後資料
byYasuhiro Morishita
 
20111029 part1-dnsをあえてdisってみる-事後資料
byYasuhiro Morishita
 
DNS RFC系統図
byTakashi Takizawa
 
DNS悩み多きシステムの基礎から最新状況まで
byYoshiki Ishida
 
セキュリティの都市伝説を暴く
byHiroshi Tokumaru
 

Similar to DNS RFCの歩き方(短縮版)

PDF
Bind 9.8 feature overview
byTomonori Takada
 
PDF
Unbound/NSD最新情報(OSC 2013 Tokyo/Spring)
byTakashi Takizawa
 
PDF
DNS におけるセキュリティ&プライバシ動向
byJun Kurihara
 
PDF
RFCについての復習
byTakashi Takizawa
 
PPTX
ドメイン名・DNS勉強会20140123 DNSのお話
byMasahiro NISHIGUCHI
 
PDF
Dns primer
byHirohisa Yamaguchi
 
PDF
IETFにおける標準化の進め方
byShoichi Sakane
 
PDF
安全な(共用)DNSサービスの提供
bycauseless
 
PDF
20120303 jaws summit-meister-05_cloud_front-r53
byAmazon Web Services Japan
 
PDF
【社内勉強会資料】DNS わかんねえ
bybeyond Co., Ltd.
 
PPT
とあるドメインの調査報告
byYatz 82
 
PDF
送信ドメイン認証 導入指南 2018
byTakahiko Suzuki
 
PDF
はじめてのDNS
byShohei Kobayashi
 
PDF
ION Tokyo: Keynote Presentation -- "Can we go back to the original? A Return ...
byDeploy360 Programme (Internet Society)
 
PPT
20060520.tcp
byKen SASAKI
 
PDF
DNSの運用を考える
byaeoe
 
PDF
DNS 入門
bySho A
 
PDF
B2-4 DNS でいま起きていること
byJPAAWG (Japan Anti-Abuse Working Group)
 
PDF
Armored core vのオンラインサービスにおけるクラウドサーバー活用事例
byerakazu
 
PDF
2012/8/26 サーバを引っ越す+ドメイン管理会社(レジストラ)を変える@【第四回】初心者向けホームページ勉強会
bytama200x Kobayashi
 
Bind 9.8 feature overview
byTomonori Takada
 
Unbound/NSD最新情報(OSC 2013 Tokyo/Spring)
byTakashi Takizawa
 
DNS におけるセキュリティ&プライバシ動向
byJun Kurihara
 
RFCについての復習
byTakashi Takizawa
 
ドメイン名・DNS勉強会20140123 DNSのお話
byMasahiro NISHIGUCHI
 
Dns primer
byHirohisa Yamaguchi
 
IETFにおける標準化の進め方
byShoichi Sakane
 
安全な(共用)DNSサービスの提供
bycauseless
 
20120303 jaws summit-meister-05_cloud_front-r53
byAmazon Web Services Japan
 
【社内勉強会資料】DNS わかんねえ
bybeyond Co., Ltd.
 
とあるドメインの調査報告
byYatz 82
 
送信ドメイン認証 導入指南 2018
byTakahiko Suzuki
 
はじめてのDNS
byShohei Kobayashi
 
ION Tokyo: Keynote Presentation -- "Can we go back to the original? A Return ...
byDeploy360 Programme (Internet Society)
 
20060520.tcp
byKen SASAKI
 
DNSの運用を考える
byaeoe
 
DNS 入門
bySho A
 
B2-4 DNS でいま起きていること
byJPAAWG (Japan Anti-Abuse Working Group)
 
