NIR LIR

エンドユーザ

(

^{村井研究室}

)

IP アドレスの割り当て

● 管理組織から組織/ISPにざっくり割り当て

– 日本国内はJPNIC

– ISPがさらにその顧客に割り当て

133.27.0.0～ 133.27.255.255 を使ってください

慶応大学

企業 ISP

JPNIC

ドメインの管理組織

●

TLD

の登録は

ICANN

が管理

●

gTLD(Generic Top Level Domain)

–

.com .net .org

等

–

Verisign

等が管理

●

ccTLD(Country Code Top Level Domain)

–

.jp .to .uk

等

– 地域ドメインレジストリが管理

● JPRS(JaPan Registry Service)

Registry と Registrar

● 従来は管理業務と受け付け窓口は同じ組 織がやっていた

● 要求が増加し、分ける必要が出てきた

–

Registry

● ドメインの管理業務を行う組織

● １つのドメインに関して原則的に１つ

–

Registrar

● 受け付け窓口の仕事をする組織

● １つのドメインに関して１つ以上存在

●

Registrar

は受けられたリクエストを所定の 形式に直して

Registry

に提出

ドメイン管理組織の関係

ＴＬＤを管理

.com .org の 管理を委託

Ｒｅｇｉｓｔｒａｒ

Ｒｅｇｉｓｔｒａｒ Ｒｅｇｉｓｔｒａｒ

ドメインの登録を 依頼

Ｕｓｅｒ ドメインの登録を依頼

JP の

管理を委譲

Ｒｅｇｉｓｔｒａｒ

Ｒｅｇｉｓｔｒａｒ Ｒｅｇｉｓｔｒａｒ

ドメインの登録を 依頼

Ｕｓｅｒ

ドメインの登録を依頼

ドメインの取得

● 取得申請は

Registrar

に出す

–

.jp

の

Registrar

● NTT-COM

● Yahoo! Domains

● いろいろ….

–

.com .net .org

の

Registrar

● お名前 .com

● www.joker.com

● 世界中いろいろ…..

余談：気になるお値段は？

●

Yahoo:

–

.com 4200

円

– 汎用

6300

円

●

Joker.com:

–

.com 12

ユーロ（

1200

円）

● その他の登録業者も似たり寄ったり

– 人件費だけの勝負

申請に必要な情報

● 申請者の個人情報

– 名前、住所、電話番号

– 連絡先メールアドレス

● 使用するネームサーバの

IP

アドレス

● 支払方法

Whois データベース

● ドメイン名・

IP

アドレスの管理者情報データベー ス

– 管理者氏名・管理組織・住所・電話番号・メールアド レス

etc

– 申請に使った情報が登録される

Whois を使ってみよう！

● アドレスの情報を調べてみる

–

133.27.4.127

● ドメインの情報を調べてみる

–

keio.jp

ルートネームサーバ

●

TLD

の情報を管理するサーバ

● 理論上、すべての問い合わせは最初に ルートネームサーバに来る

● 名前解決を行うためには、ローカルネーム サーバからルートへの接続性が必要

ルートネームサーバの分散

● 地理的、ネットワーク的に分散している

● どれか１つが落ちたとしても他に回る

●

2000

年問題などの致命的な問題（の可能 性）があった場合も対処可能

ルートネームサーバの一覧

● 全部で

13

個のルートネームサーバ

name org city type url

a NSI Dulles, VA, US com http://www.verisign.com/

b ISI Marira De l Ray, CA, US edu http://www.isi.edu c PSI Ne t He rndon, VA, US com http:// www.psi.net d UMD College Park, MD, US edu http://www.umd.edu

e NASA MSFC, AL, US usg http://www.nasa.gov

f ISC REDWOOD CITY, CA, US com http:// www.isc .org g DISA Ch antilly, VA, US usg http://nic.mil

h ARL Ade lphi, MD, US usg http://www.arl.mil

i NORDUnet Stockh olm, SE int http://www.nordu.net/

j Verisigin Dulles, VA, US com http://www.verisign.com/

k RIPE Amste rdam NL int h ttp://www.ripe.net

l EPB Marina de l Re y, CA, US gov http://www.epb.gov.pk

m WIDE Tokyo JP int h ttp://www.wide.ad.jp

ルートネームサーバ

ルートネームサーバの運用基準 RFC2780(Root Name Server Operational Requirements) 抜粋

● ネームサーバはBINDを使用する

● UDPチェックサムを使う

● 専用ホストであること（他のサービスをしていない）

● 相互に時刻同期を行う

● もっとも“良い”インターフェースのアドレスを広告する

● 安全な場所（出入りが厳重に管理されている場所）に配置する

● 安全なネットワーク上に配置する

● 平均CPU時間は最大値の３分の１以下でなければいけない

● 障害報告のメールに24時間以内に応答する

● 問い合わせが障害を引き起こすものでない限り、あらゆるホストからの問い合わせを 受け付ける

● 再起的な問い合わせは行わない

● アナウンスは変更を行う１２時間前に行う

ルートネームサーバへの攻撃

–

2002/10/24

の事件

● 米国のVeriSign (2台)、米国防省、米陸軍研究 所、スウェーデンのAutonomica、英国のReseaux IP Europeens、日本のWIDEプロジェクトが管理す る7台のに向けてDDoS攻撃が発生した

