Name Server 総合スレ【DNS】

[0001 名無しさん＠お腹いっぱい。 2008/11/26(水) 01:14:36]

立ててみるだよもん

●主なオープンソース
BIND
ttps://www.isc.org/software/bind
djbdns
ttp://djbdns.qmail.jp/
NSD
ttp://www.nlnetlabs.nl/projects/nsd/
Unbound
ttp://unbound.net/

●規格
RFC1034, 1035
ttp://www.ietf.org/rfc/rfc1034.txt
ttp://www.ietf.org/rfc/rfc1035.txt

●アプライアンス
Nominum
ttp://www.nominum.com/
Infoblox
ttp://www.infoblox.co.jp/

[0850 名無しさん＠お腹いっぱい。 2012/03/08(木) 12:27:02.31]

キャッシュは立ち上がりが一番性能低くなるからきついよな。

[0851 名無しさん＠お腹いっぱい。 2012/03/09(金) 04:04:08.13]

1日1回、早朝時間帯にクリアなら問題ないかなぁ
むしろ同じ時間に複数のISPで一斉にクリアされるとTLDな人たちが困るかも？

[0852 名無しさん＠お腹いっぱい。 2012/03/09(金) 09:05:03.49]

なぜ1日1回？

最低1回は権威を委任されなくちゃ成立しない攻撃方法だから、1〜数ヶ月は運用されるでしょ。
1ヶ月に1回で十分だと思うけど。

[0853 名無しさん＠お腹いっぱい。 2012/03/09(金) 10:23:01.00]

大丈夫、bindの穴で定期的に再起動してるから。

[0854 名無しさん＠お腹いっぱい。 2012/03/09(金) 23:18:28.42]

むしろキャッシュなんかやめればクリアする必要もなくなるのに

[0855 名無しさん＠お腹いっぱい。 2012/03/09(金) 23:57:03.94]

>>854
それは、すべて再帰検索で、という意味？
思慮の浅いヤツ…

[0856 名無しさん＠お腹いっぱい。 2012/03/10(土) 00:38:48.37]

というと?

[0857 名無しさん＠お腹いっぱい。 2012/03/10(土) 00:47:04.19]

ルートDNSがとても死ねる。

[0858 名無しさん＠お腹いっぱい。 2012/03/10(土) 17:23:01.76]

>>855
思慮以前の問題かと。
日頃から浸透とか言ってそう＞854

[0859 名無しさん＠お腹いっぱい。 2012/03/10(土) 20:33:59.36]

具体的に。

[0860 名無しさん＠お腹いっぱい。 2012/03/12(月) 17:07:07.76]

キャッシュが無い場合は、なにかアクセスすると必ずルートDNSから問い合わせることになる。

ロケットニュースから引用してみる。
【図解】60秒間にインターネット上で起こっていること ttp://p.tl/Nljh
合計して60で割ると、主だったサービスだけで秒間 2,835,284 回のクエリーがでるよね。
example.com を検索した場合、ルートDNS は gtld-servers.net. で com. を署名付きで返すから 735 bytes
単純にクエリー数をかけると 2,083,933,850 byte →最低でも秒間 2GB のトラフィックくらいは捌く必要があるんじゃない？

IP anycast やら ロードバランサやらで 13台 以上あるんだろうけど…
Twitter でバルスを叫ぶだけで 14,594q/s が簡単に乗ったりするのを考えると、ルートDNSの中の人に同情したくなる数値。

1日で2800GB以上…と考えて、回線使用料はいくら？
最終的にユーザが負担することになる金額は？

[0861 名無しさん＠お腹いっぱい。 2012/03/12(月) 17:47:53.30]

>>860
>IP anycast やら ロードバランサやらで 13台 以上あるんだろうけど…
現状だけで283拠点
http://www.root-servers.org/
>Servers in total: 283
ただクライアントがクエリーを投げる先は当然13個

[0862 名無しさん＠お腹いっぱい。 2012/03/22(木) 21:20:30.38]