Armored core vのオンラインサービスにおけるクラウドサーバー活用事例
byerakazu
 
2012/8/26 サーバを引っ越す+ドメイン管理会社(レジストラ)を変える@【第四回】初心者向けホームページ勉強会
bytama200x Kobayashi
 

More from Takashi Takizawa

PDF
サバフェス! 2015 Spring LT資料
byTakashi Takizawa
 
PPTX
BIND of Summer (2017-04-13)
byTakashi Takizawa
 
PDF
Unbound/NSD最新情報(OSC 2014 Tokyo/Spring)
byTakashi Takizawa
 
PDF
nginx入門
byTakashi Takizawa
 
PDF
nginxの紹介
byTakashi Takizawa
 
PPTX
initとプロセス再起動
byTakashi Takizawa
 
PDF
#mailerstudy 02 メールと暗号 - SSL/TLS -
byTakashi Takizawa
 
PDF
#mailerstudy 02 暗号入門 (2012-02-22更新)
byTakashi Takizawa
 
PDF
#logstudy 01 rsyslog入門
byTakashi Takizawa
 
PDF
UnboundとDNSSEC(OSC2011 Tokyo/Spring)
byTakashi Takizawa
 
PDF
Unboundの最適化(OSC2011 Tokyo/Spring)
byTakashi Takizawa
 
PDF
qpstudy08 lsyncdによる共有ファイルシステムっぽい何かの検証
byTakashi Takizawa
 
PDF
#mailerstudy 01 LT POP/IMAP入門
byTakashi Takizawa
 
PDF
#dnstudy 01 ドメイン名の歴史
byTakashi Takizawa
 
PDF
#dnstudy 01 Unboundの紹介
byTakashi Takizawa
 
PPTX
hbstudy20100821 SpamAssassin
byTakashi Takizawa
 
サバフェス! 2015 Spring LT資料
byTakashi Takizawa
 
BIND of Summer (2017-04-13)
byTakashi Takizawa
 
Unbound/NSD最新情報(OSC 2014 Tokyo/Spring)
byTakashi Takizawa
 
nginx入門
byTakashi Takizawa
 
nginxの紹介
byTakashi Takizawa
 
initとプロセス再起動
byTakashi Takizawa
 
#mailerstudy 02 メールと暗号 - SSL/TLS -
byTakashi Takizawa
 
#mailerstudy 02 暗号入門 (2012-02-22更新)
byTakashi Takizawa
 
#logstudy 01 rsyslog入門
byTakashi Takizawa
 
UnboundとDNSSEC(OSC2011 Tokyo/Spring)
byTakashi Takizawa
 
Unboundの最適化(OSC2011 Tokyo/Spring)
byTakashi Takizawa
 
qpstudy08 lsyncdによる共有ファイルシステムっぽい何かの検証
byTakashi Takizawa
 
#mailerstudy 01 LT POP/IMAP入門
byTakashi Takizawa
 
#dnstudy 01 ドメイン名の歴史
byTakashi Takizawa
 
#dnstudy 01 Unboundの紹介
byTakashi Takizawa
 
hbstudy20100821 SpamAssassin
byTakashi Takizawa
 

Recently uploaded

PDF
2025/12/12 AutoDevNinjaピッチ資料 - 大人な男のAuto Dev環境
byMasahiro Takechi
 
PPTX
君をむしばむこの力で_最終発表-1-Monthon2025最終発表用資料-.pptx
byrintakano624
 
PDF
ソフトとハードの二刀流で実現する先進安全・自動運転のアルゴリズム開発【DENSO Tech Night 第二夜】 ー高精度な画像解析 / AI推論モデル ...
bydots.
 
PDF
krsk_aws_re-growth_aws_devops_agent_20251211
byuedayuki
 
PDF
音楽アーティスト探索体験に特化した音楽ディスカバリーWebサービス「DigLoop」|Created byヨハク技研
byyohakugiken
 
PDF
ソフトウェアエンジニアがクルマのコアを創る!? モビリティの価値を最大化するソフトウェア開発の最前線【DENSO Tech Night 第一夜】
bydots.
 
