ssmjp20180524でお話した内容です。

1. ssmjp20180524
続・広く知ってほしいDNSのこと
～DNSの運用をちょっとよくしていく話～
2018年05月24日
日本DNSオペレーターズグループ
中島 智広

2. 1
はじめに - 前回のお礼 -
6,000+ Views
ホットエントリ入り
ssmjp効果スゴい！ リーチアウト活動の有効性を再認識
https://www.slideshare.net/nakatomoorg/ssmjpdnssecurity

3. 2
主催イベントのお知らせ – DNS Summer Day 2018 -
https://dnsops.jp/event20180627.html
国内で年2回開催している
DNS関連イベントの一つ
DNS Summer Day
DNSOPS.JP BoF
@Internet Week

4. 3
以下のキーワードを理解し、区別できるようになる
▪ 【おさらい】スタブリゾルバ、フルリゾルバ、ネームサーバ
▪ 【New!】レジストリ、レジストラ、レジストラント、WHOIS
ドメインやその情報を管理・保護するための仕組みを理解する
▪ レジストリロック、レジストラロック
▪ コントロールパネルの多要素認証など
DNS運用に関する今どきのトピックを知る
▪ 自前運用からの脱却、ダイバーシティ
▪ MyEtherWallet.com(MEW) 仮想通貨盗難事件
▪ DNSブロッキング
本日のゴール
DNSやドメインにまつわるちょっと耳よりな話を通じて
• みなさんのシステムの運用品質がちょっとよくなる、トラブルを未然に防止できる
• DNSやDNS Summer Day 2018に興味を持ってくれる人がちょっとでも増える

5. 4
ネットワーク上で名前解決を行うためのプロトコルであり
ネットワークを通じて提供されるあらゆるサービスが依存
WWW, メール, VoIP, etc・・・
DNSの情報に依存する仕組みも多い
SSL証明書
送信ドメイン認証(SPF/DKIM)
メール送受信時のパラノイドチェック(正引きと逆引きの一致)
【おさらい】DNSとは
example.jp A ?
example.jp. A is 203.0.113.1
DNSサーバ群

6. 5
.(root)を起点としインターネット全体に広がる分散データベース
フルリゾルバが.(root)から再帰探索を行い情報を取得(=名前解決)
情報は(スタブ|フル)リゾルバで一定期間保持され再利用、効率化
低負荷、高レスポンス性を実現するため原則UDPで通信
【おさらい】DNSのメカニズム
.
jp.
example.jp.
example.jp. A ?
フルリゾルバ
↑覚えよう！
(キャッシュDNSサーバ)
ネームサーバ
↑覚えよう！
(権威DNSサーバ)
example.jp. A ?
スタブリゾルバ
↑覚えよう！
(クライアント)
example.jp. A is
203.0.113.1
example.jp.
NS is・・・
Root
Top Level Domain
2nd Level Domain

7. 6
ネームサーバ
ゾーン情報を保持、管理、公開するためのサーバ。日本では
Authoritative Serverを直訳して権威DNSサーバとも呼ばれる。
フルリゾルバ
ネームサーバで公開されている情報を、ルートからたどって参照
(再帰探索、再帰問い合わせ)する機能を持つリゾルバ(=名前解決
するもの)。スタブリゾルバに対して、フル(サービス)リゾルバと呼ば
れる。日本ではキャッシュDNSサーバとも呼ばれる。
ネットワーク接続時にDHCPでOSに自動設定されるDNSはこちら
スタブリゾルバ
再帰問い合わせ機能を持たないリゾルバ。単に名前解決をしたい
だけの機器やOSに組み込まれる。
【おさらい】ネームサーバ、フルリゾルバ、スタブリゾルバ
ゾーン情報の公開
再帰問い合わせ
キャッシュ
キャッシュ
3つを区別することが、DNSを的確に理解するために重要

