Upgrade to Pro — share decks privately, control downloads, hide ads and more …

20150904 君のキャッシュDNSサーバが出すクエリを君は本当に理理解しているか?あ、でも...

Ryuichi Takashima
May 25, 2022
Technology
0
120

20150904 君のキャッシュDNSサーバが出すクエリを君は本当に理理解しているか?あ、でもそのうちそうなっちゃうかも?〜~QNAME Minimisation の話〜~

2015/09/04 ENOG34 @ 柏崎

DNS QNAME Minimisation の解説を書いた資料。当時はまだ draft だったけど、今もまぁ動作概要としては変わらず、BIND9.16からデフォルト動作になったので見返す価値はあるかも。

Ryuichi Takashima

May 25, 2022
Tweet

More Decks by Ryuichi Takashima

See All by Ryuichi Takashima
DNS による service discovery 関連の RFC/I-D のまとめ
rt4716
2
930
20170927 続:AS-PATH アップデート
rt4716
0
200
20200729 BGP 概説
rt4716
0
530
20131010 90分で理解するSDNの基礎
rt4716
0
73
20171130 権威DNSサービスのダイバーシティ
rt4716
0
90
20180223 DNSのトランスポート暗号化に関する調査2018
rt4716
0
67
20161201 コンテンツプロバイダから見た権威DNSサーバ
rt4716
0
120
20150716 Summary of Layer-2 Technology for Data Center Network
rt4716
0
30
20170217 ロードバランサ再入門
rt4716
6
1.2k

Other Decks in Technology

See All in Technology
【Oracle Cloud ウェビナー】ご希望のクラウドでOracle Databaseを実行〜マルチクラウド・ソリューション徹底解説〜
oracle4engineer
PRO
1
110
コードや知識を組み込む / Incorporating Codes and Knowledge
ks91
PRO
0
120
バクラクの認証基盤の成長と現在地 / bakuraku-authn-platform
convto
4
720
QA/SDETの現在と、これからの挑戦
imtnd
0
150
4/16/25 - SFJug - Java meets AI: Build LLM-Powered Apps with LangChain4j
edeandrea
PRO
2
130
SmartHR プロダクトエンジニア求人ガイド_2025 / PdE job guide 2025
smarthr
0
170
LiteXとオレオレCPUで作る自作SoC奮闘記
msyksphinz
0
780
PostgreSQL Log File Mastery: Optimizing Database Performance Through Advanced Log Analysis
shiviyer007
PRO
1
140
Стильный код: натуральный поиск редких атрибутов по картинке. Юлия Антохина, Data Scientist, Lamoda Tech
lamodatech
0
800
C++26アップデート 2025-03
faithandbrave
0
1.1k
Mastraに入門してみた ~AWS CDKを添えて~
tsukuboshi
0
330
生成AIによるCloud Native基盤構築の可能性と実践的ガードレールの敷設について
nwiizo
7
1.2k

Featured

See All Featured
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
32
5.4k
Raft: Consensus for Rubyists
vanstee
137
6.9k
For a Future-Friendly Web
brad_frost
177
9.7k
A better future with KSS
kneath
239
17k
Code Review Best Practice
trishagee
67
18k
How to Ace a Technical Interview
jacobian
276
23k
Building Better People: How to give real-time feedback that sticks.
wjessup
367
19k
A Tale of Four Properties
chriscoyier
158
23k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
30
2.3k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
160
15k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
45
9.5k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
8
670

Transcript

  1. 君のキャッシュDNSサーバが出すクエリ を君は本当に理理解しているか? あ、でもそのうちそうなっちゃうかも? 〜~QNAME Minimisation の話〜~ ENOG34@柏崎 2015年年9⽉月4⽇日 DMM.comラボ ⾼高嶋隆⼀一

  2. 1 おさらい. ドメイン名は階層構造を持つ . jp com org 酔っ払い co example

    ・・・ ・・・ 酔っ払い . JP . ü ⽊木構造っぽい

  3. 2 おさらい. 権威DNSサーバがいてデータを保管 . jp com org 酔っ払い co example

    ・・・ ・・・ a.dns.jp b.dns.jp … a.root-‐‑‒servers.net b.root-‐‑‒servers.net … “.” の権威DNSサーバ 酔っ払い.jp の権威DNSサーバ urquell. 酔っ払い. jp jpの 権威DNSサーバ