2025/12/12 AutoDevNinjaピッチ資料 - 大人な男のAuto Dev環境
byMasahiro Takechi
 
君をむしばむこの力で_最終発表-1-Monthon2025最終発表用資料-.pptx
byrintakano624
 
ソフトとハードの二刀流で実現する先進安全・自動運転のアルゴリズム開発【DENSO Tech Night 第二夜】 ー高精度な画像解析 / AI推論モデル ...
bydots.
 
krsk_aws_re-growth_aws_devops_agent_20251211
byuedayuki
 
音楽アーティスト探索体験に特化した音楽ディスカバリーWebサービス「DigLoop」|Created byヨハク技研
byyohakugiken
 
ソフトウェアエンジニアがクルマのコアを創る!? モビリティの価値を最大化するソフトウェア開発の最前線【DENSO Tech Night 第一夜】
bydots.
 

DNS RFCの歩き方(短縮版)

  • 1.
  • 2.
    この資料の概要 • DNSの概念や仕様を定めている ▫ RFC1034 DOMAIN NAMES – CONCEPTS AND FACILITIES (ドメイン名 – 概念と機能)と ▫ RFC 1035 DOMAIN NAMES – IMPLEMENTATION AND SPECIFICATION (ドメイン名 – 実装と仕様) • と、後に発行されたRFCで変更・修正された内 容および拡張された仕様の一部について説明す る。 2
  • 3.
  • 4.
  • 5.
    DNSの基本仕様 • RFC 1034 ▫DOMAIN NAMES – CONCEPTS AND FACILITIES ▫ ドメイン名 – 概念と機能 • RFC 1035 ▫ DOMAIN NAMES – IMPLEMENTATION AND SPECIFICATION ▫ ドメイン名 – 実装と仕様 5
  • 6.
    RFC 1034 DOMAIN NAMES- CONCEPTS AND FACILITIES • タイトル ▫ DOMAIN NAMES – CONCEPTS AND FACILITIES ▫ ドメイン名 – 概念と機能 • 概要 ▫ DNSの構成要素の役割や機能についての説明  ドメイン名空間とリソースレコード  ネームサーバー  リゾルバー 6
  • 7.
    RFC 1035 DOMAIN NAMES- IMPLEMENTATION AND SPECIFICATION • タイトル ▫ DOMAIN NAMES – IMPLEMENTATION AND SPECIFICATION ▫ ドメイン名 – 実装と仕様 • 概要 ▫ DNSのプロトコルの仕様  ドメイン名空間  リソースレコード  メッセージ  マスターファイル  ネームサーバーの実装  リゾルバーの実装  メールエクスチェンジャ 7
  • 8.
    DNSの構成要素 スタブリゾルバー フルリゾルバー メッセージ マスター ファイル com jp coexampleexample ns www ドメイン名空間 権威サーバー メッセージ ロード example.jp.IN NS ns.example.jp. example.jp. IN SOA ns.exampele.jp. .. ns.example.jp. IN A 192.0.2.1 リソースレコード ゾーン内のリソース レコードを記述 ドメイン名 タイプ 権威サーバー ゾーン転送 8
  • 9.
    DNSの実装上の要求事項 • RFC 1123 ▫Requirements for Internet Hosts -- Application and Support  6.1 DOMAIN NAME TRANSLATION ▫ インターネットホストの要求事項 – アプリケーションとサポート  6.1 ドメイン名変換 9
  • 10.
    RFC 1123 Requirements forInternet Hosts -- Application and Support • タイトル ▫ Requirements for Internet Hosts -- Application and Support ▫ インターネットホストの要求事項 – アプリケーションとサポート • 概要 ▫ インターネットに接続するホストが満たすべき要求事 項を定めている。 ▫ DNSについての要求事項は「6.1 DOMAIN NAME TRANSLATION」に記載。 ▫ 基本的にはRFC 1034とRFC 1035を参照しているが、 RFC 1034とRFC 1035では言及されていない要求事 項も含まれている。 10
  • 11.
    RFC 1034とRFC 1035への道 •DNSの仕組みをある程度理解していないとRFC 1034とRFC 1035の内容を理解できない。 ▫ いきなりRFCを読んでもたぶん理解できない。 • 時代背景が異なることを意識すること。 ▫ DNSが検討開始されたのはARPANETからThe Internetへの過渡期 ▫ 現在は、IN以外のクラス(CS, CH, HS)は使わ ない。  ただし、CHは本来の用途とは異なり、ネームサー バーの情報の取得に使われている。  $ dig TXT CH version.bind. 11
  • 12.
