Upgrade to Pro — share decks privately, control downloads, hide ads and more …

20150904 君のキャッシュDNSサーバが出すクエリを君は本当に理理解しているか?あ、でもそのうちそうなっちゃうかも?〜~QNAME Minimisation の話〜~

Ryuichi Takashima
May 25, 2022
Technology
0
49

20150904 君のキャッシュDNSサーバが出すクエリを君は本当に理理解しているか?あ、でもそのうちそうなっちゃうかも?〜~QNAME Minimisation の話〜~

2015/09/04 ENOG34 @ 柏崎

DNS QNAME Minimisation の解説を書いた資料。当時はまだ draft だったけど、今もまぁ動作概要としては変わらず、BIND9.16からデフォルト動作になったので見返す価値はあるかも。

Ryuichi Takashima

May 25, 2022
Tweet

More Decks by Ryuichi Takashima

See All by Ryuichi Takashima
DNS による service discovery 関連の RFC/I-D のまとめ
rt4716
2
310
20170927 続:AS-PATH アップデート
rt4716
0
72
20200729 BGP 概説
rt4716
0
110
20131010 90分で理解するSDNの基礎
rt4716
0
27
20171130 権威DNSサービスのダイバーシティ
rt4716
0
39
20180223 DNSのトランスポート暗号化に関する調査2018
rt4716
0
31
20161201 コンテンツプロバイダから見た権威DNSサーバ
rt4716
0
42
20150716 Summary of Layer-2 Technology for Data Center Network
rt4716
0
10
20170217 ロードバランサ再入門
rt4716
1
59

Other Decks in Technology

See All in Technology
dx_osarai_about_connection
hatahata021
0
170
「時系列データ」を ChatGPT で活かすには?!
soracom
PRO
0
440
Oracle Exadata Database Service on [email protected] X9M ([email protected]) 技術詳細
oracle4engineer
PRO
0
1.5k
LLMの普及による機械学習の民主化とMLPdMの重要性 / democratization-of-ml-and-importance-of-mlpdm-by-llm
yuya4
2
2.7k
Impressions of the Ruby Kaigi
suzukahr
1
5.3k
ジェネレーティブAIとの共創
yuyakakizaki08
1
460
WOFFの紹介
mmclsntr
0
120
microCMS AI
microcms
0
530
RedMica 2.3 (2023-05) 新機能ハイライト およびRedmineの2023年5月までの半年間の主要な開発成果
vividtone
0
110
Princess APIのAPIクライアントをTypeScriptで作ってnpmで公開してみた
ohmori_yusuke
1
520
[春のDojo祭り'23] いまからでも遅くない!データベース超入門 ハンズオン編
leekwangsoo1995
2
350
機械学習モデル性能向上への学習データからのアプローチ
okada_fuutass
0
130

Featured

See All Featured
Infographics Made Easy
chrislema
236
17k
From Idea to $5000 a Month in 5 Months
shpigford
374
45k
Become a Pro
speakerdeck
PRO
7
3.4k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
152
13k
The Art of Programming - Codeland 2020
erikaheidi
37
11k
Why Our Code Smells
bkeepers
PRO
327
55k
Adopting Sorbet at Scale
ufuk
66
8k
How GitHub Uses GitHub to Build GitHub
holman
466
280k
Teambox: Starting and Learning
jrom
124
8k
Git: the NoSQL Database
bkeepers
PRO
420
60k
YesSQL, Process and Tooling at Scale
rocio
158
13k
Making Projects Easy
brettharned
102
5k

Transcript

  1. 君のキャッシュDNSサーバが出すクエリ
    を君は本当に理理解しているか?
    あ、でもそのうちそうなっちゃうかも?
    〜~QNAME Minimisation の話〜~
    [email protected]柏崎
    2015年年9⽉月4⽇日
    DMM.comラボ ⾼高嶋隆⼀一

    View Slide

  2. 1
    おさらい. ドメイン名は階層構造を持つ
    .
    jp com org
    酔っ払い co
    example
    ・・・
    ・・・
    酔っ払い . JP .
    ü ⽊木構造っぽい

    View Slide

  3. 2
    おさらい. 権威DNSサーバがいてデータを保管
    .
    jp com org
    酔っ払い co
    example
    ・・・
    ・・・
    a.dns.jp
    b.dns.jp

    a.root-‐‑‒servers.net
    b.root-‐‑‒servers.net

    “.” の権威DNSサーバ
    酔っ払い.jp
    の権威DNSサーバ
    urquell.
    酔っ払い.
    jp
    jpの
    権威DNSサーバ