そろそろエイプリールフールだな
騒がれてないからすっかり忘れてた

[0863 名無しさん＠お腹いっぱい。 2012/03/23(金) 08:55:34.13]

うちの会社は3月32日だから…

[0864 名無しさん＠お腹いっぱい。 2012/04/23(月) 00:29:11.13]

世の中には F5 攻撃というものがあるのをすっかり忘れてた…

F5 1回 = DNSクエリー 1個だから、F5 アタックがそのまま DNS への DoS アタック。
キャッシュのない世界って、ｌ怖い。

[0865 名無しさん＠お腹いっぱい。 2012/04/23(月) 00:51:50.72]

>>864
某半島のネットが一瞬で麻痺しそうだな

[0866 名無しさん＠お腹いっぱい。 2012/05/02(水) 14:35:54.49]

unboundでDNSラウンドロビンが入ったと聞きましたが、どのverからですか？
最新の1.4.16入れたけどラウンドロビンしてないようです

[0867 名無しさん＠お腹いっぱい。 2012/05/02(水) 20:07:29.84]

>>866
まだ対応してない。
ラウンドロビン対応にするパッチを書いてMLに投げた人がいる

[0868 名無しさん＠お腹いっぱい。 2012/05/03(木) 21:49:14.52]

>>866 >>867
trunkにマージされたので次の1.4.17には入るかと

今すぐ試したいならsvnからtrunkをcheckoutするか
1.4.16用のpatchをunbound-usersに投げたので使ってみてください
http://unbound.net/pipermail/unbound-users/2012-April/002324.html

[0869 866 2012/05/07(月) 18:23:23.32]

>>868
わかりました、1.4.17を待ちます。。。

[0870 名無しさん＠お腹いっぱい。 2012/05/24(木) 20:12:29.29]

Unbound 1.4.17きた
ラウンドロビンも入ってますね
http://www.unbound.net/download.html

[0871 名無しさん＠お腹いっぱい。 2012/06/06(水) 17:22:24.80]

いつの間にかAAAAレコードが(あるのに)引けなくなってるな。

[0872 名無しさん＠お腹いっぱい。 2012/06/06(水) 17:35:17.14]

それだけじゃ何もわからん。

[0873 名無しさん＠お腹いっぱい。 2012/06/06(水) 17:46:24.07]

今日が何の日か知ってればわかるよな

[0874 名無しさん＠お腹いっぱい。 2012/06/06(水) 17:55:14.07]

NTTのせいでトリッキーな事をしなければ接続できない
日本って変だよ

[0875 名無しさん＠お腹いっぱい。 2012/06/06(水) 18:28:44.57]

NTT法のせいで、だな。

[0876 名無しさん＠お腹いっぱい。 2012/06/06(水) 19:14:33.43]

NTT法があってもv4は問題なく接続できてるよ（これもある意味変態的だが）。
v6でも同じような方法でやれば問題は起きなかったはず。
フレッツドットネットなんてのをv6閉域網で作ってしまったために
「同じような方法」が使えなくなったのがいけない。
よってNTT法のせいではなく、NTTのせい。

[0877 名無しさん＠お腹いっぱい。 2012/06/06(水) 20:18:11.96]

また脆弱性かっっ

[0878 名無しさん＠お腹いっぱい。 2012/06/06(水) 21:42:51.89]

bind捨てればぁ〜？

[0879 名無しさん＠お腹いっぱい。 2012/06/06(水) 23:35:23.98]

複数の権威ゾーンサーバのうち一つをnsdにしておけ、
そうすれば重複をお許し下さいに対応する時間が若干稼げる、
というのはなるほどと思った

[0880 名無しさん＠お腹いっぱい。 2012/06/07(木) 00:09:07.90]

今回の件はゾーンサーバはあんまり関係ないんじゃね。

[0881 名無しさん＠お腹いっぱい。 2012/06/09(土) 00:18:48.84]