    RFC 1034とRFC 1035への道 •曖昧さや間違いがある。 ▫ RFC 1034とRFC 1035が基本仕様であるが、 ▫ 後から公開されたRFCにより、 ▫ 曖昧な点や間違いが訂正されたり、仕様が変更さ れたりしているため、 ▫ RFC 1034とRFC 1035の内容がすべて正しいと は思わないように。 • RFC 1034、RFC 1035、RFC 1123をアップ デートしているRFCも読む必要がある。 12
  • 13.
    アップデート (拡張機能のRFCは除く) • RFC 1982 ▫Serial Number Arithmetic ▫ シリアル番号演算 • RFC 2181 ▫ Clarifications to the DNS Specification ▫ DNSの仕様の明確化 • RFC 2308 ▫ Negative Caching of DNS Queries (DNS NCACHE) ▫ DNSクエリーのネガティブキャッシュ • RFC 3425 ▫ Obsoleting IQUERY ▫ IQUERYの廃止 • RFC 4343 ▫ Domain Name System (DNS) Case Insensitivity Clarification ▫ DNSの大文字小文字を区別しないことの明確化 13
  • 14.
    アップデート (拡張機能のRFCは除く) • RFC 4592 ▫The Role of Wildcards in the Domain Name System ▫ DNSにおけるワイルドカードの役割 • RFC 5452 ▫ Measures for Making DNS More Resilient against Forged Answers ▫ DNSを偽の回答に対する耐性の強化方法 • RFC 5936 ▫ DNS Zone Transfer Protocol (AXFR) ▫ DNSのゾーン転送プロトコル (AXFR) • RFC 6604 ▫ xNAME RCODE and Status Bits Clarification ▫ xNAME RCODEとステータスビットの明確化 • RFC 7766 ▫ DNS Transport over TCP - Implementation Requirements ▫ DNSのTCP転送 – 実装と要求事項 14
  • 15.
    DNSの基本仕様およびアップデート RFC 1034 /STD 13 DOMAIN NAMES - CONCEPTS AND FACILITIES RFC 1982 / PS Serial Number Arithmetic RFC 1035 / STD 13 DOMAIN NAMES - IMPLEMENTATION AND SPECIFICATION RFC 1123 / STD 3 Requirements for Internet Hosts -- Application and Support RFC 3425 / PS Obsoleting IQUERY RFC 2308 / PS Negative Caching of DNS Queries (DNS NCACHE) RFC 5452 / PS Measures for Making DNS More Resilient against Forged Answers RFC 7766 / PS DNS Transport over TCP - Implementation Requirements RFC 5936 / PS DNS Zone Transfer Protocol (AXFR) RFC 4343 / PS Domain Name System (DNS) Case Insensitivity Clarification アップデート 参照 15 RFC 4592 / PS The Role of Wildcards in the Domain Name System RFC 2181 / PS Clarifications to the DNS Specification RFC 6604 / PS xNAME RCODE and Status Bits Clarification
  • 16.
  • 17.
    RFC 1982 Serial NumberArithmetic • タイトル ▫ Serial Number Arithmetic ▫ シリアル番号演算 • 概要 ▫ RFC 1034とRFC 1035ではゾーン転送における SOAレコードのシリアル番号の比較に"sequence space arithmetic"を使うと記述されている。 ▫ しかし、"sequence space arithmetic"そのもの の定義がない。 ▫ RFC 1982ではその定義を行う。 17
  • 18.
    RFC 1982 Serial NumberArithmetic • おおざっぱにまとめると ▫ シリアル番号の扱い  32ビットの符号無し整数  範囲は[0 .. 4294967295](2^32 - 1)  最大値から0に周回する。つまり、4294967295+1は0  増加の範囲は[0 .. 2147483647] (2^31 - 1) ▫ シリアル番号の増分が増加の最大値以下であれば「シリアル番号 の増加(increment)」と判断する。  例)「4294967295 → 0」は増分が1なので、「増加」と判断で きる。 • シリアル番号の保守 ▫ RFC 2182 "Selection and Operation of Secondary DNS Servers"  "7. Serial Number Maintenance"  間違って大きすぎる番号を付けてしまった場合に、小さい番号に付け 直す方法が書いてある。 18