    View Slide

  4. 3
    おさらい. 権威DNSサーバがいてデータを保管
    .
    jp com org
    酔っ払い co
    example
    ・・・
    ・・・
    a.dns.jp
    b.dns.jp

    a.root-‐‑‒servers.net
    b.root-‐‑‒servers.net

    “.” の権威DNSサーバ
    酔っ払い.jp
    の権威DNSサーバ
    urquell.
    酔っ払い.
    jp
    jpの
    権威DNSサーバ
    上位の階層で下位の階層の
    権威DNSサーバを
    NSレコードで指定する (委任)

    View Slide

  5. 4
    おさらい. キャッシュDNSサーバが
    “.” の権威DNSサーバから順番に名前検索索
    .
    jp
    酔っ払い
    a.dns.jp
    b.dns.jp

    a.root-‐‑‒servers.net
    b.root-‐‑‒servers.net

    権威DNSサーバ
    urquell.
    酔っ払い.
    jp
    ラベル
    キャッシュ
    DNSサーバ
    クライアント
    酔っ払い.jpのIP
    アドレスは何?
    酔っ払い.jpは
    192.0.2.1
    1
    2
    3
    4
    5
    6
    7
    8

    View Slide

  6. 5
    ここで質問です
    .
    jp
    酔っ払い
    a.dns.jp
    b.dns.jp

    a.root-‐‑‒servers.net
    b.root-‐‑‒servers.net

    権威DNSサーバ
    urquell.
    酔っ払い.
    jp
    ラベル
    キャッシュ
    DNSサーバ
    クライアント
    酔っ払い.jpのIP
    アドレスは何?
    酔っ払い.jpは
    192.0.2.1
    1
    2
    3
    4
    5
    6
    7
    8
    〜~ のクエリ内容と
    の返答内容は何でしょう?
    2 7

    View Slide

  7. 6
    よくある回答
    .
    jp
    酔っ払い
    a.dns.jp
    b.dns.jp

    a.root-‐‑‒servers.net
    b.root-‐‑‒servers.net

    権威DNSサーバ
    urquell.
    酔っ払い.
    jp
    ラベル
    キャッシュ
    DNSサーバ
    2
    3
    4
    5
    6
    7
    jp の NS は誰?
    jp の NS は [a-‐‑‒
    f].dns.jp

    View Slide

  8. 7
    よくある回答
    .
    jp
    酔っ払い
    a.dns.jp
    b.dns.jp

    a.root-‐‑‒servers.net
    b.root-‐‑‒servers.net

    権威DNSサーバ
    urquell.
    酔っ払い.
    jp
    ラベル
    キャッシュ
    DNSサーバ
    2
    3
    4
    5
    6
    7
    酔っ払い.jp の
    NS は誰?
    酔っ払い.jp の
    NS は urquell.
    酔っ払い.jp

    View Slide

  9. 8
    よくある回答
    .
    jp
    酔っ払い
    a.dns.jp
    b.dns.jp

    a.root-‐‑‒servers.net
    b.root-‐‑‒servers.net

    権威DNSサーバ
    urquell.
    酔っ払い.
    jp
    ラベル
    キャッシュ
    DNSサーバ
    2
    3
    4
    5
    6
    7
    酔っ払い.jp の
    A は何?
    酔っ払い.jp の
    A は 192.0.2.1

    View Slide

  10. 9
    答え合わせ
    .
    jp
    酔っ払い
    a.dns.jp
    b.dns.jp

    a.root-‐‑‒servers.net
    b.root-‐‑‒servers.net

    権威DNSサーバ
    urquell.
    酔っ払い.
    jp
    ラベル
    キャッシュ
    DNSサーバ
    2
    3
    4
    5
    6
    7
    酔っ払い.jp の
    A は何?
    酔っ払い.jp の
    A は 192.0.2.1
    jp の NS は誰?
    jp の NS は [a-‐‑‒
    f].dns.jp
    酔っ払い.jp の
    NS は誰?
    酔っ払い.jp の
    NS は urquell.
    酔っ払い.jp

    View Slide

  11. 10
    答え合わせ

    View Slide

  12. 11
    正解
    (注1) 133.242…v6.sakura.ne.jp, xavier.hanya-‐‑‒n.org
    はキャッシュDNSサーバの IPv4, IPv6アドレス
    (注2) ハードコードされたroot DNSのhint情報から
    真のroot DNSの⼀一覧を得るためのクエリ
    (プライミングと呼ばれ、BIND9やUnboundなどに実装)
    (注3) BIND9 はルートサーバに何らかのクエリを送る際にも
    プライミングと同様のクエリを送る模様

    View Slide

  13. 12
    正解
    .
    jp
    酔っ払い
    a.dns.jp
    b.dns.jp

    a.root-‐‑‒servers.net
    b.root-‐‑‒servers.net

    権威DNSサーバ
    urquell.
    酔っ払い.
    jp
    ラベル
    キャッシュ
    DNSサーバ
    2
    3
    4
    5
    6
    7

