DNSの名前解決エラー(現在進行中)

Transcript

1. DNSの名前解決エラー (現在進行中) 2016年2月20日(土) 関西*BSDユーザ会2016年第1回研究会 神戸 隆博

2. ホストの名前解決失敗 • わかっていること: – 稀に失敗する。 • キャッシュにない場合 – namedからSERVFAIL •

   相手のTTLは短め • 参照するホスト自体はCNAME – 1時間のTTL

3. 影響 – Webブラウザーでの参照はあまりない。 • 但し、管理画面が再表示できないことも稀にある。 – システム的には困る場合がある。 • MDMの登録処理の失敗 •

   dig(1)でキャッシュに載ってることを確認してから実行

4. BINDのバージョン依存? • SonicWallの内側 – Cent OS 6 • 9.8.2rc1-RedHat-9.8.2-0.37.rc1.el6_7.6 –

   OS X 10.9 • 9.9.2-P2 – 比較的確実に発生

5. 最新のBINDでも • 直接Internet – NetBSD 6.1_STABLE • 9.10.3-P3 • 少し頻度が低い?

   ;; WHEN: Wed Feb 17 13:28:59 JST 2016 ;; WHEN: Wed Feb 17 16:29:04 JST 2016 ;; WHEN: Thu Feb 18 12:29:42 JST 2016 ;; WHEN: Thu Feb 18 13:29:45 JST 2016 ;; WHEN: Fri Feb 19 21:30:47 JST 2016

6. max-recursion-depth ? • max-recursion-depthと max-recursion-queries – BIND 9.9.2-P2 (OS X)にはない。

   • 改善したような気がしたけれど違った。

7. いけないネームサーバー? • (問題のホスト).ne 3600 IN CNAME dualstack.elb-3-*****-158096469.ap-northeast-1.elb.amazonaws.comt • 2つのA dualstack.elb-3-*****-158096469.ap-northeast-1.elb.amazonaws.comt

   60 IN A 175.41.247.71 60 IN A 54.249.253.83 • 担当NS ap-northeast-1.elb.amazonaws.com. 300 IN NS ns-982.awsdns-58.net ap-northeast-1.elb.amazonaws.com. 300 IN NS ns-1683.awsdns-18.co.uk ap-northeast-1.elb.amazonaws.com. 300 IN NS ns-1325.awsdns-37.org ap-northeast-1.elb.amazonaws.com. 300 IN NS ns-54.awsdns-06.com • 対象をすべては調査できていない。

8. tcpdump(8)登場 • tcpdump –vv • UDPの場合 15:38:45.976217 IP (tos 0x0,

   ttl 64, id 30927, offset 0, flags [none], proto UDP (17), length 75) yanagi.kisu.co.jp.61357 > d.gtld-servers.net.domain: [udp sum ok] 58866 [1au] A? *****.net. ar: . OPT UDPsize=512 OK (47) – UDPで運ばれているもの: • [udp sum ok]の後ろ • 16bitの値の表示から続く • 細かいところはtcpdmp(8)のソースが早い

9. tcpdump(8)を読む • TCPの場合 15:38:46.448543 IP (tos 0x0, ttl 50, id

   17395, offset 0, flags [DF], proto TCP (6), length 673) d.gtld-servers.net.domain > yanagi.kisu.co.jp.57852: Flags [P.], cksum 0x99a1 (correct), seq 1:622, ack 50, win 114, options [nop,nop,TS val 1576612932 ecr 2], length 62115799- q: A? *****.net. 0/6/3 ns: mobi-connect.net. [2d] NS ns21.domaincontrol.com., *****.net. [2d] NS ns22.domaincontrol.com., A1RT98BS5QGC9NFI51S9HCI47ULJG6JH.net. [1d] Type50, A1RT98BS5QGC9NFI51S9HCI47ULJG6JH.net. [1d] RRSIG, VJP6M4I4OHHOTNJBLTLITD8EBVKGA3UB.net. [1d] Type50, VJP6M4I4OHHOTNJBLTLITD8EBVKGA3UB.net. [1d] RRSIG ar: ns21.domaincontrol.com. [2d] A 216.69.185.11, ns22.domaincontrol.com. [2d] A 208.109.255.11, . OPT UDPsize=4096 OK (619) – 制御パケットはlength 0 – TCPのlengthとDNSの最初の16bit値がつながって、 表示されてる!

10. 結果を読む(1) 1. rootサーバーにUDPで問い合わせ 2. ドメインのNSが返るが、 DNSのメッセージが切り詰められてる! 3. rootサーバーにTCPで問い合わせ 4. 2.のNSを元にrootサーバーに問い合わせ

    l {ns21,ns22}.domaincontrol.comの2つ l AとAAAA l やっぱり切り詰められた応答

11. 結果を読む(2) 5. NSをrootサーバーに問い合わせ(TCP) 6. domaincontrol.comのNSが得られる。 ans01とans02 7. ans01にns21とns22のAレコードをUDPで 問い合わせ 8.

    結果を得て、ns21に目的のホストを問い合 わせ 9. CNAMEが返った!

12. 結果を読む(3) 10.dlv.isc.orgに目的のドメインのDLVを問い合わ せ 11.存在しないと応答だが、切り詰めれられ 12.もう一度TCPで問い合わせ 13.dlv.isc.orgにnetドメインのDLVを問い合わせ 14.応答あり 15.改めて長いドメインをrootサーバーに問い合 わせ

13. 取り敢えずの対処 • IPv6を止めてみる。 – named(8)の -4 オプション – AAAAの問い合わせが止まってくれた? –

    BIND 9.10.3-P3で起きていないように見える。

14. まとめではないまとめ • tcpdump(8)の結果を読む。 • 各ネームサーバーの挙動を調べる?