問合せ - みる会図書館

1. UNIX MAGAZINE 2006年1月号

連載ネットワーク・ミニ実験室荒井美千子 UNIX MAGAZINE 2006 . 1 に分かれた LAN でのゾーン情報の転送があります。フォワーダーのもう 1 つの利用例として、複数のゾーンフォワーダーの利用例 ( その 2 ) キャッシュされるので、名前解決を効率的におこなえます。ます。インターネット上のホストの情報がフォワーダーに特別な設定をしなくてもキャッシュ・サーバーとして働きまた、フォワーダーとして利用する DNS サーバーは、がないぶん安全に運用できます。ーだけでよく、 LAN 上の DNS サーバーは公開する必要インターネットに公開する DNS サーバーはフォワーダき、問合せを転送させる手法がよく使われます ( 図 1 ) 。ァイアウォール上に DNS サーバー ( フォワーダー ) を置直接問い合わせるのは望ましくありません。そのため、フ DNS サーバーが、インターネット上の DNS サーバーに同じから、 LAN 上の個々の DNS クライアントやォールを設け、直接通信しないようにするのが一般的です。ネットのあいだにはセキュリティを守るためのファイアウたとえば、 LAN (LocaI Area Network) とインターフォワーダーの利用例 ( その 1 ) ーバーのことをフォワーダーと呼びます。合せ元に返す機能です。また、問合せを転送する DNS サの問合せをほかの DNS サーバーに転送し、その応答を問が、 DNS の世界におけるフォワードは、受け取った DNS 一般には、メールやバケットを転送する機能を指しますます。れら以外にフォワード (forward) という大きな機能がありた DNS のさまざまな機能をみてきました。 DNS には、前回までに、名前解決やゾーン転送、キャッシュといっロ NS フォワーダーント、または zone ステートメントに追加してください。の 2 行を、 named. C011f ファイルの options ステートメ DNS サーバーの named. conf ファイルに言当します。次フォワードの設定は、フォワーダーに問合せを転送するフォワードの設定こなえます。間がかかる ) ゾーンのあいだでも、効率よく名前解決をおシュに保存されるので、ネットワーク的に遠い ( 通信に時働きます。ゾーン B 上のホストの名前解灣青報がキャッこでも、フォワーダーはキャッシュ・サーバーとしてなりません。 DNS サーバーの情報をあらかじめ設定しておかなければ切な DNS サーバーに送る必要があるので、ゾーン B の当然ながら、フォワーダーは転送されてきた問合せを適結果をゾーン A の DNS サーバーに返します。合せをもとに、ゾーン B の DNS サーバーに間い合わせ、ーダーはゾーン A の DNS サーバーから転送されてきた問たとえは図 2 のようなネットワーク構成の場合、フォワ問い合わせます。にフォワーダー経由でゾーン情報をもつ DNS サーバーに DNS サーバーにコピーしておくのではなく、必要なときフォワードを利用した方法では、ゾーン情報を複数のとなっています。たゾーン情報のコピーをもとに、問合せに応答する仕組みープサーバーに転送します。スレープサーバーは、入手しターサーバーが管理しているゾーン情報を、まるごとスレなどでゾーン転送を紹介しました。ゾーン転送では、マスほかのゾーンの情報を得る方法として、 2005 年 10 月号 67

