1. 旧サーバが古い返事を返し続ける

DNSホスティングサービスを__解約__しても、旧サーバは問い合わせに返事しなくなるわけではない。

上位サーバへの登録を変更しても、旧サーバが返答しなくなるわけではない。

2. 問い合わせるリゾルバーの不良

../旧サーバへ問い合わせるキャッシュが悪い (ゾンビドメイン名脆弱性にもつながる)

3. ドメイン名の登録と DNS サーバの設定に関する注意喚起

http://www.ipa.go.jp/security/vuln/20050627_dns.html

かつて、消滅したドメイン内の危険なサーバが登録放置されていることを指摘されたJPRSは 警告と対策を始めた。 http://jprs.jp/info/notice/problematic_ns_notice.html

4. 現実をみよ

そして、以下のような文章を書いた人もいた。

しかし、この中にある以下の記述は現実を表していない。

元のレンタルサーバー事業者は、ユーザーとの契約が終了すれば、
DNSサーバー上からドメイン名に関する情報を削除します。
しかしこのとき、図2のようにレジストリに古いDNSサーバーの登録が残ったままだと、...

レンタルサーバ事業者はドメイン名関連情報(ゾーン)を削除するとは限らない。

4.1. 上位サーバの登録から削除されたのに

一度は登録されていたことを忘れていないか。

上位サーバへの登録変更旧サーバ上の情報変更・削除はドメイン所有者の責任であることを 認識しなくてはならない。

4.2. 解約して半年たっても残っているところもある

こういう業者を使っていたときに、DNSレコードを更新しないまま契約解除すると、 いつまでも新サーバにアクセスできない人がでる。

この古い返事が「浸透」という都市伝説を作っている。ホスティング業者は改善して欲しい。

昔から、分かっていたのに、なぜ改善されないのか。まともな記事がほとんどないのか。 ここの95番の記事に一票。

4.3. 危ない業者

「浸透遅延」問題の具体例を求めていたときに一括して発掘する方法に気づいた。 それを使って発見したのが、

 sphere.ad.jp, dns.ne.jp, cpi.ad.jp, namedserver.net, value-domain.com

などで、解約したドメインのゾーンがそれぞれ100こ以上削除されないで残っていることが分かった。 ほかにも、多くのDNSプロバイダで削除されていないゾーンが見つかった。 DNS/ホスティング/BADなど。

これらのDNSホスティング業者のサーバは「浸透遅延」を引き起こすというのではなく、

「不当な返答」を返す可能性をもったサーバである。


以前から収集していたドメインのサーバ登録情報と最近の登録情報とを比較して検出した。

解約されたドメインのレコードをまったく消去しないわけでもないらしいが、 きちんとした手順が定められていないために残っているのだろう。 -- ToshinoriMaeno 2011-02-10 14:52:58

4.4. 対応策

かつて、これらのサービスを使っていたのなら、

レコードが残っていないかを調査して、残っていたら削除するよう申し入れる

ことを勧める。 調べ方は各自勉強すること。

古い情報を使いつづけている客が残っているかもしれない。

現在、これらのサービスを使っていたら、移転でのトラブルを覚悟すること。

トラブルを避けるには: レンタルサーバ/引越

5. 上位から委譲がなくなれば残っていても問題ないか

そういうケースもあろう。だが、このサーバがキャッシュに残っていたらなにが起きるか考えてみよう。

例 cbcc.co.jp ドメインの場合:

%dnsq ns cbcc.co.jp a.dns.jp

2 cbcc.co.jp:
104 bytes, 1+0+2+2 records, response, noerror
query: 2 cbcc.co.jp
authority: cbcc.co.jp 86400 NS ns2.xserver.jp
authority: cbcc.co.jp 86400 NS ns1.xserver.jp
additional: ns1.xserver.jp 86400 A 219.94.200.246
additional: ns2.xserver.jp 86400 A 210.188.201.246

そこで、sphere内の古いサーバをキャッシュしていたクライアントがあったとして、(ないと言いきれるか)

%dnsq ns cbcc.co.jp ns3.sphere.ad.jp

2 cbcc.co.jp:
90 bytes, 1+2+0+1 records, response, authoritative, noerror
query: 2 cbcc.co.jp
answer: cbcc.co.jp 86400 NS ns4.sphere.ad.jp
answer: cbcc.co.jp 86400 NS ns3.sphere.ad.jp
additional: ns3.sphere.ad.jp 86400 A 202.239.113.22

%dnsq ns cbcc.co.jp ns4.sphere.ad.jp

2 cbcc.co.jp:
90 bytes, 1+2+0+1 records, response, authoritative, noerror
query: 2 cbcc.co.jp
answer: cbcc.co.jp 86400 NS ns3.sphere.ad.jp
answer: cbcc.co.jp 86400 NS ns4.sphere.ad.jp
additional: ns4.sphere.ad.jp 86400 A 202.239.113.30

6. こういう業者にDNSアウトソースするな

他の業者もいずれ公開の予定。

-- ToshinoriMaeno 2011-02-09 13:13:30

他社への移転に必要な作業をしてくれない業者: DNSの理解不足だろう。

7. クライアント側の防衛策

キャッシュがおかしいことに気づけば、対策はある。

キャッシュに無効になったはずの古い情報(毒)が残っているのだから、 いったんキャッシュをクリアしてやれば、新しくルートサーバなどからたどることになり、毒は抜ける。