  4. 3 おさらい. 権威DNSサーバがいてデータを保管 . jp com org 酔っ払い co example

    ・・・ ・・・ a.dns.jp b.dns.jp … a.root-‐‑‒servers.net b.root-‐‑‒servers.net … “.” の権威DNSサーバ 酔っ払い.jp の権威DNSサーバ urquell. 酔っ払い. jp jpの 権威DNSサーバ 上位の階層で下位の階層の 権威DNSサーバを NSレコードで指定する (委任)

  5. 4 おさらい. キャッシュDNSサーバが “.” の権威DNSサーバから順番に名前検索索 . jp 酔っ払い a.dns.jp b.dns.jp

    … a.root-‐‑‒servers.net b.root-‐‑‒servers.net … 権威DNSサーバ urquell. 酔っ払い. jp ラベル キャッシュ DNSサーバ クライアント 酔っ払い.jpのIP アドレスは何? 酔っ払い.jpは 192.0.2.1 1 2 3 4 5 6 7 8

  6. 5 ここで質問です . jp 酔っ払い a.dns.jp b.dns.jp … a.root-‐‑‒servers.net b.root-‐‑‒servers.net

    … 権威DNSサーバ urquell. 酔っ払い. jp ラベル キャッシュ DNSサーバ クライアント 酔っ払い.jpのIP アドレスは何? 酔っ払い.jpは 192.0.2.1 1 2 3 4 5 6 7 8 〜~ のクエリ内容と の返答内容は何でしょう? 2 7

  7. 6 よくある回答 . jp 酔っ払い a.dns.jp b.dns.jp … a.root-‐‑‒servers.net b.root-‐‑‒servers.net

    … 権威DNSサーバ urquell. 酔っ払い. jp ラベル キャッシュ DNSサーバ 2 3 4 5 6 7 jp の NS は誰? jp の NS は [a-‐‑‒ f].dns.jp

  8. 7 よくある回答 . jp 酔っ払い a.dns.jp b.dns.jp … a.root-‐‑‒servers.net b.root-‐‑‒servers.net

    … 権威DNSサーバ urquell. 酔っ払い. jp ラベル キャッシュ DNSサーバ 2 3 4 5 6 7 酔っ払い.jp の NS は誰? 酔っ払い.jp の NS は urquell. 酔っ払い.jp

  9. 8 よくある回答 . jp 酔っ払い a.dns.jp b.dns.jp … a.root-‐‑‒servers.net b.root-‐‑‒servers.net

    … 権威DNSサーバ urquell. 酔っ払い. jp ラベル キャッシュ DNSサーバ 2 3 4 5 6 7 酔っ払い.jp の A は何? 酔っ払い.jp の A は 192.0.2.1

  10. 9 答え合わせ . jp 酔っ払い a.dns.jp b.dns.jp … a.root-‐‑‒servers.net b.root-‐‑‒servers.net

    … 権威DNSサーバ urquell. 酔っ払い. jp ラベル キャッシュ DNSサーバ 2 3 4 5 6 7 酔っ払い.jp の A は何? 酔っ払い.jp の A は 192.0.2.1 jp の NS は誰? jp の NS は [a-‐‑‒ f].dns.jp 酔っ払い.jp の NS は誰? 酔っ払い.jp の NS は urquell. 酔っ払い.jp

  11. 10 答え合わせ

  12. 11 正解 (注1) 133.242…v6.sakura.ne.jp, xavier.hanya-‐‑‒n.org はキャッシュDNSサーバの IPv4, IPv6アドレス (注2) ハードコードされたroot

    DNSのhint情報から 真のroot DNSの⼀一覧を得るためのクエリ (プライミングと呼ばれ、BIND9やUnboundなどに実装) (注3) BIND9 はルートサーバに何らかのクエリを送る際にも プライミングと同様のクエリを送る模様