複数動かしておくってのは現実的とは思えない、最初から脆弱性が少ない奴一択でしょう

[0882 名無しさん＠お腹いっぱい。 2012/06/09(土) 00:42:44.82]

2台くらいは普通だろ。
一台しかないのが、あんまり想像できない。

[0883 名無しさん＠お腹いっぱい。 2012/06/09(土) 00:52:15.48]

1台で運用って、自宅鯖（）とかでしょ。

[0884 名無しさん＠お腹いっぱい。 2012/07/20(金) 19:32:18.67]

bind9でrndc dumpdbとやってもキャッシュの内容が表示されないのですが
何か設定がおかしいのでしょうか。
named_dump.dbは存在していて、タイムスタンプも更新されているので
キャッシュはしていると思うのですが。

[0885 名無しさん＠お腹いっぱい。 2012/07/21(土) 08:53:08.93]

named_dump.dbが出力されたダンプでmoreとかで見る

[0886 名無しさん＠お腹いっぱい。 2012/10/10(水) 17:42:28.43]

BIND捨てたい。

[0887 名無しさん＠お腹いっぱい。 2012/10/10(水) 21:07:48.92]

>>886
捨てればよい
BINDじゃないと困る理由があるのか？

[0888 名無しさん＠お腹いっぱい。 2012/10/10(水) 22:03:35.65]

今年はすごいよね。

[0889 名無しさん＠お腹いっぱい。 2012/10/11(木) 09:23:23.78]

nsd and/or unbound

[0890 名無しさん＠お腹いっぱい。 2012/10/11(木) 16:36:37.24]

sendmailはほぼ駆逐できたから
BINDもがんばればなくせるかなぁ。

[0891 名無しさん＠お腹いっぱい。 2012/10/11(木) 20:08:24.86]

この程度で多いとは、にわかが多いな

[0892 名無しさん＠お腹いっぱい。 2012/10/12(金) 10:11:24.50]

BINDを駆逐するんだったらlibcをなんとかする必要があるな

[0893 名無しさん＠お腹いっぱい。 2012/10/12(金) 10:33:20.90]

んじゃ正確にはBINDのnamedを駆逐したい。

[0894 名無しさん＠お腹いっぱい。 2012/10/12(金) 21:56:09.48]

なぜ駆逐したいのですか？

[0895 名無しさん＠お腹いっぱい。 2012/10/12(金) 22:37:08.45]

セキュリティホールの対応がめんどいから。

[0896 名無しさん＠お腹いっぱい。 2012/10/12(金) 23:23:26.19]

BINDとそれ以外で冗長化するのが理想とは分かっているが、実際にはなかなか…

[0897 名無しさん＠お腹いっぱい。 2012/10/12(金) 23:29:29.19]

OpenBSDでDNSサーバ作ってくれないかな

[0898 名無しさん＠お腹いっぱい。 2012/11/03(土) 07:48:54.44]

テストのためwindows 7のdnsクライアントに
udpでなくてtcpを使わせたいんだけど、
tcpフォールバックを強制的に使う設定って可能かな？
データグラムを自作しないのは
通常環境でしばらく動作確認したいから。

[0899 名無しさん＠お腹いっぱい。 2012/11/03(土) 10:13:57.28]

>>898
板違い

[0900 名無しさん＠お腹いっぱい。 2012/11/03(土) 18:45:18.33]

最近の BIND なら EDNS0 を停止させて、リゾルバからは TCP フォールバックされる FQDN でクエリを投げさせれば〜？
要は、名前解決するドメインそのものについて考慮せよ、と。

Win7 のリゾルバそのものの挙動については、指摘通り板違い。

[0901 名無しさん＠お腹いっぱい。 2012/12/19(水) 16:59:01.12]

bindのことが書いてあるサイトをみるとデフォルトTTLが86400に対して
negative cacheが86500って書いてあるところがちらほらあるんだけど
どういう意味があるの？