  • 19.
    RFC 2181 Clarifications tothe DNS Specification • タイトル ▫ Clarifications to the DNS Specification ▫ DNSの仕様の明確化 • 概要 ▫ この文書はDNSの仕様の問題として確認されてい る分野について考察し、確認された欠陥の改善を 提案する。 19
  • 20.
    RFC 2181 Clarifications tothe DNS Specification • 4. Server Reply Source Address Selection ▫ マルチホームのサーバにおける応答の送信元アド レスの選択方法 • 4.1. UDP Source Address Selection  問い合わせの宛先アドレスを応答の送信元アドレス としてセットする。 • 4.2. Port Number Selection  問い合わせの送信元ポート番号を応答の宛先ポート 番号として使う。  応答は指示されたポート番号から送信される。  DNSのウェルノウンポート、53 20
  • 21.
    RFC 2181 Clarifications tothe DNS Specification • 5. Resource Record Sets ▫ 同じラベル、クラス、タイプのリソースレコード の集まりを「リソースレコードセット」 (RRset)と定義する。 ▫ 問い合わせに対して、関連するRRが複数あるとき には、RRsetのすべてのRRを返す。 ▫ RRsetのすべてのRRは同じTTLを使う。 21
  • 22.
    RFC 2181 Clarifications tothe DNS Specification • 5.4.1. Ranking data ▫ データの信頼性の順位について論じている。下に行くほど低い。  Data from a primary zone file, other than glue data,  Data from a zone transfer, other than glue,  The authoritative data included in the answer section of an authoritative reply.  Data from the authority section of an authoritative answer,  Glue from a primary zone, or glue from a zone transfer,  Data from the answer section of a non-authoritative answer, and non-authoritative data from the answer section of authoritative answers,  Additional information from an authoritative answer, Data from the authority section of a non-authoritative answer, Additional information from non-authoritative answers. 22
  • 23.
    RFC 2181 Clarifications tothe DNS Specification • 6. Zone Cuts ▫ zone ▫ zone cut ▫ "child" zone ▫ "parent" zone ▫ zone's "origin" • 6.1. Zone authority ▫ ゾーンの権威について 23
  • 24.
    RFC 2181 Clarifications tothe DNS Specification • 7. SOA RRs ▫ SOAレコードに関する記述を3つ修正 24
  • 25.
    RFC 2181 Clarifications tothe DNS Specification • 7.1. Placement of SOA RRs in authoritative answers ▫ RFC 1034 "4.3.4 Negative response caching (Optional)"の内容が間違っている。  The method is that a name server may add an SOA RR to the additional section of a response when that response is authoritative. ▫ ネガティブキャッシュのときにもSOAレコードを authorityセクションにおいて回答する。  SOA records, if added, are to be placed in the authority section. 25
  • 26.
