Name Server 総合スレ【DNS】
レス数が900を超えています。1000を超えると表示できなくなるよ。
0001名無しさん@お腹いっぱい。
2008/11/26(水) 01:14:36●主なオープンソース
BIND
ttps://www.isc.org/software/bind
djbdns
ttp://djbdns.qmail.jp/
NSD
ttp://www.nlnetlabs.nl/projects/nsd/
Unbound
ttp://unbound.net/
●規格
RFC1034, 1035
ttp://www.ietf.org/rfc/rfc1034.txt
ttp://www.ietf.org/rfc/rfc1035.txt
●アプライアンス
Nominum
ttp://www.nominum.com/
Infoblox
ttp://www.infoblox.co.jp/
0819名無しさん@お腹いっぱい。
2011/12/06(火) 21:36:33.13https://deepthought.isc.org/article/AA-00549
0820名無しさん@お腹いっぱい。
2011/12/06(火) 22:09:46.44究極の浸透問題状態だろそれwww
0821名無しさん@お腹いっぱい。
2011/12/07(水) 10:25:52.42権威サーバと混在してる場合は軽減できるけど完全な解決策にはならないからでは。
キャッシュDNSでもlocalhostやAS112ゾーンは持つのがふつーだから、
純粋にキャッシュ専用で動いてるところなんてまずないと思う。
0822名無しさん@お腹いっぱい。
2011/12/07(水) 18:22:16.28更新されたね。
0823名無しさん@お腹いっぱい。
2011/12/19(月) 20:23:43.55外部から登録するためのプロトコルを実装して公開して欲しい。
DSレコードの登録が手動とか、面倒くさくてDNSSECを導入できない。
0824名無しさん@お腹いっぱい。
2011/12/19(月) 20:55:14.04「自分にはできない」のを「自分がやらない」理由としてごまかしてるだけ。
SSLの証明書更新とかに比べればずっと手間が少ないのに。
NSの登録だって昔からJPRSに直接はできず、指定事業者経由でしかできないんだから、
DSでそれをできるようにするとはとても思えん。
0825名無しさん@お腹いっぱい。
2011/12/19(月) 21:05:12.34DSレコードは任意のタイミングで更新するわけにはいかないから自動化したいんだよ。
JPDirectのサービスとして始めればいいよ。
他の事業者は自分で実装すればいいだろ。IIJは出来るようにしたみたいだし。
http://www.iij.ad.jp/company/development/tech/activities/dnssec/index.html
0826名無しさん@お腹いっぱい。
2011/12/20(火) 18:13:16.11JPRSが他TLDの販売をしようとして
コテンパンに叩かれて、「*.dns.jp」の管理一本に
なったはず
0827名無しさん@お腹いっぱい。
2011/12/20(火) 19:27:52.85??? いつでも好きなときにできるけど?
DNSSECの仕様の話ではなく、客の都合に合わせてやらなきゃいかんとかいう話なら知らないけど。
外部からDS登録するAPIが存在しないわけではなく、指定事業者(レジストラ)には公開されてると思うよ。
sannetはjpがdnssec対応した初日にレンサバサービスで契約されている全ドメインの
DSを登録したらしいけど、ひとつずつ手でやったとはとても思えない。sannetは指定事業者なので
それ用のAPIを使ったと考えるのが妥当。
ただ、そのAPIを一般に公開できるかというと、ドメインの取得に際して
jprsから認証用のID/PWなどがドメイン所有者に渡されるわけではないので、
認証のしようがない。甘い認証でDSを更新させたらDNSSECの意味がない。
そのへんの認証情報を持ってる指定事業者を経由させるのもしかたないかと。
jpに限らず他のTLDでもレジストラを経由せずにDSを登録できないところばっかり。
自動化できるAPIを作れと言うなら、相手はjprsではなく自分がドメイン管理に使ってる事業者かと。
ちなみに、DS登録用のプロトコルとしてはRFC5910というのがあって、opendnssecはこれに対応してたはず。
>>826
jprsは最近jpだけでなくgTLDも売りはじめたよ。
0828名無しさん@お腹いっぱい。
2011/12/20(火) 20:30:39.50DNSはセキュリティパッチと、正引き・逆引き設定の変更が必要な時以外は、
一度設定したら手間を掛けなくて良かったんだから、
DNSSECを導入した場合でもキーの更新に新たなコスト(時間と金)は掛けたくない。