[0902 名無しさん＠お腹いっぱい。 2012/12/19(水) 18:58:56.35]

age ちゃうよ。

>>901
何だよそれ？ と思いながらググってみたら、ホントに出てくるね。昔、だれかが typo した設定が
公開されてて、それがコピペで広まったというオチなのかな？

検索しても日本語の記事しかヒットしないというのが、アヤしい予感です。

[0903 名無しさん＠お腹いっぱい。 2012/12/19(水) 21:29:30.34]

わかってるフリしてコピペすればコンテンツのできあがりですぅ

[0904 名無しさん＠お腹いっぱい。 2012/12/20(木) 11:11:22.95]

つまり全く無意味ってことでおｋ？

[0905 名無しさん＠お腹いっぱい。 2012/12/20(木) 11:12:42.69]

86400だってたいして意味はないだろ。

[0906 名無しさん＠お腹いっぱい。 2012/12/20(木) 13:12:22.15]

(2012122000 1h 5m 2w 15m) みたいに書けば惑わすようなtypoもされないんじゃね
16mにしたり25mにしたりするやつは出るかもしれんが別にいいだろ。

[0907 名無しさん＠お腹いっぱい。 2012/12/20(木) 22:56:20.78]

negative cache ってそんなに長くするもんか？

[0908 名無しさん＠お腹いっぱい。 2012/12/20(木) 23:24:39.01]

negative cache lifetime > default TTL って、オープンリゾルバでも運用してるんですかっていう

[0909 名無しさん＠お腹いっぱい。 2012/12/21(金) 20:43:57.87]

BIND9のmax-ncache-ttlのデフォルト値 10800だからなぁ

[0910 名無しさん＠お腹いっぱい。 2013/02/05(火) 11:21:33.52]

bind9なんですけど、rndc querylogを起動時はoffにしておくのってどうやるのですか？

[0911 名無しさん＠お腹いっぱい。 2013/02/06(水) 09:49:46.63]

内部のみrecursion yes;にしてるんだけど
ルータのログに外側dnsへのアクセスがけっこうな量で記録されてるってことは
キャッシュが効いていないとみていいかな

[0912 名無しさん＠お腹いっぱい。 2013/02/06(水) 10:01:40.74]

>>910
named querylogでぐぐればすぐに見つかるが。

>>910
rndc dumpdbで確認すれ。

[0913 名無しさん＠お腹いっぱい。 2013/02/06(水) 10:24:23.21]

>>912
素早い返答ありがとう
rndc dumpdbやった中身は問い合わせた情報が残っていたから
一応キャッシュは効いてるってことでおｋ？

[0914 名無しさん＠お腹いっぱい。 2013/02/06(水) 12:16:19.91]

rndc statusで
recursive clients: 0/0/1000
が何なのかずっと悩んでた。自分が上位dnsで下位から再帰を受けられる上限ってことか

[0915 名無しさん＠お腹いっぱい。 2013/02/06(水) 12:59:42.90]

わざわざ「上位dns」と書くあたりニワカ臭を感じる
DNSをdnsと小文字で綴るのもニワカらしい

[0916 名無しさん＠お腹いっぱい。 2013/02/06(水) 13:03:25.37]

にわかでなければこんなところで聞かん

[0917 名無しさん＠お腹いっぱい。 2013/03/01(金) 20:41:32.01]

質問させてください。
ネームサーバーを複数登録し、その中の一台が応答すれば名前解決は行われるそうですが、
ゾーンの編集はネームサーバー一台毎に行っているのでしょうか？
たとえば、バリュードメインのゾーン編集を行った場合
NS1-5.valuedomain.comまでを一括で編集するということですか？

[0918 名無しさん＠お腹いっぱい。 2013/03/02(土) 12:37:50.56]

>>917
いくら何でも予備知識が足りなすぎる。その状態でネームサーバを運用するのは危険！

ググれば、いくらでも参考資料は出てきます。もし bind を使っているのなら、例えば
以下のようなページを一通り目を通してみてください (他にも同様の入門ドキュメントは
沢山あります)。