8. 7
ドメインを登録し利用するためには.comや.jpなどのTLD:Top Level Domainの
ネームサーバを管理する登録管理機関（レジストリ）へ情報伝達が必要となる
登録者（レジストラント）からは登録取次事業者（レジストラ）を通じて行う
ドメイン登録管理のメカニズム
システム連携
レジストリ
DB
レジストラ
各社管理
システム
レジストラ
↑覚えよう！
(登録取次事業者)
レジストリ
↑覚えよう！
（登録管理機関）
レジストラント
↑覚えよう！
（登録者）
操作、申請
TLD
ネームサーバ
同期
3つを区別することが、ドメインを的確に理解するために重要
主にWeb EPP(※)など
※Extensible Provisioning Protocol
WHOIS
.com
.org
.jp
…etc

9. 8
ドメインの各情報を記載した誰でも参照可能なデータベース
登録者情報
ネームサーバ情報
ドメインの状態
など
なぜ？
なにかしらの問題、悪用が生じた際の、
コンタクト先(PoC：Point of Contact)情報
として重要
登録情報を書き換えることでドメイン
そのものを乗っ取ることが可能
▪ ネームサーバ変更
▪ 登録者変更、削除 など
WHOIS
情報を適切に維持することが重要
かつ要求されている
WHOISの例 http://whois.jprs.jp/?key=dnsops.jp

10. 9
【おさらい】日経新聞、はてなドメイン名ハイジャック事件
http://www.itmedia.co.jp/news/article
s/1411/06/news123.html
国内事業者のネームサーバ情報が第三者により書き換えられた

11. 10
はて、なんでそんなことできちゃうの？
システム連携
レジストラ
各社管理
システム
レジストラ
↑覚えよう！
(登録取次事業者)
レジストリ
↑覚えよう！
(登録管理機関)
レジストラント
↑覚えよう！
（登録者）
操作、申請
このご時世、ID/PWDのみによる認証はもうとっくに限界よ！
主にWeb EPP(※)など
※Extensible Provisioning Protocol
各種攻撃への対策
は十分ですか？
脆弱なID/PWD設定
していませんか？ マルウェア
感染してませんか？
レジストリ
DB
TLD
ネームサーバ
同期
WHOIS
.com
.org
.jp
…etc

12. 11
一部のレジストリやレジストラが提供
している機能を上手く使う
レジストリロック
▪ 主にWHOISの登録情報変更を
制限する機能
▪ レジストリが提供
レジストラロック
▪ 主にドメインの移転や削除を
制限する機能
▪ レジストラが提供
レジストラ各社コントロールパネルの
の認証機能強化とその利用
▪ 多要素認証など
ドメインハイジャックへの対策
レジストリロックの例
【引用元】https://jprs.jp/about/dom-rule/registry-lock/
まだまだぜんぜん利活用が不十分

13. 12
知っておきたいドメインの状態
通常状態 利用可 Active, Connected, okなど
レジストリにより
なにかしらの制限がかけられた状態
利用可 serverUpdateProhibitedなど
利用不可 serverHold (Expired) など
レジストラにより
なにかしらの制限がかけられた状態
利用可 clientTransferProhibited, clientDelete
Prohibitedなど
利用不可 clientHoldなど
EPP：Extensible Provisioning Protocolのステータスコードがベース
【参考】http://www.icann.org/epp
レジストリロック
ドメイン有効期限切れ
レジストラロック
次頁へ登録情報不備など

14. 13
「Status: ClientHold」の恐怖
(顧客)朝からWebサイトも見られない、メールもつ
かえない、どうなってるんだ？早くなんとかしてく
れ！
WHOISは適切に登録、レジストラからの通知を見落とさないように！
(レジストラ)情報認証手続き（メールアドレスの所有
確認）を行っていないため、一時的に利用を制限し
ました。
(システム担当者)名前解決ができない、でもDNSに
異常はない。WHOIS調べるとStatus:ClientHoldに
なってる。これ何だ？
【参考】https://help.onamae.com/app/answers/detail/a_id/15333/
制限された例