● 管理者の適切な対処で1時間で収束

● 残りのサーバが応答し、問題にはならなかった

● インターネットの弱点が明るみに出ると同時に、

自律分散システムの堅牢性を示す事件

DNS オペレーション上の問題

● 委譲における問題

● ゾーン設定における問題

委譲における問題：

Lame Delegation

● 親では委譲しているつもりなのに・・・・

– 子ドメインのサーバが落ちていた！

– サーバはあるけどそのゾーンが無かった！

– スレーブとの同期が取れていなかった！

– 設定がおかしかった！

● なんらかの理由で親との調停がうまく行ってない 　　→

lame delegation

Lame Delegation が なぜ問題？

● 上位に迷惑をかけます！

Example.com は サーバＸだよ

知りません。

お間違えでは？

何回も繰り返す

大量の無駄なトラフィックが 発生してしまう！

上位サーバ

さ サーバＸ

リゾルバ

Outbound NS の問題

● ゾーンの外の

NS

● グルーを使わずに委譲

keioの ネームサーバ

リゾルバ sfc.keio.ac.jpの

ネームサーバどこ？

ns0.example.orgだよ

え？

example.org ってどこ？

ゾーン外 NS の参照

・

jp

ac

keio 1. root zone

(root server)

2. jp zone (ns.nic.ad.jp)

3. ac.jp zone (ns.nic.ad.jp) 4. keio.ac.jp zone (ns0.example.org)

リゾルバ

.jp

ac.jp

keio.ac.jp

sfc.keio.ac.jp

ネームサーバ

・

.org

example.org org

5. root zone

6.org zone

example 7.example zone

ns0.example.zone

SFC 8. sfc zone

sfc.keio.ac.jpのネームサーバは ns0.example.org

連続したゾーン外 NS の参照

example.org のネームサーバは ns0.test.org

test.orgのネームサーバは ns0.another.org

ケーススタディ：名前の移行

● ある名前のアドレスを変更する場合は？

www.sfc.wide.ad.jp

のアドレスを

a.a.a.a

から

b.b.b.b

にしたい！

いきなり変えた場合

● キャッシュしたデータと違うという状況が・・・

keioの ネームサーバ

リゾルバ www.sfc.keio.ac.jpの

アドレスは？

a.a.a.a だよ

keioの ネームサーバ

www.sfc.keio.ac.jp は 今からb.b.b.bだ！

リゾルバ www.sfc.keio.ac.jp は

a.a.a.a

やるべきこと： TTL の減少

● 移行をする場合、キャッシュの有効期限

（ＴＴＬ）が長いと困る

● 前もって

TTL

を減らす必要がある

移行

レコードを変更し、

TTLを元に戻す

例：TTLが２日の場合

1日前 ２日前

TTLを１日に

減らす TTLを１時間に

減らす

セキュリティ上の問題

● ＤＮＳのセキュリティとは？

– レコード・問い合わせの安全性

問い合わせが詐称されると？

● 今流行のフィッシング詐欺

–

www.mizuhobank.com

を問い合わせ

– 本当は

a.a.a.a

（本物） なのに、

b.b.b.b

（偽者） と帰っ てきたら・・・

– 瓜二つのサイトがでてくる

● 口座番号・暗証番号を入れさせて・・・

詐称のメカニズム

名前の問い合わせ

本物より早く返答 トラフィックを

本物のネームサーバ 傍受

偽者のネームサーバ

偽者のwebサーバ 通信を誘導

対処方法

● ＤＮＳＳＥＣ

– 名前に暗号化署名をつけて保護

– 詳しい説明は省きます

● RFC2553 “Domain Name Security Extensions”

● 運用はとても難しい

● 「

DNS

の情報はあまり信用できない」という意識 を持つ

– アプリケーション層での暗号化技術の利用

● SSL

事例紹介：自分のドメインを 持ってみよう！

● 個人用ドメイン

gt4.org

を取ってみました！

ドメイン・ Registrar の選定

●

.org

ドメインを利用

– メジャーで、値段も手ごろ

– 非商用

●

Registrar

は

Joker.com

を利用

– 安いから・・・・

–

Registry

で探すこともできる

● VeriSign の “Find a Registrar”

空いているドメインを探す

● ３文字・４文字程度はほとんど取られている

●

Registrar

の

web

ページで検索

ドメイン登録申請を出す

● ドメインを登録してもらう

– ゾーンをキープする

– 必要事項を記入し、登録

● ネームサーバの登録はまだしない

– 設定してないうちに登録すると

Lame

になる

ネームサーバの構築

● サーバホストの準備

– 固定ホストが必要

● DHCPでアドレスが変わっては困る

● ネームサーバソフトウェアの立ち上げ

– よく使われる実装

: BIND

● Internet Systems Consortium

● ゾーンの設定

スレーブを探す

●

.com .org

はルールで“２台以上の”ネームサー バが必要

●

Registrar

がスレーブを引き受けてくれる場合もあ る

– 有料だったり、サービスだったり

– ものすごく負荷が高い可能性もある

ネームサーバの登録

●

Registrar

の

web

インターフェースで設定した ネームサーバを登録

最後に：待つ

●

Registar

に登録した瞬間に

Registry

に登録され るわけではない

–

Registrar

がリクエストをまとめて

Registry

に登録

– タイムラグがある

● キャッシュで古い情報が残っている場合もある

● しばらくすると登録が完了し、使えるようになる

ドキュメント内 インターネットオペレーション 第８回 重近範行 名前空間のオペレーション (ページ 43-106)