連載記事 「実用 BIND 9で作るDNSサーバ」
http://www.atmarkit.co.jp/flinux/index/indexfiles/bind9index.html

上記ページには読み飛ばしてよいトピックが多数ありますが、最低限ゾーン設定と
ゾーン転送は理解するようにしてください。また、このページはあくまでも一例として
挙げているだけですので、出来るだけ複数の (なるべく新しい) ドキュメントを参照する
ようにしてください (嘘や不適切なことが書いてあるページは想像以上に多いです)。

[0919 名無しさん＠お腹いっぱい。 2013/03/03(日) 00:18:55.22]

皆、BIND10はまだ様子見？

[0920 名無しさん＠お腹いっぱい。 2013/03/03(日) 00:46:30.14]

>>919
パッチレベルが上がってから内部用のリゾルバ(キャッシュサーバ)に使ってみる予定。

[0921 名無しさん＠お腹いっぱい。 2013/03/03(日) 19:45:47.16]

>>918
ありがとうございます。
古い情報が多いようなので、公式ドキュメントを参照しながら設定してみます。

[0922 名無しさん＠お腹いっぱい。 2013/03/04(月) 12:57:24.33]

>>921
設定がどうのこうのではなくて概念の理解が全然足らないよ

[0923 名無しさん＠お腹いっぱい。 2013/03/05(火) 00:04:48.86]

障害対策で複数マスタで運用してたりするけどな

[0924 名無しさん＠お腹いっぱい。 2013/03/06(水) 13:57:31.90]

ゾーンネームサーバーの届出ってどこでやるの？

[0925 名無しさん＠お腹いっぱい。 2013/03/06(水) 14:06:52.38]

レジストリによるよな？
dka-hero.com
これってネームサーバーがns.dka-hero.comなんだけど
ns.dka-hero.comに対するネームサーバーがなくて、登録もされてないっぽいんだけど
どうやって接続されてんの？

[0926 名無しさん＠お腹いっぱい。 2013/03/06(水) 14:14:10.95]

つまらん自演するな

[0927 名無しさん＠お腹いっぱい。 2013/03/06(水) 14:16:48.16]

自演っていうか
別に演じてるわけじゃなくて、誰にでも同一人物ってわかるでしょ

[0928 名無しさん＠お腹いっぱい。 2013/03/06(水) 14:18:58.65]

んー、stardomainだとネームサーバー登録できねーのか

[0929 名無しさん＠お腹いっぱい。 2013/03/06(水) 14:30:07.08]

>>928
何言ってんの？　セカンダリのこと？

[0930 名無しさん＠お腹いっぱい。 2013/03/06(水) 14:39:42.54]

>>929
違う、違う
Godaddyみたいに
自分のネームサーバーとIPの対照表を登録できないのかっていう

[0931 名無しさん＠お腹いっぱい。 2013/03/06(水) 14:46:39.94]

これだけだと分かりづらいな
example.comというドメインのネームサーバーをスタードメイン提供のネームサーバーに設定すれば、
ns1.example.comにAレコードを割り当てられるけど

example.comのネームサーバーを自分で作ったns1.example.comに変更すると
ns1.example.comに問い合わせするためのレコードが見つからないからおかしいじゃん？

GodaddyとかはネームサーバーとIPの対照をレジストリに代理提出してくれて、
.com→ns1.example.com→example.comって参照できるんだけど、スタードメインはそういうのないのかなって

[0932 名無しさん＠お腹いっぱい。 2013/03/06(水) 16:11:25.91]

またバカが涌いてる

[0933 名無しさん＠お腹いっぱい。 2013/03/06(水) 16:28:55.13]

バカほど「バカ」という言葉を好んで使うのはなぜだろう？
単純に語彙力が低いのか

[0934 名無しさん＠お腹いっぱい。 2013/03/06(水) 16:40:48.18]

サポートに問い合わせてやってもらうしかなかった気がする

[0935 名無しさん＠お腹いっぱい。 2013/03/06(水) 16:49:35.69]