    RFC 2181 Clarifications tothe DNS Specification • 7.2. TTLs on SOA RRs ▫ RFC 1035 "3.2.1. Format"の内容が間違っている。  SOA records are always distributed with a zero TTL to prohibit caching. • 7.2. TTLs on SOA RRs ▫ どこにも言及されていないし、そのような実装は行わ れていない。実装はTTLが0であることを想定すべき ではないし、0のTTLを持つSOAレコードを送信する ことを要求してもいけない。  This is mentioned nowhere else, and has not generally been implemented. Implementations should not assume that SOA records will have a TTL of zero, nor are they required to send SOA records with a TTL of zero. 26
  • 27.
    RFC 2181 Clarifications tothe DNS Specification • 7.3. The SOA.MNAME field ▫ 仕様では明確になっているが広く無視されている。 ▫ SOAレコードのMNAMEフィールドはゾーンのマ スターサーバの名前を設定する。 ▫ ゾーン自体の名前を書くべきではない。 27
  • 28.
    RFC 2181 Clarifications tothe DNS Specification • 8. Time to Live (TTL) ▫ RFC 1035におけるTTLの定義  2.3.4. Size limits  positive values of a signed 32 bit number.  3.2.1. Format  a 32 bit signed integer that specifies the time interval  4.1.3. Resource record format  a 32 bit unsigned integer that specifies the time interval ▫ 明確にする  符号無し整数  最小値: 0  最大値: 2147483647 (2^31 - 1)  最上位ビットが1であるときにはTTLを0と扱うべき 28
  • 29.
    RFC 2181 Clarifications tothe DNS Specification • 9. The TC (truncated) header bit ▫ TCビットについての説明 29
  • 30.
    RFC 2181 Clarifications tothe DNS Specification • 10.1. CNAME resource records ▫ CNAMEの意味を明確化  CNAME ("canonical name")「正式名」は"alias name"「別名」と関連づけるために使う  CNAMEは「別名」を示すのでなく、「別名」に対 する「正式名」を示す。  別名 IN CNAME 正式名 30
  • 31.
    RFC 2181 Clarifications tothe DNS Specification • 10.2. PTR records ▫ PTRレコードは一つだけ持つというのは誤り。 ▫ PTRレコードの値には(CNAMEで定義される) 別名であってならない。 31
  • 32.
    RFC 2181 Clarifications tothe DNS Specification • 10.3. MX and NS records ▫ MXレコードとNSレコードの値は(CNAMEで定 義される)別名であってはならない。 32
  • 33.
    RFC 2181 Clarifications tothe DNS Specification • 11. Name syntax ▫ DNSはホスト名からデータへ、IPアドレスからホ スト名へとマッピングするためだけのものではな い。 ▫ DNSは汎用的な階層型データベースであり、様々 なデータを様々な目的で格納できる。 33
  • 34.
    RFC 2308 Negative Cachingof DNS Queries (DNS NCACHE) • タイトル ▫ Negative Caching of DNS Queries (DNS NCACHE) ▫ DNSクエリーのネガティブキャッシュ • 概要 ▫ ネガティブキャッシュについての詳細な説明と再 定義を行っている。 34
  • 35.
    RFC 2308 Negative Cachingof DNS Queries (DNS NCACHE) • RFC 1034からの変更点(8 - Changes from RFC 1034) ▫ ネガティブキャッシュはoptionalであったが、RFC 2308ではキャッシュする場合は、ネガティブキャッ シュもしなければならない(must)ようになった。 ▫ AuthorityセクションのSOAレコードはキャッシュし なければならない(MUST)。 ▫ キャッシュしたSOAレコードは応答に加えなければな らない(MUST)。 • SOA Minimumフィールド ▫ 否定応答のTTLとして使われる。 ▫ 元々別の意味で定義されていたが再定義された。 35
  • 36.
    RFC 3425 Obsoleting IQUERY •タイトル ▫ Obsoleting IQUERY ▫ IQUERYの廃止 • 概要 ▫ 逆引き検索を実施するIQUERY opcodeを廃止す る。 ▫ 逆引きはPTRレコードのクエリーで行うことが望 ましい。 36
