Contents
1. 旧サーバが古い返事を返し続ける
DNSホスティングサービスを__解約__しても、旧サーバは問い合わせに返事しなくなるわけではない。
- 旧サーバ上のゾーンデータが消されるとは限らないからだ。(対応の悪さ)
一週間程度で消してくれればいい方らしい。DNS/浸透神話の起源
上位サーバへの登録を変更しても、旧サーバが返答しなくなるわけではない。
2. 問い合わせるリゾルバーの不良
../旧サーバへ問い合わせるキャッシュが悪い (ゾンビドメイン名脆弱性にもつながる)
3. ドメイン名の登録と DNS サーバの設定に関する注意喚起
http://www.ipa.go.jp/security/vuln/20050627_dns.html
かつて、消滅したドメイン内の危険なサーバが登録放置されていることを指摘されたJPRSは 警告と対策を始めた。 http://jprs.jp/info/notice/problematic_ns_notice.html
- visa.co.jp 事件などで検索してみよ。
4. 現実をみよ
そして、以下のような文章を書いた人もいた。
しかし、この中にある以下の記述は現実を表していない。
元のレンタルサーバー事業者は、ユーザーとの契約が終了すれば、 DNSサーバー上からドメイン名に関する情報を削除します。 しかしこのとき、図2のようにレジストリに古いDNSサーバーの登録が残ったままだと、...
レンタルサーバ事業者はドメイン名関連情報(ゾーン)を削除するとは限らない。
4.1. 上位サーバの登録から削除されたのに
一度は登録されていたことを忘れていないか。
- キャッシュにこのサーバの情報が残っているとなにが起きるか、想像できるか。 このキャッシュの利用者にはサーバの変更が伝わるとは限らない。
上位サーバへの登録変更と旧サーバ上の情報変更・削除はドメイン所有者の責任であることを 認識しなくてはならない。
4.2. 解約して半年たっても残っているところもある
こういう業者を使っていたときに、DNSレコードを更新しないまま契約解除すると、 いつまでも新サーバにアクセスできない人がでる。
- DNSを更新しないと明言: (ゾーン削除がいつかは不明)
この古い返事が「浸透」という都市伝説を作っている。ホスティング業者は改善して欲しい。
昔から、分かっていたのに、なぜ改善されないのか。まともな記事がほとんどないのか。 ここの95番の記事に一票。
4.3. 危ない業者
「浸透遅延」問題の具体例を求めていたときに一括して発掘する方法に気づいた。 それを使って発見したのが、
sphere.ad.jp, dns.ne.jp, cpi.ad.jp, namedserver.net, value-domain.com
などで、解約したドメインのゾーンがそれぞれ100こ以上削除されないで残っていることが分かった。 ほかにも、多くのDNSプロバイダで削除されていないゾーンが見つかった。 DNS/ホスティング/BADなど。
これらのDNSホスティング業者のサーバは「浸透遅延」を引き起こすというのではなく、
「不当な返答」を返す可能性をもったサーバである。
以前から収集していたドメインのサーバ登録情報と最近の登録情報とを比較して検出した。
解約されたドメインのレコードをまったく消去しないわけでもないらしいが、 きちんとした手順が定められていないために残っているのだろう。 -- ToshinoriMaeno 2011-02-10 14:52:58
4.4. 対応策
かつて、これらのサービスを使っていたのなら、
レコードが残っていないかを調査して、残っていたら削除するよう申し入れる
ことを勧める。 調べ方は各自勉強すること。
古い情報を使いつづけている客が残っているかもしれない。
現在、これらのサービスを使っていたら、移転でのトラブルを覚悟すること。
トラブルを避けるには: レンタルサーバ/引越
5. 上位から委譲がなくなれば残っていても問題ないか
そういうケースもあろう。だが、このサーバがキャッシュに残っていたらなにが起きるか考えてみよう。
例 cbcc.co.jp ドメインの場合:
- 現在、xserver.jp 内にDNSコンテンツサーバがあるが、かつてsphereを使っていた。
- whois の最終更新日付は 2010/08/01 である。
%dnsq ns cbcc.co.jp a.dns.jp
2 cbcc.co.jp: 104 bytes, 1+0+2+2 records, response, noerror query: 2 cbcc.co.jp authority: cbcc.co.jp 86400 NS ns2.xserver.jp authority: cbcc.co.jp 86400 NS ns1.xserver.jp additional: ns1.xserver.jp 86400 A 219.94.200.246 additional: ns2.xserver.jp 86400 A 210.188.201.246
そこで、sphere内の古いサーバをキャッシュしていたクライアントがあったとして、(ないと言いきれるか)
- ns3.sphere.ad.jp にcbcc.co.jpを問い合わせると、以下ような返事が返る。(2011年2月9日現在) TTLも更新されるだろうから、 このクライアントは今後ずっとsphereに問い合わせる可能性がある。
%dnsq ns cbcc.co.jp ns3.sphere.ad.jp
2 cbcc.co.jp: 90 bytes, 1+2+0+1 records, response, authoritative, noerror query: 2 cbcc.co.jp answer: cbcc.co.jp 86400 NS ns4.sphere.ad.jp answer: cbcc.co.jp 86400 NS ns3.sphere.ad.jp additional: ns3.sphere.ad.jp 86400 A 202.239.113.22
%dnsq ns cbcc.co.jp ns4.sphere.ad.jp
2 cbcc.co.jp: 90 bytes, 1+2+0+1 records, response, authoritative, noerror query: 2 cbcc.co.jp answer: cbcc.co.jp 86400 NS ns3.sphere.ad.jp answer: cbcc.co.jp 86400 NS ns4.sphere.ad.jp additional: ns4.sphere.ad.jp 86400 A 202.239.113.30
- これが問題であることが理解できないなら、DNSホスティング業を廃業せよ。
- sphere.ad.jp は 解約した cbcc.co.jp に対して、いやがらせをしたいのか。
6. こういう業者にDNSアウトソースするな
他の業者もいずれ公開の予定。
- それまでに、この問題を自分で調査して、改善されんことを。
-- ToshinoriMaeno 2011-02-09 13:13:30
他社への移転に必要な作業をしてくれない業者: DNSの理解不足だろう。
7. クライアント側の防衛策
キャッシュがおかしいことに気づけば、対策はある。
キャッシュに無効になったはずの古い情報(毒)が残っているのだから、 いったんキャッシュをクリアしてやれば、新しくルートサーバなどからたどることになり、毒は抜ける。