  13. 12 正解 . jp 酔っ払い a.dns.jp b.dns.jp … a.root-‐‑‒servers.net b.root-‐‑‒servers.net

    … 権威DNSサーバ urquell. 酔っ払い. jp ラベル キャッシュ DNSサーバ 2 3 4 5 6 7

  14. 13 正解 Internet Protocol Version 6, Src: 133.242.136.218.v6.sakura.ne.jp (2401:2500:102:1201:133:242:136:218), Dst:

    i.root-servers.net (2001:7fe::53) User Datagram Protocol, Src Port: 18648 (18648), Dst Port: 53 (53) Domain Name System (query) Transaction ID: 0xab7c Flags: 0x0010 Standard query 〜〜snip~~ Questions: 1 Answer RRs: 0 Authority RRs: 0 Additional RRs: 1 Queries XN--N8J1C913R6J1B.JP: type A, class IN Name: XN--N8J1C913R6J1B.JP [Name Length: 20] [Label Count: 2] Type: A (Host Address) (1) Class: IN (0x0001) Additional records <Root>: type OPT ~~snip DO bit (DNSSEC ok) ~~ クライアントから問い合わされた 内容を聞いている

  15. 14 正解 . jp 酔っ払い a.dns.jp b.dns.jp … a.root-‐‑‒servers.net b.root-‐‑‒servers.net

    … 権威DNSサーバ urquell. 酔っ払い. jp ラベル キャッシュ DNSサーバ 2 3 4 5 6 7

  16. 15 正解 Internet Protocol Version 6, Src: i.root-servers.net (2001:7fe::53), Dst:

    133.242.136.218.v6.sakura.ne.jp (2401:2500:102:1201:133:242:136:218) User Datagram Protocol, Src Port: 53 (53), Dst Port: 18648 (18648) Domain Name System (response) [Request In: 2] [Time: 0.020326000 seconds] Transaction ID: 0xab7c Flags: 0x8010 Standard query response, No error ~~snip~~ Questions: 1 Answer RRs: 0 Authority RRs: 10 Additional RRs: 14 Queries XN--N8J1C913R6J1B.JP: type A, class IN Name: XN--N8J1C913R6J1B.JP [Name Length: 20] [Label Count: 2] Type: A (Host Address) (1) Class: IN (0x0001) Authoritative nameservers JP: type NS, class IN, ns b.dns.JP ~~snip 以下、jp の権威サーバと DS, RRSIG の列列挙 ~~ Answer section ではなく、 Authority section に NS を返してる!

  17. 16 正解 . jp 酔っ払い a.dns.jp b.dns.jp … a.root-‐‑‒servers.net b.root-‐‑‒servers.net

    … 権威DNSサーバ urquell. 酔っ払い. jp ラベル キャッシュ DNSサーバ 2 3 4 5 6 7 酔っ払い.jp の A は何? 酔っ払い.jp の A は 192.0.2.1 酔っ払い.jp の A は何? [a-‐‑‒f].dns.jp が 知ってるよ 酔っ払い.jp の A は何? urquell.酔っ払 い.jp が知って るよ

  18. 17 正解 ü キャッシュDNSサーバは常にクライアントから問い合わ された内容のクエリを送り続ける ü 権威DNSサーバは § ⾃自分のドメイン名の階層に含まれる §

    ⾃自分が直接対応するデータを持っていない § ⾃自分のドメイン名の下位の階層の権威DNSサーバ (NSレコード)が設定されている(委任されている) 場合は、Authority Section にそれらを⼊入れて返す

  19. 18 だがしかし!

  20. 19 何か変わるか もしんない!

  21. 20 QNAME Minimisation

  22. 21 QNAME Minimisation q 従来の⼿手法の問題点 Ø キャッシュDNSサーバ常にクライアントから要求され た最終的に必要な DNS クエリを送り続ける

    Ø 上位の権威DNSサーバ程、クライアントが何をしてい るのかわかっちゃう! Ø 権威DNSサーバへの通信経路路の⼈人も覗き⾒見見できちゃ う!