  • 37.
    RFC 4343 Domain NameSystem (DNS) Case Insensitivity Clarification • タイトル ▫ Domain Name System (DNS) Case Insensitivity Clarification ▫ DNSの大文字小文字を区別しないことの明確化 • 概要 ▫ ドメイン名の大文字小文字を区別しない。  ASCII文字が対象 ▫ この文書はその意味を説明し、仕様を明確にする。 37
  • 38.
    RFC 4343 Domain NameSystem (DNS) Case Insensitivity Clarification • 問い合わせにおいては大文字小文字を区別すべきで ない。 ▫ 次の2つのドメイン名の問い合わせは同じ結果となる。  foo.example.net.  Foo.ExamplE.net. ▫ 実装  比較前に0x61-0x7Aの範囲の文字(小文字)であれば 0x20を引く。 • 大文字小文字の維持 ▫ 可能な限りオリジナルの大文字小文字を維持すべきで ある。 38
  • 39.
    RFC 4343 Domain NameSystem (DNS) Case Insensitivity Clarification • ラベルのエスケープ方法 ▫ DNSのプロトコル上は8ビット文字も使える。 ▫ 文字コードが0x00-0x20,0x2E(.),0x7F-0xFFである 文字をバックスラッシュでエスケープする記法  バックスラッシュ() + 文字コードの3桁の十進数  バックスラッシュ() + 文字(ASCII印字可能文字の場 合) ▫ 例  バックスラッシュ"" → "092" or ""  ピリオド"." → "046" or "."  スペース" " → "032" 39
  • 40.
    RFC 4592 The Roleof Wildcards in the Domain Name System • タイトル ▫ The Role of Wildcards in the Domain Name System ▫ DNSにおけるワイルドカードの役割 • 概要 ▫ RFC 1034のワイルドカードの定義を更新する。 ▫ "*"(Asterisk Label) 40
  • 41.
    RFC 5452 Measures forMaking DNS More Resilient against Forged Answers • タイトル ▫ Measures for Making DNS More Resilient against Forged Answers ▫ DNSを偽の回答に対する耐性の強化方法 • 概要 ▫ DNSを不正な応答を受け付けることに対して耐性 を強化する方法について説明する。 41
  • 42.
    RFC 5452 Measures forMaking DNS More Resilient against Forged Answers • 9.1. Query Matching Rules ▫ RFC 2181 "5.4.1. Ranking data"のDNSの信頼性規 則を適応する前に ▫ リゾルバーの実装は次のようなクエリーの属性のすべ てに、応答が一致していなければならない(MUST)。  クエリーの宛先アドレスに対する送信元アドレス  クエリーの送信元アドレスに対する宛先アドレス  クエリーの送信元ポートに対する宛先ポート  クエリーID  クエリーの名前  クエリーのクラスとタイプ ▫ 一致しない応答は不正と判断しなければならない (MUST)。 42
  • 43.
    RFC 5452 Measures forMaking DNS More Resilient against Forged Answers • 9.2. Extending the Q-ID Space by Using Ports and Addresses ▫ リゾルバーの実装(MUST):  外部への問い合わせには、実際に利用できて可能な 限り大きい範囲のポート番号から予測不能な送信元 ポート番号を使う  同時に複数の問い合わせが起こる場合には、複数の 異なる送信元ポート番号を使う  外部への問い合わせには、全範囲(0-65535)を利 用して、予測不能な問い合わせIDを使う。 43
  • 44.
    RFC 5452 Measures forMaking DNS More Resilient against Forged Answers • 9.3. Spoof Detection and Countermeasure ▫ リゾルバは詐称を検出したら、UDP問い合わせを 破棄し、TCPで再発行させてもよい(MAY)  TCPは詐称に対する耐性が強い 44
  • 45.
    RFC 5936 DNS ZoneTransfer Protocol (AXFR) • タイトル ▫ DNS Zone Transfer Protocol (AXFR) ▫ DNSのゾーン転送プロトコル (AXFR) • 概要 ▫ RFC 1034とRFC 1035におけるAXFRの定義が不 十分であり、仮定して実装しなければならないと ころがあり、相互運用性を阻害している。 ▫ この文書はAXFRの新しい定義である。 ▫ 「新しい」は相互運用できるAXFR機能の正確な 定義を記録する的な意味合いで。 45