ろくに検索もできないバカが必死な件ｗ

[0936 名無しさん＠お腹いっぱい。 2013/03/06(水) 16:54:27.04]

>>934
ｻﾝｸｽ
いい機会だから移管するわ

[0937 名無しさん＠お腹いっぱい。 2013/03/27(水) 12:44:30.99]

「重複をお許しください」キター

今回のは Workaround が無いみたいっすね。ボスケテ！

[0938 名無しさん＠お腹いっぱい。 2013/03/27(水) 14:18:34.17]

workaroundあるだろ。よく読め。

つか重複が重複しとる…。

[0939 名無しさん＠お腹いっぱい。 2013/03/27(水) 14:52:41.49]

重複した理由書いてあるじゃん。

[0940 名無しさん＠お腹いっぱい。 2013/03/27(水) 14:54:08.83]

workaroundって再構築か。
やだなぁ。

[0941 名無しさん＠お腹いっぱい。 2013/03/27(水) 16:01:01.91]

差分取ってみたら、すげー手抜き修正だなこれ。
configureを修正しただけでコード自体は1ビットもいじってない。
workaroundをそのままやってるだけ。

[0942 名無しさん＠お腹いっぱい。 2013/04/03(水) 22:21:08.85]

仕事で古いパソコンを使っています。ＯＳはUNIX-OSです。
このマシンにBINDを入れたいのですが、UNIX-OS用のBINDバイナリが
入手できるところをご存知の方いらっしゃいましたら、入手先を教えて下さい。

ソースからコンパイルするのは、私があまりUNIX-OSに詳しくないので、あまり気が
進まないのですが、もしもコンパイルするしかないのでしたら、ソース入手先を
教えて頂けないでしょうか。
また、コンパイルしか手段が無いとしたら、UNIX-OSでは、BINDのバージョン
いくつまで対応可能でしょうか。

[0943 名無しさん＠お腹いっぱい。 2013/04/03(水) 22:37:54.83]

>>942
UNIX OSって・・・
Solaris・HP・BSD・Redhatとかもう少し情報ないですか？

ココにはエスパーはいないので、バイナリーが欲しいのであればもう少し情報が必要です。

ソースは↓からどうぞ
https://www.isc.org/software/bind

[0944 名無しさん＠お腹いっぱい。 2013/04/03(水) 22:45:16.72]

>>943
この人にソースのありかを教えても、起動スクリプト書けるのだろうか…
そもそも、Cコンパイラは入ってるんだろうか…
悩みは尽きぬ…

[0945 名無しさん＠お腹いっぱい。 2013/04/03(水) 23:18:53.43]

またつまらんコピペか

[0946 名無しさん＠お腹いっぱい。 2013/04/04(木) 23:24:01.00]

つまらんコピペの重複をお許しください。

[0947 名無しさん＠お腹いっぱい。 2013/04/10(水) 00:54:28.22]

質問です。

業務でSolarisのBIND9をリプレースすることになりました。
リプレース後はRedhatESのBIND9にする予定。

RPMから実装するので多分9.7系になるのですが、
ズバリ9.2系からのBIND9に実装された機能や一覧の
載っているページ(出来れば比較差分表)はありませんか？

JPRSの資料みても何がどれに実装されたのかさっぱりでした。

ちなみにDNSSECとDNS64の実装は考えていません。
よろしくお願いします。

[0948 名無しさん＠お腹いっぱい。 2013/04/10(水) 01:05:55.20]

>>947
https://www.isc.org/software/bind/new-features

[0949 名無しさん＠お腹いっぱい。 2013/04/10(水) 01:30:40.36]

>>948

おおおISCのページにこんなのあったんだぁぁぁ！！
ありがとうです！！

でも9.2-9.4は流石にないのですね。
うーむ。

[0950 名無しさん＠お腹いっぱい。 2013/04/11(木) 09:44:45.27]

>>949

そんな都合よく載っているわけがない