  23. 22 QNAME Minimisation . jp 酔っ払い ドメイン名 & 権威DNSサーバ キャッシュ

    DNSサーバ クライアント 秘密のエロ.酔っ払 い.jpのIPアドレス は何? 秘密のエロ.酔っ払 い.jpのIPアドレス は何? 秘密のエロ.酔っ払 い.jpのIPアドレス は何? 秘密のエロ.酔っ払 い.jpのIPアドレス は何?

  24. 管理理者 管理理者 23 QNAME Minimisation . jp 酔っ払い ドメイン名 &

    権威DNSサーバ キャッシュ DNSサーバ 管理理者 途中経路路 ププ、あいつ あんなサイト⾒見見て るぜ!wwwwww

  25. 24 よくない!

  26. 25 QNAME Minimisation の提案内容 Ø 権威DNSサーバには、それから1階層下の NS を聞く様 にする

  27. 26 これだ! . jp 酔っ払い a.dns.jp b.dns.jp … a.root-‐‑‒servers.net b.root-‐‑‒servers.net

    … 権威DNSサーバ urquell. 酔っ払い. jp ドメイン名 キャッシュ DNSサーバ 2 3 4 5 6 7 酔っ払い.jp の A は何? 酔っ払い.jp の A は 192.0.2.1 jp の NS は誰? jp の NS は [a-‐‑‒ f].dns.jp 酔っ払い.jp の NS は誰? 酔っ払い.jp の NS は urquell. 酔っ払い.jp

  28. 27 これが . jp 酔っ払い a.dns.jp b.dns.jp … a.root-‐‑‒servers.net b.root-‐‑‒servers.net

    … 権威DNSサーバ urquell. 酔っ払い. jp ラベル キャッシュ DNSサーバ 2 3 4 5 6 7 酔っ払い.jp の A は何? 酔っ払い.jp の A は 192.0.2.1 jp の NS は誰? jp の NS は [a-‐‑‒ f].dns.jp 酔っ払い.jp の NS は誰? 酔っ払い.jp の NS は urquell. 酔っ払い.jp

  29. 28 こうなる . jp 酔っ払い a.dns.jp b.dns.jp … a.root-‐‑‒servers.net b.root-‐‑‒servers.net

    … 権威DNSサーバ urquell. 酔っ払い. jp ラベル キャッシュ DNSサーバ 2 3 4 5 6 7 酔っ払い.jp の A は何? 酔っ払い.jp の A は 192.0.2.1 jp の NS は誰? jp の NS は [a-‐‑‒ f].dns.jp 酔っ払い.jp の NS は誰? 酔っ払い.jp の NS は urquell. 酔っ払い.jp

  30. 29 よかったね!

  31. 30 QNAME Minimisation のいいところ q 既存の仕組みと互換性がある Ø 仮にすぐ下の階層に NS がなくて、2階層より下のド

    メイン名が定義されてても NO DATA が返ってくるだ けなので、更更に1個したのNSを聞くというのができる Ø というか、最終的に知りたい名前を聞くというやり⽅方 ⾃自体、伝統的にそうしているがそういう決まりではな いらしい

  32. 31 QNAME Minimisation のいいところ q Negative Cache 効率率率の向上 (例例) A.example、B.example、C.exampleを

    順に問い合わせた場合 v 従来の⽅方法: Ø ルートサーバへの問い合わせが毎回発⽣生 v QNAME minimisation: Ø A.exampleの時にだけ問い合わせが発⽣生 ü exampleのNSを問い合わせるため、NS (委任)が存在しないことがわかる ü B.example、C.exampleに対する問い合 わせが発⽣生しない

  33. 32 まとめ +1 q 今の実装では、キャッシュDNSサーバは最終的に知り たいクエリを root から最終的にデータを持っている権 威DNSサーバまで繰り返し聞き続ける q

    QNAME Minimisation では root から1階層ずつ NS を 検索索する様なアプローチをとり、プライバシー対策に なると同時に、クエリ/応答のパケット数の削減も実現 できる +1 Ø 現在の状況: IETF dnsop WGで合意済、 Experimental RFCとなる予定

  34. 33 Special Thanks to: 重複の Orange の⼈人 q 当⽇日朝に内容チェックお願いしたにも関わらず ありがとうございまーす。

  35. 34 Thank you!