2. UNIX MAGAZINE 2006年1月号

図 22 DNS サー) ーー 2 DNS サー)ーー2 DNS サーパー DNS サーパー2 DNS サーパー DNS サー)ーー2 DNS サー丿ーー DNS サーパー2 DNS サーパー DNS サー丿ーー 2 DNS サーパー2 DNS サー戸「一 2 DNS サー)ーー DNS サーパー2 DNS サーノーー DNS サーパー DNS サーパー2 フォワーダーかループしているときの通信 ( 2 ) 最初の問合せから 2 秒後、 4 ファイ井 ( E ) 偏集 ( 印秒後、 12 秒後、 28 秒後に問設定 0 ウインドウ ASTEC 0 を三ヤヘルプ ( 旦 ) は少合せを再送しているロ白住◎斗しロ印マママ発信元アド ... マ受信先アド . 4 DNS サー) ーー 1 DNSÜ—}\— プ . マ対日寺問サマリ DNS の問合せ DNS の応答 3 1 1 1 2 1 3 1 4 1 5 1 8 forwarder DNS サー DNS DNS DNS DNS DNS DNS DNS DNS DNS 0.0010 間 : ID : 54560 P 間 DE : 0 : 12. 圓囲 40 三 ID = 31336 PCODE : 0 : 28.011037 : Q : ID ニ 4 囲 57 PCODE : 0 RET=O NAME: RET=O NAME= ns.examp . com TYPE=Å RET=O NAME= ns. examp 尾 . com TYPE=Å ns. examp ー e. com TYPE 2.003073 三 ID ニ 60048 靼 PCODE : 0 RET:O NAME:ns. 改師P尾 . com TYPE=A 4.009241 三 0 ヨ D : 62792 : OPCODE : 0 RET:O NAME:ns.example.com TYPE=Å : 23 .337556 ! 鷲侊驚 : R : I D: 4 囲 5 7 0 : RET: 2 : NAME: ns. examp 尾 . com TYPE= A 三 23.337521 : R ヨ D ニ 313 囲 : ロ PC ロ DE : 0 三 RET : 2 : NA 溷 E : ns. ex 鈿 p 尾 . com TYPE:A 三 23.337487 三ÆID=82792iOPCODE=0T.ET:2:NAME:ns.example.com TYPE:A : 23.337430 三 R 三 ID : 6004 OPC 叩 E : 0 三 RET : 2 鼎 E : ns. ex 毓 p 尾 . co TYPE=A : RiID:54580i0PCODE:0:RET:2iNAME=ns.example.com TYPE=A 再送も含め、それぞれの問合せに対する応答が返されたサーノヾーエラー問合せと応答の対応 D の値で分かるこの図を見ると、最初の問合せから 2 秒後、 4 秒後、 12 秒後、 28 秒後に DNS サーバー 1 から DNS サーバー 2 に問合せカ舸送されています。また、最初の問合せから 30 秒待った時点で応答が得られないと判断し、 DNS サーバー 2 から DNS サーバー 1 へ工ラー応答 ( サーバーエラー ) が返されています。なお、サマリの欄に表示された、、 ID" の値が同じものが、対応する問合せと応答です。同様に、 DNS サーバー 2 から DNS サーバー 1 へ送った問合せとその応答を調べると、やはり同じ間隔で問合せの再送とエラー応答の返送がおこなわれています。今回のケースでは、 1 つの問合せを 2 台の DNS サーバーのあいだでお手玉のように繰り返し転送し合うことはありませんでした。しかし、 1 つの問合せが 2 回輯去されて 1 彳断夏しています。また、フォワーダーカ亭止しているケースと同じように、 DNS クライアントがタイムアウトしてプログラムを終了したあとも、 DNS の通信はひそかにネットワーク上を流れていました。今回は、 DNS の問合せを転送する仕組みについて解説 ☆ 80 しました。 DNS の転送には、決をする・フォワーダーからエラーが返されたときに自分で名前解 . フォワーダーからエラーが返されたときに何もしない構成を考えながら適切な箇所に導入してください。キャッシュによる効率化も期待できます。ネットワークのともに名前解決によく利用される機能です。設定が簡単で DNS のフォワードは、ゾーン転送やドメインの委任とめてみました。や、フォワーダーがループしている経路での振舞いも確か間を調べました。また、フォワーダーが停止している場合の 2 種類があり、それぞれの通信の様子や処理にかかる時 UNIX MAGAZ 工 NE 2006 . 1 ( あらい・みちこ Rworks )