特にDSレコードの更新前後にKSKのTTLを気にするとかを手動でやりたくない。
DSレコードの更新、KSKの更新、ZSKの更新などを全部自動化したい。
うちの指定事業者はJPDirect(=JPRS)なの。
ドメインにまつわる設定を操作するためのIDとパスワードは、
既にもらっているので、あとはAPIがあれば良いだけなんだけど、
それをJPDirect(=JPRS)に用意して欲しいって言ってるの。
今現在提供されているJPDirectのwebインターフェースを使うことで、
DSレコードの更新は可能なんだけど、これにアクセスするソフトを書くとしても、
JPDirectが提供しているWebインターフェースなんて、いつ仕様が変わるか分からないから、
長期間に渡って動作する見込みが無い物は使えない。
だからJPDirect(=JPRS)には、ちゃんと仕様の決まった
DSレコードの更新方法を提供して欲しい。
既にRFCに習った実装があるなら、提供されるのがそれでも構わない。
0829名無しさん@お腹いっぱい。
2011/12/21(水) 01:22:18.55ヤツはDNS四天王のうちでも(ry
0830名無しさん@お腹いっぱい。
2011/12/21(水) 01:24:18.670831名無しさん@お腹いっぱい。
2011/12/21(水) 10:28:09.75jprsへの要望とjpdirectへの要望をごっちゃにしちゃいかん。
jpdirectって新規受け付けを終了しちゃってるが、
既存向けに続けてるのもそのうちやめそうな気がしてならない。
jpdirectそのものをやめたがってる感がアリアリ。
よその事業者にドメインを移管した方がいいような。
0832名無しさん@お腹いっぱい。
2011/12/21(水) 18:34:12.07PowerDNS recursor試してみようかな
0833名無しさん@お腹いっぱい。
2011/12/21(水) 21:04:25.74DJBのも調査してみたら?
0834名無しさん@お腹いっぱい。
2011/12/21(水) 22:40:07.45djbwareは嫌いだがこれは認めざるを得ない
もう機能拡張は望めないけど、ほとんどの用途では必要十分だし
不安はIPv6トランスポート対応くらいか
0835834
2011/12/21(水) 22:45:30.23サードバーティ製のパッチはあるけどね……
0836名無しさん@お腹いっぱい。
2011/12/21(水) 23:01:43.81適当に安いレジストラがDSレコード取次対応してくれれば他に移るんだが。
0837名無しさん@お腹いっぱい。
2011/12/21(水) 23:25:00.060838名無しさん@お腹いっぱい。
2011/12/21(水) 23:39:44.47djbdnsではEDNS0に対応していないから512byte問題を回避できない。
いわゆるdjbwareは既に過去のプロダクトであって、いま動いているものを無理に止めろとまでは言わないが、
新規に使うべきものではない。
0839名無しさん@お腹いっぱい。
2011/12/22(木) 00:07:46.10DNSのTCPトランスポートのサポートはMUSTになったけど
EDNS0がMUSTになる見込みはないと思う
0840名無しさん@お腹いっぱい。
2011/12/22(木) 01:49:34.61今からdnscacheを新規で入れるのも気がひけるな
0841名無しさん@お腹いっぱい。
2011/12/24(土) 00:00:47.15IPv6やDNSSECが必須にならなきゃdjbdnsでも生きていける、ような気がする
0842名無しさん@お腹いっぱい。
2011/12/26(月) 18:28:55.15これはサーバだけでなく、クライアント側も対応せよ、となっている。
つまり、v6のアドレスを問い合わせるならEDNS0を必ず使え、ということ。
まだv6は必須な状況にはなってないけど、現実にばんばん問い合わせてるのに
対応していないdnscacheはよろしくない。
もっとも、RFC3226が言及しているのはv6といってもAAAAじゃなくてA6だし、
DNSSECといってもDS方式じゃなくて実用化されなかったRFC2535方式だけど。
# DOビットを立てるならEDNS0を有効にしろ、という意味に解釈するなら
# 現行のDS方式のDNSSECについてもRFC3226は有効。
0843名無しさん@お腹いっぱい。
2011/12/28(水) 00:01:04.520844名無しさん@お腹いっぱい。
2011/12/30(金) 17:44:11.27>>842
A6なんてhistoricalになろうとしてるし、EDNS0のクエリを投げてくる
クライアント(スタブリゾルバ)なんて皆無。EDNS0非対応はその実装を
使わない理由にはならないと思う。
0845名無しさん@お腹いっぱい。
2012/02/18(土) 21:21:06.35cron で rndc flush で Ghost Busters できるん?
