## page was renamed from DNS/諸問題
## page was renamed from DNSの諸問題
= DNSの諸問題 =
DNSを信用するのは危険です。

かけられる費用を考慮すれば、危険性を承知しておくことも重要です。
　使いつづけられる間は使い続けていくしかないでしょう。 -- ToshinoriMaeno <<DateTime(2015-04-25T09:02:38+0900)>>


<<TableOfContents()>>

== 設計、設定、負荷、運用 ==
 * DDoS に弱い。　（攻撃元が偽装されているので、防御が手間）
   * DDoS (攻撃）に利用されやすい。　　「[[未熟なDNS]]」と言われています。　
 * DNSキャッシュサーバに毒盛される。　（案件）
 * DNS管理が乗っ取られる。　（TLD)
   * 権利のないゾーン登録を排除しない。（共用ゾーンサービス、 実例 さくら）
   * 未熟な管理、未熟なサービス　
　　間違った設定、間違ったゾーンデータ

== 勉強しようとしない利用者 ==
 * DNS障害、DNSエラーに戸惑うひとたち。
 * 「DNS浸透を待て」にごまかされるひとたち。
 * 「DNS浸透神話」を利用する業界
 *  ネット上に氾濫する間違い情報


<<Navigation(children)>>

[[DNS/さまざまな危険]]

-> [[DNSを信用するのは危険]]
  http://dns.measurement-factory.com/writings/whats-wrong-with-dns.pdf 

== DNS RFC の問題 ==
    基本RFC [[DNS/RFC1034]], [[DNS/RFC1035]], [[DNS/RFC2181]]
  . [[DNS/Cname]], [[DNS/グルーレコード]], [[DNS/wildcard]]

　悪い人はいないという前提での出発, 場当たり的習性

  * DNS の構造による脆弱性 (root サーバへの DoS 攻撃、TLD サーバの 方が弱いでしょう。)

== 実装の不良  ==
(問合せ爆弾なども)
BIND, Unbound, PowerDNS, MS DNS サーバなど実装不良の多さ。
  . [http://jprs.jp/tech/notice/2003-12-10-bind-8.4.3.html query を出し続ける不具合]]など、

偽データを取り込み易いキャッシュサーバ
　Ghost Domain Names  脆弱性

== 運用ミス ==
==  レジストリ ==
[[DNS/ドメインの乗っ取り]]とは

=== レジストラ ===
  . Verisign 問題など -- wild card を含む存在しないドメイン内のレコードを返す Verisign は .com/.net の SOA レコードを変更するそうです。
   . minimum TTL が 86400 から 900 になることの影響を見のがしている人がほとんどです。(AAAA の問合せを参照のこと)

 [[DNS/ドメイン委譲の不良]]
  * 上位との名前の不一致
  * [[DNS/動作していないサーバ]]
  * authority なしの返事
  * セカンダリサーバの不良、ゾーン転送の不良
  * [[DNS/Secondary|セカンダリサーバについての誤解]]

== DNS サーバの設定不良 ==
   * http://D/separation.html コンテンツサーバとキャッシューサーバの同居など
   * [[DNS/ドメイン管理]] 問題

== コンテンツサーバ内のデータ不良 ==
特に ISP の DNS サーバ)
  * [[DNS/グルーなし問題]]
  * ゾーン外の NS 名に対する余計な A レコード
  * [[DNS/ワイルドカードの誤用]]
  * 一部の type の 問合せにしか返事しないサーバ (負荷分散用のサーバに見られます。AAAA など)
  * [[DNS/短かすぎる TTL]]など (negative caching TTL を含む)
  http://D/checklist/ 個別レコードについて]]は別途扱います。
  * 返答中の余計(無駄)なレコード、重複レコード： additional, authority section
   . recursive query サービスにも関係がありそうです。
     ゾーン外の名前を含むレコード(NS, MX)に対する A レコードなど

 [[DNS/逆引き設定]]の不良 (特に[[DNS/クラスレスの委譲]])

== 利用側 ==
 [[おかしな DNS 問合せ]]
  * root server への無用な問合せ (存在しない TLD など)
  * ローカルアドレス の問合せ問題
  * http://D/IPv6/ipv6config.html IPv6 問合せ問題
  * 負荷分散(?) のための問合せ
  * dns blacklist 乱用
  * 問合せの繰返し(キャッシュサーバの設定、port ブロック)

dynamic DNS (TTL、身元隠し)

== 基礎 ==
UDP を使うことの弱点
  * DNS データの騙り攻撃;
  * DoS 攻撃 (recursive query も関与) これらをきちんと理解して、対処できることが DNS 管理者には必要です。

管理者の養成が最重要です。 「だれが養成できるか」という大問題があります。:-) そして、だれが負担するか、も。

== 参考資料 ==
http://wiki.tokai-ic.or.jp/hiki.cgi?DyingDNS 
DNSの低信頼性とさらなる低下(東海インターネット協議会のWikiサイト)

[[DNS/サーバ設定のよくある間違い]] -- [[DNS/誤解集]]