3. UNIX MAGAZINE 2006年1月号

ネットワー図 7 DNS の問合せをフォワーダーに車医 T 印 0 , 併ャプチャデナタく扣 d ヨ a 広。 n の ] 鸞第鑾姦第酥三岡区ファイル ( E ) 偏集 ( 印表示 ( キャプチャ 0 モこタツール設定 0 ウインドウヘルプ ( 印フォワーダーク・ミニ実験室さに LAN ・ 0 イトロ白住 ~ 斗昌に印コ . マ発信元アドレスマ受信先アドレスマプロトコルマサマリロ ID : 56550 OPCODE:O RET=O NAME:www. ietf . or: TYPE=A 「 0 D クライアント DNSÜ—)\—(LAN) DNS 「 : 1 DNS サ—}\—(LAN) フォワーダー ONS DNS サーハー在ミ " 礒こ " 「 2 フォワー当ー「 3 DNS サ—J\—(LÅN) DNS クライアント DNS Q ID : 25334 OPCOOE:O RET:O NAME:www. i 社 f. or 言 TYPE:A : R ID : 25334 OPCODE:O RET:O NAME=www. ietf. 0宿 TYPE=A R ID : 56550 OPCODE:O RET=O NAME=www. ietf.org TYPE=A 応答受け取った問合せをフォワーダーに転送している fo rwa rd DNS クライアント DNS サ—J\—(LAN) 問合せ応答図 8 フォワーダーによるインターネット上の DNS サーバーへの問合せファイル ( E ) 編集 ( 印表示 ( y ) キャプチャ 0 モニタせツール設定 0 ウインドウヘルプ旧 ) 第 0 ASTEC 。、、ャプチャデトタ 0 。 rwa ー物 a 。、。。第寰に 4 匿ー一区ーさ・・第 0 鳶イトロ白住◎多斗日朝副フ . マ発信元アドレスマ受信先アドレスマプロトコルマサマリ r¯ä0 フォワー当・一ロ ID : 591 OPCOOE:O RET=O NAME:www. i 社 f .0 爾 TYPE=A DNS tld4. リは「 adns. org R ID : 531 OPCODE:O RET=O NAME:www. ietf .0宿 TYPE=A 「 : 1 tld4. リは dns. 0 コオワーダー DNS .org の権限をもつ DNS サーバーへの問合せと応答 ietf.org の権限をもつ DNS サーバーへの問合せと応答 r¯ : 2 フォワーダー op い m 礪 . ietf .0倍 r¯三 3 opt i m 礪 . i etf. 0 フォワーダー forwarder フォワーダー ONS DNS 0 ID ニ 15634 OPCODE=O RET:O NAME:www. i 社 f . 0 TYPE:A : 日 IO ニ 15634 OPCODE:O RET20 NAME:www. ietf. 0宿 TYPE:A 三 DNS サーバー ( インターネット ) ルートサーバー t旧4. ultradns. 0「g ( ietf. 0 「 g の権限をもつ ) optimus. ietf. 0「g (.org の権限をもつ ) DNS クライアントから受け取った間合せをフォワーダーに転送して解析した結果です。 DNS サーバー (LAN) が、 UN 工 X MAGAZINE 2006 . 1 いる様子が分かるでしよう。図 8 は、インターネット側の通信をネットワーク・アナ 71

4. UNIX MAGAZINE 2006年1月号

図 1 フォワーダーにインターネットへの問合せを送る LAN 上の DNS サーバーから転送されてきた問合せをもとに、インターネット上のインターネット DNS サーバーに問い合わせる DNS サーバー LAN フォワーダー DNS サーバー問合せを転送 DNS サーバー LAN 上のホストは、インターネット上の DNS サーバーとは直接通信しないインターネットにはフォワーダーだけを公開する ( LAN 内のほかの DNS サーバーを公開する必要がなく、安全性が高い ) 図 2 フォワーダーに LAN 内のほかのゾーンへの問合せを送る LA N フォワーダー DNS サーバー DNS サーバー問合せを転送転送されてきた問合せをゾーン B の DNS サーバーに送るソーン B のスレーブサー / ヾーをゾーン A に置く代わりに、フォワーダーで問合せを転送することができるは、フォワーダーから応答がなかったときに未をもちます。・ only が指定されていると、フォワーダーから応答がなかった場合に何もしない。・ first が指定されている場合は、フォワーダーから応答がなければ LAN 上の DNS サーノヾー自身が名前解決を試みる。転送専用の言殳定フォワード機能では、受け取った問合せをすべて転送することもできますし、一部の問合せは自分で解決し、 forward [ 〃 e ] ; forwarders { address ; addt 、 ess ; zone ステートメントに言当する場合は、以下に示すゾーンの種類の指定も必要です。 type forward; は転送方式を意味し、 "only" または、、 first" を指定します。 address にはフォワーダー ( フォワード先の DNS サーバー ) の IP アドレスを指定します。 LAN 上の DNS サーバーは、 DNS の問合せを祠市℃ ss で指定されたフォワーダーに転送し、フォワーダーから得た芯答を問合せ元に返します。 68 UNIX MAGAZINE 2006. 1