0846名無しさん
2012/02/18(土) 22:39:56.52ついでに浸透いうな対策にもなる。
0847名無しさん@お腹いっぱい。
2012/02/18(土) 22:42:48.70ISCやJPRSの人がそれを勧めるわけにいかないだろうね。
0848名無しさん@お腹いっぱい。
2012/02/25(土) 14:01:18.59JPRSが「キャッシュDNSサーバーにおいて定期的なキャッシュデータ
のクリアを実施することにより、危険性を低減できます。」
って言ってるぞ
0849名無しさん@お腹いっぱい。
2012/03/08(木) 12:06:58.70それをやる日本ISPが存在するかどうかだがなw
0850名無しさん@お腹いっぱい。
2012/03/08(木) 12:27:02.310851名無しさん@お腹いっぱい。
2012/03/09(金) 04:04:08.13むしろ同じ時間に複数のISPで一斉にクリアされるとTLDな人たちが困るかも?
0852名無しさん@お腹いっぱい。
2012/03/09(金) 09:05:03.49最低1回は権威を委任されなくちゃ成立しない攻撃方法だから、1〜数ヶ月は運用されるでしょ。
1ヶ月に1回で十分だと思うけど。
0853名無しさん@お腹いっぱい。
2012/03/09(金) 10:23:01.000854名無しさん@お腹いっぱい。
2012/03/09(金) 23:18:28.420855名無しさん@お腹いっぱい。
2012/03/09(金) 23:57:03.94それは、すべて再帰検索で、という意味?
思慮の浅いヤツ…
0856名無しさん@お腹いっぱい。
2012/03/10(土) 00:38:48.370857名無しさん@お腹いっぱい。
2012/03/10(土) 00:47:04.190858名無しさん@お腹いっぱい。
2012/03/10(土) 17:23:01.76思慮以前の問題かと。
日頃から浸透とか言ってそう>854
0859名無しさん@お腹いっぱい。
2012/03/10(土) 20:33:59.360860名無しさん@お腹いっぱい。
2012/03/12(月) 17:07:07.76ロケットニュースから引用してみる。
【図解】60秒間にインターネット上で起こっていること ttp://p.tl/Nljh
合計して60で割ると、主だったサービスだけで秒間 2,835,284 回のクエリーがでるよね。
example.com を検索した場合、ルートDNS は gtld-servers.net. で com. を署名付きで返すから 735 bytes
単純にクエリー数をかけると 2,083,933,850 byte →最低でも秒間 2GB のトラフィックくらいは捌く必要があるんじゃない?
IP anycast やら ロードバランサやらで 13台 以上あるんだろうけど…
Twitter でバルスを叫ぶだけで 14,594q/s が簡単に乗ったりするのを考えると、ルートDNSの中の人に同情したくなる数値。
1日で2800GB以上…と考えて、回線使用料はいくら?
最終的にユーザが負担することになる金額は?