15. 14
ネガティブキャッシュ、知ってますか？
「Status: ClientHold」の恐怖（続き）
jp. 900 IN SOA z.dns.jp. root.dns.jp. (
1526998502 ;serial
3600 ;refresh
900 ;retry
1814400 ;expire
900 ;minimum
)
com. 900 IN SOA a.gtld-servers.net.
(snip)(
1526999411 ;serial
1800 ;refresh
900 ;retry
604800 ;expire
86400 ;minimum
)
ドメインによっては完全復旧に24時間以上を要する
DNSにおけるキャッシュ機能には大きく分けて、以下の2種類があります。
1)通常のキャッシュ その名前が「存在すること」をキャッシュします。 キャッシュ保持期間はDNS各レコ
ードのTTL(Time To Live)値として指定します。
2)ネガティブキャッシュその名前が「存在しないこと」をキャッシュします。 ネガティブキャッシュ保持期
間はSOAのminimum値として指定します。
JP ccTLD (†) gTLD (‡)
【引用元】 https://jprs.jp/tech/material/IW2002-DNS-DAY-morishita.pdf
† country code TLD : 国別トップレベルドメイン ‡ generic TLD : 汎用トップレベルドメイン

16. 15
【FACT】DNS運用には苦労が多い
要脆弱性対応、要高可用性対策
人がいない etc…
【今どきトピック】自前運用からの脱却、ダイバーシティ
【引用元】
https://dnsops.jp/event/20160624/h28_kumam
oto_earthquake.pdf
みなさんの現場はいかがでしょう？
そもそも自前で運用する必要、
本当にありますか？
【引用元】
https://www.slideshare.net/ryuichitakashima3/d
ns-20171130-dnsopsjp-bof

17. 16
概要
「経路ハイジャック」と「不正なDNS
応答」の合わせ技で、ユーザを不正
なサーバへ誘導し、フィッシングに
よって仮想通貨が窃取された
被害を防ぐために必要だったもの
【今どきトピック】MyEtherWallet.com(MEW) 仮想通貨盗難事件
合わせ技の本攻撃を100%防ぐには両技術ともに普及が必要だが、
どちらか片方だけでも攻撃成功の難易度は格段に高まる
【引用元】https://security.srad.jp/story/18/04/27/0649209/
悪意のある第三者による不正な経路広報
を防ぐため、電子証明書を利用し広報元
を認証する仕組み
RPKI
電子署名により、「正規のDNS応答」と「悪意
のある第三者による不正なDNS応答」を区
別する仕組み
DNSSEC
社会インフラとして安全安心なインターネットにDNSSECは必要

18. 17
【今どきトピック】 DNSブロッキング
従前のコンセンサスがいつの間にか一方的に覆されてしまい、
その影響や制約を受け続けることは技術者として間違いなく不幸
もちろんDNS Summer Day 2018でも取りあげます
今からでも遅くないので、関心を持ち積極的に関与していきましょう！
まずは知るところから！

19. 18
【今どきトピック】 DNSブロッキング（参考）
【引用元】http://tech.nikkeibp.co.jp/atcl/nxt/column/18/00001/00469/【引用元】http://www.itmedia.co.jp/news/articles/1804/19/news082.html

20. 19
【再掲】主催イベントのお知らせ – DNS Summer Day 2018 -
https://dnsops.jp/event20180627.html
国内で年2回開催している
DNS関連イベントの一つ
DNS Summer Day
DNSOPS.JP BoF
@Internet Week

21. 20
まとめ
DNSは誰もが常に利用している重要インフラでありながらも、あまり意識されることの
ない空気のようなもの。一方、ひとたびその運用に問題が発生すると、影響が広範囲
になってしまいがち。もう少しDNSへの理解や関心を高めることで、みなさんのDNS
の運用品質が高まります。DNS Summer Day 2018 へのご参加お待ちしています。
スタブリゾルバ フルリゾルバ ネームサーバ
レジストラント レジストラ レジストリ WHOIS
コントロールパネル
の多要素認証 レジストラロック レジストリロック
仮想通貨盗難事件 DNSSEC RPKI
DNSブロッキング自前運用からの脱却 ダイバーシティ
<本日のキーワード>