[書き起こし]親の心子知らず?委任にまつわる諸問題について考える 〜ランチのおともにDNS〜 (3)

2012/12/13-1

本日紹介する7つの特徴

7つの特徴を今日は説明しようと思います。

  • 親の立場からみた特徴(2つ)
  • (1) 子の状況にかかわらず一方的に委任できる
    (2) 子の状況が変化しても検知しない
  • 子の立場からみた特徴(2つ)
  • (3) 委任の有無に関わらず権威を自称できる
    (4) どの親からどんな形で委任を受けているかの情報を持たない
  • 複雑になってしまった特徴(3つ)
  • (5) NSレコードで名前を指定
    (6) 委任情報と権威情報を同種のリソースレコードで指定
    (7) 権威の根拠が権威のない情報に依拠

親の立場から見た特徴を二つ、子の立場から見た特徴を二つ、その後が、色々な理由によって複雑になってしまった特徴三つを説明させて頂きます。

...その前に


JPRS 森下泰宏氏

と、その前にですね、今日紹介する7つの特徴というのは、仕様の観点から見たことです。 委任の本質を把握して頂くために、注意点を意図的に強調した形で解説しています。

そのために、「これマズいんじゃないの?」と思われる方々も多いと思いますが、そこはDNSということでですね、運用でカバーという素晴らしいキーワードがあるんですね。 不具合の発生は運用によって抑制されているわけです。

ただ、運用でカバーしても注意点がなくなるわけではありません。 ということで、注意点を知ったうえでキチンと運用することが非常に重要だということになります。

特徴(1):子の状況に関わらず一方的に委任できる

まず、特徴(1)です。 子の状況に限らず一方的に委任できる、とあります。

どういうことかというとですね、子が準備できているかどうかをチェックしなくても委任できてしまいます。 つまり、親は、子供がちゃんと一人歩きしたかということを確認することなく、一方的に「委任したんだからお前やれ」という風に宣言するようになっています。

場合によっては、子供の準備ができておらず、Lame Delegationと言われる状態になってしまいます。 この場合は委任が成立しないという状況になってしまいます。

また、子供のNSが親のものと違っていても委任できます。 親と子のNSが一致していなければ委任できませんというルールはありません。

これは実は、かならずしも違反というわけではなく、DNSの引っ越しの途中である場合には、親と子のNSが違っているという状態もありえます。 それに関しては昨年のこの時間でご紹介しました(参考:DNS浸透の都市伝説を斬る -ランチのおともにDNS- (PDF))。

ただし、違っている状態であっても、双方のNSで示されたすべての権威DNSサーバーが 権威を持つ同内容の応答を返す必要があるわけです。 これがうまくいかないと、いわゆる「浸透問題」というものが起きる場合があるわけですね。

そして、一方的に委任を解除できる、ということもできます。 つまり、一方的に委任できるということは、それを一方的に解除できるということにもなります。

で、それが後に説明する、幽霊ドメイン名であるとか、FBIなどによってMegaUpload.comが強制停止させられたといった、一方的な委任の解除という事例になります。

(続く:次へ)

最近のエントリ

過去記事

過去記事一覧

YouTubeチャンネルやってます!