0861名無しさん@お腹いっぱい。
2012/03/12(月) 17:47:53.30>IP anycast やら ロードバランサやらで 13台 以上あるんだろうけど…
現状だけで283拠点
http://www.root-servers.org/
>Servers in total: 283
ただクライアントがクエリーを投げる先は当然13個
0862名無しさん@お腹いっぱい。
2012/03/22(木) 21:20:30.38騒がれてないからすっかり忘れてた
0863名無しさん@お腹いっぱい。
2012/03/23(金) 08:55:34.130864名無しさん@お腹いっぱい。
2012/04/23(月) 00:29:11.13F5 1回 = DNSクエリー 1個だから、F5 アタックがそのまま DNS への DoS アタック。
キャッシュのない世界って、l怖い。
0865名無しさん@お腹いっぱい。
2012/04/23(月) 00:51:50.72某半島のネットが一瞬で麻痺しそうだな
0866名無しさん@お腹いっぱい。
2012/05/02(水) 14:35:54.49最新の1.4.16入れたけどラウンドロビンしてないようです
0867名無しさん@お腹いっぱい。
2012/05/02(水) 20:07:29.84まだ対応してない。
ラウンドロビン対応にするパッチを書いてMLに投げた人がいる
0868名無しさん@お腹いっぱい。
2012/05/03(木) 21:49:14.52trunkにマージされたので次の1.4.17には入るかと
今すぐ試したいならsvnからtrunkをcheckoutするか
1.4.16用のpatchをunbound-usersに投げたので使ってみてください
http://unbound.net/pipermail/unbound-users/2012-April/002324.html
0870名無しさん@お腹いっぱい。
2012/05/24(木) 20:12:29.29ラウンドロビンも入ってますね
http://www.unbound.net/download.html
0871名無しさん@お腹いっぱい。
2012/06/06(水) 17:22:24.800872名無しさん@お腹いっぱい。
2012/06/06(水) 17:35:17.140873名無しさん@お腹いっぱい。
2012/06/06(水) 17:46:24.070874名無しさん@お腹いっぱい。
2012/06/06(水) 17:55:14.07日本って変だよ
0875名無しさん@お腹いっぱい。
2012/06/06(水) 18:28:44.570876名無しさん@お腹いっぱい。
2012/06/06(水) 19:14:33.43v6でも同じような方法でやれば問題は起きなかったはず。
フレッツドットネットなんてのをv6閉域網で作ってしまったために
「同じような方法」が使えなくなったのがいけない。
よってNTT法のせいではなく、NTTのせい。
0877名無しさん@お腹いっぱい。
2012/06/06(水) 20:18:11.960878名無しさん@お腹いっぱい。
2012/06/06(水) 21:42:51.890879名無しさん@お腹いっぱい。
2012/06/06(水) 23:35:23.98そうすれば重複をお許し下さいに対応する時間が若干稼げる、
というのはなるほどと思った
0880名無しさん@お腹いっぱい。
2012/06/07(木) 00:09:07.900881名無しさん@お腹いっぱい。
2012/06/09(土) 00:18:48.840882名無しさん@お腹いっぱい。
2012/06/09(土) 00:42:44.82一台しかないのが、あんまり想像できない。
0883名無しさん@お腹いっぱい。
2012/06/09(土) 00:52:15.480884名無しさん@お腹いっぱい。
2012/07/20(金) 19:32:18.67何か設定がおかしいのでしょうか。
named_dump.dbは存在していて、タイムスタンプも更新されているので
キャッシュはしていると思うのですが。
0885名無しさん@お腹いっぱい。
2012/07/21(土) 08:53:08.930886名無しさん@お腹いっぱい。
2012/10/10(水) 17:42:28.430887名無しさん@お腹いっぱい。
2012/10/10(水) 21:07:48.92捨てればよい
BINDじゃないと困る理由があるのか?
0888名無しさん@お腹いっぱい。
2012/10/10(水) 22:03:35.650889名無しさん@お腹いっぱい。
2012/10/11(木) 09:23:23.780890名無しさん@お腹いっぱい。
2012/10/11(木) 16:36:37.24BINDもがんばればなくせるかなぁ。
0891名無しさん@お腹いっぱい。
2012/10/11(木) 20:08:24.860892名無しさん@お腹いっぱい。
2012/10/12(金) 10:11:24.500893名無しさん@お腹いっぱい。
2012/10/12(金) 10:33:20.900894名無しさん@お腹いっぱい。
2012/10/12(金) 21:56:09.480895名無しさん@お腹いっぱい。
2012/10/12(金) 22:37:08.450896名無しさん@お腹いっぱい。
2012/10/12(金) 23:23:26.190897名無しさん@お腹いっぱい。
2012/10/12(金) 23:29:29.190898名無しさん@お腹いっぱい。
2012/11/03(土) 07:48:54.44udpでなくてtcpを使わせたいんだけど、
tcpフォールバックを強制的に使う設定って可能かな?