  • 46.
    RFC 6604 xNAME RCODEand Status Bits Clarification • タイトル ▫ xNAME RCODE and Status Bits Clarification ▫ xNAME RCODEとステータスビットの明確化 • 概要 ▫ この文書はCNAMEやDNAMEでクエリーがリダイ レクトされたときの応答コード(RCODE)とステー タスビットを明確化する。 46
  • 47.
    RFC 7766 DNS Transportover TCP - Implementation Requirements • タイトル ▫ DNS Transport over TCP - Implementation Requirements ▫ DNSのTCP転送 – 実装と要求事項 • 概要 ▫ この文書はDNSの転送プロトコルとしてTCPの要 求事項を示す。 ▫ RFC 1123ではTCPサポートがSHOULDであった が、これをMUSTに変更する 47
  • 48.
  • 49.
    RFC 1995 Incremental ZoneTransfer in DNS • タイトル ▫ Incremental Zone Transfer in DNS ▫ DNSの差分ゾーン転送 • 概要 ▫ DNSのプロトコルにIXFR(差分ゾーン転送)機 能を提供するための拡張を提案する。 49
  • 50.
    RFC 1996 A Mechanismfor Prompt Notification of Zone Changes (DNS NOTIFY) • タイトル ▫ A Mechanism for Prompt Notification of Zone Changes (DNS NOTIFY) ▫ ゾーン変更の通知機能(DNS NOTIFY) • 概要 ▫ マスターサーバーがスレーブサーバーにゾーンの 変更を通知するNOTIFY opcodeを提案する。 50
  • 51.
    RFC 2671 Extension Mechanismsfor DNS (EDNS0) • タイトル ▫ Extension Mechanisms for DNS (EDNS0) ▫ DNSの拡張機構(EDNS0) • 概要 ▫ DNSのプロトコルを拡張する。 ▫ これにより、UDPで512オクテットを超えるメッ セージを扱うことができる。 51
  • 52.
    RFC 3596 DNS Extensionsto Support IP Version 6 • タイトル ▫ DNS Extensions to Support IP Version 6 ▫ IPv6をサポートするDNS拡張 • 概要 ▫ DNSにIPv6をサポートする拡張機能を定義する。 ▫ AAAAレコード ▫ IP6.ARPAドメイン 52
  • 53.
    RFC 2782 A DNSRR for specifying the location of services (DNS SRV) • タイトル ▫ A DNS RR for specifying the location of services (DNS SRV) ▫ サービスロケーションを示すDNS RR(DNS SRV) • 概要 ▫ サービスロケーションを示すRRとしてSRVレコー ドを定義する。 53
  • 54.
  • 55.
    RFC 2845 Secret KeyTransaction Authentication for DNS (TSIG) • タイトル ▫ Secret Key Transaction Authentication for DNS (TSIG) ▫ DNSの秘密鍵によるトランザクション認証 (TSIG) • 概要 ▫ 共有秘密鍵を一方向ハッシュを使ったトランザク ションレベルの認証を提案する。 55
  • 56.
    RFC 4635 HMAC SHATSIG Algorithm Identifiers • タイトル ▫ HMAC SHA TSIG Algorithm Identifiers ▫ HMAC SHA TSIGアルゴリズム識別子 • 概要 ▫ TSIGでHMAC SHAを扱う方法を提案する。 56
  • 57.
    RFC 2136 Dynamic Updatesin the Domain Name System (DNS UPDATE) • タイトル ▫ Dynamic Updates in the Domain Name System (DNS UPDATE) ▫ DNSにおける動的更新(DNS UPDATE) • 概要 ▫ UPDATE opcodeを使って、指定したゾーンのRR やRRsetの追加や削除を行う方法を提案する。 57
  • 58.
    RFC 3007 Secure DomainName System (DNS) Dynamic Update • タイトル ▫ Secure Domain Name System (DNS) Dynamic Update ▫ セキュアなDNS動的更新 • 概要 ▫ DNS動的更新に認証機能を追加する。 58
  • 59.
  • 60.
    RFC 7719 DNS Terminology •タイトル ▫ DNS Terminology ▫ DNS用語 • 概要 ▫ DNSで使われている用語を定義する。 60
  • 61.