5. UNIX MAGAZINE 2006年1月号

ネットワーク・ミニ実験室図 21 . 13 : 46 : 12 . 328 Q ID ニ 54560 OPCODE:O RET=O NAME:ns. example. co TYPE:A : DNS サーパー . 1 3 : 46 : 14.324 DNS サー戸「一 2 . 1 3 : 46 : 14.336 DNS サー丿ーー . 1 3 : 46 : 1 6 . 324 DNS サーパー2 . 1 3 : 46 : 1 6 .336 DNS サーパー . 1 3 : 46 : 1 7 .332 DNSff—}i—2 DNS サーパー . 1 3 : 48 : 24.324 DNS サーパー DNS サーパー2 . 1 3 : 4B : 24.337 DNStt ・ー) ーー 2 . 1 3 : 4 & : 40.324 DNS サーパー2 . 1 3 : 46 : 40.338 DNS サー) 一 2 . 1 3 : 46 : 42.324 DNS サーパー2 DNS ち・一丿ーー . 1 3 : 46 : 42.324 . 1 3 : 46 : 42.324 DNStt—}i ー DNS サーパー2 . 1 3 : 46 : 42.324 DNSÜ—,I\— DNS サー丿ーー 2 . 1 3 : 46 : 42 . 324 : DNStt—}i'— . 1 3 : 46 : 42 . 3 2 8 . 1 3 : 46 : 42 . 3 2 6 . 1 3 : 46 : 42 . 3 2 6 DNS サーパー . 1 3 : 46 : 42 . 326 . 1 3 : 46 : 42 . 926 DNS サー戸「ー . 1 3 : 46 : 42 . 326 フォワーダーがループしているときの通信 ( 1 ) を 0 ASTEC 「 ye 1 [ キャプチャデをタ <f wa 祠ヨ 00P れ ] ミファイ ( E ) 偏集 ( 日表示 OØキャプチャ 0 モこタツ・一ル設定 0 ウインドウはⅡ LAN 、・おいロ睡白囲⑨一一一一当ロに副ロ区いるを DNS サーバー 1 に転送してバー 1 から受け取った問合せ DNS サーバー2 は、 DNS サー x コ . マ発信元アド . . マ受信先アド .. 「 0. [?N 号クイ . 窯ト . DNS サ :パー DNS 「三 1 DNS サーパー DNSÜ—,I ーー 2 DNS r¯ : 2 DNS サーパー2 DNS サー) ーー DNS マプ . マ時刻サマリ . 13 : 46 : 12.327 ロ ID : 22375 OPCODE:O RET=O NAME:ns. example. D N S サーバー 1 かているが問合せを再送し → D N S クライアント再送しているバー 2 が問合せを→・いので、 D N S サーら応答が返されな TYPE: A . 13 : 46 : 12 . 329 0 ID : 71 圏 OPCODE=O RET=O NAME:ns. example. com TYPE=A Q I D= 1 1 3 0 OPCODE: 0 RET=O NAME: ns. examp . com TYPE= A I D= 6 圓 48 OPCODE= 0 RET= 0 NAME: ns. examp 厄 . com TYPE:A 0 1 D= 3 6 3 引 OPCODE= 0 RET= 0 NAME: ns. examp 厄 .00E TYPE:A 第 DNSÜ—,ii'—2 DNSfj—,j 一 DNS サーパー2 DNS サーパー1 7 DNS クライアント 1 6 1 5 1 3 1 2 1 1 1 0 3 8 6 5 4 3 14 DNS サーパー2 DNS サー 17 [ 0 ザー 23 2 1 1 8 22 DNStt ー 20 1 9 DNS サー DNS DNS DNS DNS DNS DNS DNS DNS DNS DNS DNS DNS DNS DNS ONS DNS DNS DNS DNS DNS DNS 0 ID:82732 OPCODE: 0 RET: 0 NAME: 0 ID= 2 2 3 7 5 OPCODE=O RET= 0 NAME: Q ID : 33363 叩間 DE : 0 RET:O NAME: Q ID : 31336 OPCODE=O RET:O NAME: 0 ID: 1 4643 OPCODE:O RET: 