データグラムを自作しないのは
通常環境でしばらく動作確認したいから。
0899名無しさん@お腹いっぱい。
2012/11/03(土) 10:13:57.28板違い
0900名無しさん@お腹いっぱい。
2012/11/03(土) 18:45:18.33要は、名前解決するドメインそのものについて考慮せよ、と。
Win7 のリゾルバそのものの挙動については、指摘通り板違い。
0901名無しさん@お腹いっぱい。
2012/12/19(水) 16:59:01.12negative cacheが86500って書いてあるところがちらほらあるんだけど
どういう意味があるの?
0902名無しさん@お腹いっぱい。
2012/12/19(水) 18:58:56.35>>901
何だよそれ? と思いながらググってみたら、ホントに出てくるね。昔、だれかが typo した設定が
公開されてて、それがコピペで広まったというオチなのかな?
検索しても日本語の記事しかヒットしないというのが、アヤしい予感です。
0903名無しさん@お腹いっぱい。
2012/12/19(水) 21:29:30.340904名無しさん@お腹いっぱい。
2012/12/20(木) 11:11:22.950905名無しさん@お腹いっぱい。
2012/12/20(木) 11:12:42.690906名無しさん@お腹いっぱい。
2012/12/20(木) 13:12:22.1516mにしたり25mにしたりするやつは出るかもしれんが別にいいだろ。
0907名無しさん@お腹いっぱい。
2012/12/20(木) 22:56:20.780908名無しさん@お腹いっぱい。
2012/12/20(木) 23:24:39.010909名無しさん@お腹いっぱい。
2012/12/21(金) 20:43:57.870910名無しさん@お腹いっぱい。
2013/02/05(火) 11:21:33.520911名無しさん@お腹いっぱい。
2013/02/06(水) 09:49:46.63ルータのログに外側dnsへのアクセスがけっこうな量で記録されてるってことは
キャッシュが効いていないとみていいかな
0912名無しさん@お腹いっぱい。
2013/02/06(水) 10:01:40.74named querylogでぐぐればすぐに見つかるが。
>>910
rndc dumpdbで確認すれ。
0913名無しさん@お腹いっぱい。
2013/02/06(水) 10:24:23.21素早い返答ありがとう
rndc dumpdbやった中身は問い合わせた情報が残っていたから
一応キャッシュは効いてるってことでおk?
0914名無しさん@お腹いっぱい。
2013/02/06(水) 12:16:19.91recursive clients: 0/0/1000
が何なのかずっと悩んでた。自分が上位dnsで下位から再帰を受けられる上限ってことか
0915名無しさん@お腹いっぱい。
2013/02/06(水) 12:59:42.90DNSをdnsと小文字で綴るのもニワカらしい
0916名無しさん@お腹いっぱい。
2013/02/06(水) 13:03:25.370917名無しさん@お腹いっぱい。
2013/03/01(金) 20:41:32.01ネームサーバーを複数登録し、その中の一台が応答すれば名前解決は行われるそうですが、
ゾーンの編集はネームサーバー一台毎に行っているのでしょうか?
たとえば、バリュードメインのゾーン編集を行った場合
NS1-5.valuedomain.comまでを一括で編集するということですか?
0918名無しさん@お腹いっぱい。
2013/03/02(土) 12:37:50.56いくら何でも予備知識が足りなすぎる。その状態でネームサーバを運用するのは危険!
ググれば、いくらでも参考資料は出てきます。もし bind を使っているのなら、例えば
以下のようなページを一通り目を通してみてください (他にも同様の入門ドキュメントは
沢山あります)。
連載記事 「実用 BIND 9で作るDNSサーバ」
http://www.atmarkit.co.jp/flinux/index/indexfiles/bind9index.html
上記ページには読み飛ばしてよいトピックが多数ありますが、最低限ゾーン設定と
ゾーン転送は理解するようにしてください。また、このページはあくまでも一例として
挙げているだけですので、出来るだけ複数の (なるべく新しい) ドキュメントを参照する
ようにしてください (嘘や不適切なことが書いてあるページは想像以上に多いです)。
0919名無しさん@お腹いっぱい。
2013/03/03(日) 00:18:55.22
レス数が900を超えています。1000を超えると表示できなくなるよ。