    View Slide

  14. 13
    正解
    Internet Protocol Version 6, Src: 133.242.136.218.v6.sakura.ne.jp
    (2401:2500:102:1201:133:242:136:218), Dst: i.root-servers.net (2001:7fe::53)
    User Datagram Protocol, Src Port: 18648 (18648), Dst Port: 53 (53)
    Domain Name System (query)
    Transaction ID: 0xab7c
    Flags: 0x0010 Standard query
    〜〜snip~~
    Questions: 1
    Answer RRs: 0
    Authority RRs: 0
    Additional RRs: 1
    Queries
    XN--N8J1C913R6J1B.JP: type A, class IN
    Name: XN--N8J1C913R6J1B.JP
    [Name Length: 20]
    [Label Count: 2]
    Type: A (Host Address) (1)
    Class: IN (0x0001)
    Additional records
    : type OPT
    ~~snip DO bit (DNSSEC ok) ~~
    クライアントから問い合わされた
    内容を聞いている

    View Slide

  15. 14
    正解
    .
    jp
    酔っ払い
    a.dns.jp
    b.dns.jp

    a.root-‐‑‒servers.net
    b.root-‐‑‒servers.net

    権威DNSサーバ
    urquell.
    酔っ払い.
    jp
    ラベル
    キャッシュ
    DNSサーバ
    2
    3
    4
    5
    6
    7

    View Slide

  16. 15
    正解
    Internet Protocol Version 6, Src: i.root-servers.net (2001:7fe::53), Dst:
    133.242.136.218.v6.sakura.ne.jp (2401:2500:102:1201:133:242:136:218)
    User Datagram Protocol, Src Port: 53 (53), Dst Port: 18648 (18648)
    Domain Name System (response)
    [Request In: 2]
    [Time: 0.020326000 seconds]
    Transaction ID: 0xab7c
    Flags: 0x8010 Standard query response, No error
    ~~snip~~
    Questions: 1
    Answer RRs: 0
    Authority RRs: 10
    Additional RRs: 14
    Queries
    XN--N8J1C913R6J1B.JP: type A, class IN
    Name: XN--N8J1C913R6J1B.JP
    [Name Length: 20]
    [Label Count: 2]
    Type: A (Host Address) (1)
    Class: IN (0x0001)
    Authoritative nameservers
    JP: type NS, class IN, ns b.dns.JP
    ~~snip 以下、jp の権威サーバと DS, RRSIG の列列挙 ~~
    Answer section ではなく、
    Authority section に
    NS を返してる!

    View Slide

  17. 16
    正解
    .
    jp
    酔っ払い
    a.dns.jp
    b.dns.jp

    a.root-‐‑‒servers.net
    b.root-‐‑‒servers.net

    権威DNSサーバ
    urquell.
    酔っ払い.
    jp
    ラベル
    キャッシュ
    DNSサーバ
    2
    3
    4
    5
    6
    7
    酔っ払い.jp の
    A は何?
    酔っ払い.jp の
    A は 192.0.2.1
    酔っ払い.jp の
    A は何?
    [a-‐‑‒f].dns.jp が
    知ってるよ
    酔っ払い.jp の
    A は何?
    urquell.酔っ払
    い.jp が知って
    るよ

    View Slide

  18. 17
    正解
    ü キャッシュDNSサーバは常にクライアントから問い合わ
    された内容のクエリを送り続ける
    ü 権威DNSサーバは
    § ⾃自分のドメイン名の階層に含まれる
    § ⾃自分が直接対応するデータを持っていない
    § ⾃自分のドメイン名の下位の階層の権威DNSサーバ
    (NSレコード)が設定されている(委任されている)
    場合は、Authority Section にそれらを⼊入れて返す

    View Slide

  19. 18
    だがしかし!

    View Slide

  20. 19
    何か変わるか
    もしんない!

    View Slide

  21. 20
    QNAME Minimisation

    View Slide

  22. 21
    QNAME Minimisation
    q 従来の⼿手法の問題点
    Ø キャッシュDNSサーバ常にクライアントから要求され
    た最終的に必要な DNS クエリを送り続ける
    Ø 上位の権威DNSサーバ程、クライアントが何をしてい
    るのかわかっちゃう!
    Ø 権威DNSサーバへの通信経路路の⼈人も覗き⾒見見できちゃ
    う!

    View Slide

  23. 22
    QNAME Minimisation
    .
    jp
    酔っ払い
    ドメイン名
    & 権威DNSサーバ
    キャッシュ
    DNSサーバ
    クライアント
    秘密のエロ.酔っ払
    い.jpのIPアドレス
    は何?
    秘密のエロ.酔っ払
    い.jpのIPアドレス
    は何?
    秘密のエロ.酔っ払
    い.jpのIPアドレス
    は何?
    秘密のエロ.酔っ払
    い.jpのIPアドレス
    は何?