0 NAME- R この時点で DNS サーバ R ーのログにエラーが書き R 込まれた : 40657 OPCODE: 0 RET: 2 NAME- を 13 : 4 : 42.32 & : R I 舮 22375 [ 旧 C [ E : 0 RET22 NAME- ns. examp ー e ns. examp ー e ns. examp ー e. ns. examp ー e -ns. example. : ns. exarnp ー e :ns. examp ー e :ns. examp ー e - ns. examp ー e -ns. examp ー e -ns. example. . COm . co 第 TYPE=A . com TYPE: A . com TYPE: A com TYPE: A . com TYPE: A com TYPE: A . com TYPE: A TYPE: A . com TYPE= A . com TYPE= A . com TYPE: A com TYPE: A DNS+j—,li—2 DNS サー . ー 2 DNS サーパー2 DNS クライアント DNS サー丿ーー 2 DNS サーパー2 ONS クライアント - ns. ー e forwarder 16 ー Nov ー 2005 13 : 46 : 42.925 unexpected RCODE , で折り返しています ) 。ラーメッセージが記録されていました ( 誌面の都合上、ら順番に追いかけると、以下のようになります。 DNS の通信の様子です。通信の流れを最初のバケットか DNS の動きをさらに詳しく調べてみましよう。図 21 はの通信でサーバーエラーになったことを表しています。このメッセージは、 DNS サーバー 2 ( 192.168.1.2 ) と 192. 168. 1 . 2 # 53 (SERVFAIL) resolving 'ns . example. com/A/IN' : 3. DNS サーバー 2 はフォワードの設疋に従って DNS サーバー 2 に問合せを転送する。 2. DNS サーバー 1 はフォワードの設定に従って DNS サせる。 1. DNS クライアントから DNS サーバー 1 へ問い合わ時点で受け取った問合せのループに気づき、それ以上はーバー 1 に問合せを転送する。 DNS サーバー 1 はこの輯去しない。 UNIX MAGAZ 工 NE 2006 . 1 R I D: 7 6 OPCOOE= 0 RET= 2 NAME: ns. examp 尾 . co 用 TYPE= A R I D= 36361 OPCODE: 0 RET: 2 NAME: ns. examp 尾 . com TYPE= A R I D: 1 130 OPCODE= 0 RET= 2 NAME: ns. examp . com TYPE= A R I D= 2 2375 OPCODE: 0 RET: 2 NAME: ns. exampl e. com TYPE: A R I D: 33363 OPCODE: 0 RET: 2 NAME: ns. examp . com TYPE: A R I D: 14643 OPCODE= 0 RET: 2 NAME: ns. exampl e. 00m TYPE= A 4. ところが、 DNS サーバー 2 は中幻去先の DNS サーバー [ 18 / 24 ] ID17 DNS サーハー1 ー > DNS クライアント ONS こまでは動作を把握しやすいのですが、その先は DNS 1 から応答が返されないので問合せを再送する。返している 18 番目 ( フレーム ID 17 ) と 22 番目 ( フレ・ DNS サーバー 1 が DNS クライアントにエラー応答をレーム ID 7 ) のバケット・ DNS クライアントが問合せを再送している 8 番目 ( フ別がつくのは次の 2 点くらいでしよう。と推測できますが、これだけ並んでしまうと、はっきり区合せから 1 秒以上経ってからおこなわれる問合せは再送だ何カ起きているのか分かりにくくなっています。直前の問サーバー 1 と DNS サーバー 2 の通信が入り乱れており、ーム ID 21 ) のバケット・ DNS サーバー 2 から DNS サーバー 1 への応答・ DNS サーバー 1 から DNS サーバー 2 への問合せに絞り込んで調べてみました ( 図 22 ) 。 79