    View Slide

  24. 管理理者
    管理理者
    23
    QNAME Minimisation
    .
    jp
    酔っ払い
    ドメイン名 & 権威DNSサーバ
    キャッシュ
    DNSサーバ
    管理理者
    途中経路路
    ププ、あいつ
    あんなサイト⾒見見て
    るぜ!wwwwww

    View Slide

  25. 24
    よくない!

    View Slide

  26. 25
    QNAME Minimisation の提案内容
    Ø 権威DNSサーバには、それから1階層下の NS を聞く様
    にする

    View Slide

  27. 26
    これだ!
    .
    jp
    酔っ払い
    a.dns.jp
    b.dns.jp

    a.root-‐‑‒servers.net
    b.root-‐‑‒servers.net

    権威DNSサーバ
    urquell.
    酔っ払い.
    jp
    ドメイン名
    キャッシュ
    DNSサーバ
    2
    3
    4
    5
    6
    7
    酔っ払い.jp の
    A は何?
    酔っ払い.jp の
    A は 192.0.2.1
    jp の NS は誰?
    jp の NS は [a-‐‑‒
    f].dns.jp
    酔っ払い.jp の
    NS は誰?
    酔っ払い.jp の
    NS は urquell.
    酔っ払い.jp

    View Slide

  28. 27
    これが
    .
    jp
    酔っ払い
    a.dns.jp
    b.dns.jp

    a.root-‐‑‒servers.net
    b.root-‐‑‒servers.net

    権威DNSサーバ
    urquell.
    酔っ払い.
    jp
    ラベル
    キャッシュ
    DNSサーバ
    2
    3
    4
    5
    6
    7
    酔っ払い.jp の
    A は何?
    酔っ払い.jp の
    A は 192.0.2.1
    jp の NS は誰?
    jp の NS は [a-‐‑‒
    f].dns.jp
    酔っ払い.jp の
    NS は誰?
    酔っ払い.jp の
    NS は urquell.
    酔っ払い.jp

    View Slide

  29. 28
    こうなる
    .
    jp
    酔っ払い
    a.dns.jp
    b.dns.jp

    a.root-‐‑‒servers.net
    b.root-‐‑‒servers.net

    権威DNSサーバ
    urquell.
    酔っ払い.
    jp
    ラベル
    キャッシュ
    DNSサーバ
    2
    3
    4
    5
    6
    7
    酔っ払い.jp の
    A は何?
    酔っ払い.jp の
    A は 192.0.2.1
    jp の NS は誰?
    jp の NS は [a-‐‑‒
    f].dns.jp
    酔っ払い.jp の
    NS は誰?
    酔っ払い.jp の
    NS は urquell.
    酔っ払い.jp

    View Slide

  30. 29
    よかったね!

    View Slide

  31. 30
    QNAME Minimisation のいいところ
    q 既存の仕組みと互換性がある
    Ø 仮にすぐ下の階層に NS がなくて、2階層より下のド
    メイン名が定義されてても NO DATA が返ってくるだ
    けなので、更更に1個したのNSを聞くというのができる
    Ø というか、最終的に知りたい名前を聞くというやり⽅方
    ⾃自体、伝統的にそうしているがそういう決まりではな
    いらしい

    View Slide

  32. 31
    QNAME Minimisation のいいところ
    q Negative Cache 効率率率の向上
    (例例) A.example、B.example、C.exampleを
    順に問い合わせた場合
    v 従来の⽅方法:
    Ø ルートサーバへの問い合わせが毎回発⽣生
    v QNAME minimisation:
    Ø A.exampleの時にだけ問い合わせが発⽣生
    ü exampleのNSを問い合わせるため、NS
    (委任)が存在しないことがわかる
    ü B.example、C.exampleに対する問い合
    わせが発⽣生しない

    View Slide

  33. 32
    まとめ +1
    q 今の実装では、キャッシュDNSサーバは最終的に知り
    たいクエリを root から最終的にデータを持っている権
    威DNSサーバまで繰り返し聞き続ける
    q QNAME Minimisation では root から1階層ずつ NS を
    検索索する様なアプローチをとり、プライバシー対策に
    なると同時に、クエリ/応答のパケット数の削減も実現
    できる
    +1
    Ø 現在の状況:
    IETF dnsop WGで合意済、
    Experimental RFCとなる予定

    View Slide

  34. 33
    Special Thanks to: 重複の Orange の⼈人
    q 当⽇日朝に内容チェックお願いしたにも関わらず
    ありがとうございまーす。

    View Slide

  35. 34
    Thank you!

    View Slide