6. UNIX MAGAZINE 2006年1月号

ネットワ図 3 車医だけをおこなう named. conf の記ホ例 options { }; ←フォワーダー forwarders { 192 .168 . 1 . 2 ー図 4 特定のゾーンに関する問合せだけを輯医する named. conf の記ホ例 op し土 ons { directory "/etc/namedb" ・ forward only; { 192 .168 . 1 . 2 ー } ー forwarders zone . type forward; ー examp 厄.com ゾーンに対する問合せは転送する forward first; - 一転送方式 forwarders { 192 .168 . 1 . 1 ー } ←フォワーダー zone "north . example . type master,•+——•—-•——••-•••••••••••••••—••••••••••••••— no h. examp 厄.com ソーンの情報は管理しているので自分で名前解決をおこなうーク・ミニ実験室 fi1e "north . example . com. zone" を転送することもできます。図 3 は named. conf ファイルの言例で、次の設疋をおこなっています。・受け取ったすべての問合せをフォワーダーに転送し、自分では名前解決をおこなわない。ーンごとに制御できます。以下は、特定のゾーンへの問合フォワードの機能では、問合せを転送するかどうかをゾ特定のゾーンのみの転送能をもつ転送専用 DNS サーバーとして動作します。この設疋をおこなった DNS サーノヾーは、キャッシュ機 . フォワーダーの IP アドレスは 192.168.1.2 。 forwarders フォワーダー forward 転送方式 ; type forward ; 20 Ⅱ e ゾーン名 { せを転送する場合の謎杢です。 UNIX MAGAZINE 2006. 1 に応じで助日してください。 1 実祭の言定ファイルでは、ルートサーノヾーや localhost などの清報を必要 DNS サーバーは次のように動作します。る場合の named. conf の言例を図 4 に示します 1 。この受け取った問合せの一部を転送し、一部は自分で解決す・ example. corn ゾーンについては 192.168.1.1 へ転送する。・ north.example.com ゾーンについてはゾーン情報を管理しているので自分で名前解決をおこなう。・そのほかのゾーンへの問合せはすべて 192.168.1.2 に転送する。転送による通信の詳細こで、 DNS の問合せがフォワーダーに転送され、最終的な DNS サーノヾーに送られる様子をみてみましよう。図 5 に示す、・ DNS クライアント・ LAN 上の DNS サーバー ( 192.168.10.1 ) . フォワーダー ( 192.168.1.2 ) ・インターネット上の DNS サーバーで構成されるネットワークを使って実験します。実験の手川頁としては、図中の、、 DNS クライアント " から dig プログラムを使ってインターネット上のホストのアドレスを問い合わせ、その通信の流れを追いかけます。、、 DNS サーバー (LAN)" には図 3 と同様のフォワードの設定をおこない、すべての問合せを、、フォワーダー " に輯医 69

7. UNIX MAGAZINE 2006年1月号

図 16 12 .013327 ロ ID : 53579 OPCODE:O RET=O NAME:www. ie . 0 TYPE:A 20 .021436 Q ID : 47165 OPCOD&O RET=O NAME=www. ietf . org TYPE:A 30.012549 R ID : 23333 OPCODE:03ET:2:NAME:www. ietf. 0倍 TYPE:A 三 30.012388 : 日 ID : 23333 0PCODE:0:RET:2ENAME=www. tf. 0 TYPE=A フォワーダーかイ亭止しているときの通信物を ASTEC 上 s に一ャプラヤデ : 自ファイルの偏集住表示 Cu) さ ALAN タ <f 物 4 「 do 物れ上 np 冫 1 , キャプチャ 0 ) モこタ ( 迎ツール設定 0 ) ウインドウ ) 当目副ヘルプ凹ロ冫讎白囲マ発信元アドレスマ受信先アドレスマプ .. マ相対時問サマリ 5 秒後に DNS クライアントが再試行して→・いるフォワーダーと通信できなかったので工→ ラーを返した 0 DNS クライアント 1 DNS サ—}i—(LAN) 2 DNS クライアント 3 DNS サ—Ji—(LAN) 4 DNS サ—fi—(LAN) DNS サ—}i—(LAN) 6 DNS サ—}i—(LAN) 0NSff—}i'—(LAN) 7 5 f 0 r DNS クライアント DNSfr—}i'—(LAN) フォワーダー DNS サ—}i'—(LAN) コオワーダーフォワーダーフォワーダー DNS クライアント DNS クライアント DNS サー DNS DNS DNS DNS DNS DNS DNS DNS 0.00 圓 00 ロ ID : 23333 OPCODE:O RET=O NAME:www. i f. 0 TYPE:A 0 .003303 0 ID : 3370 OPCODE:O RET:O NAME:www. i f . or も TYPE:A 8 .010235 Q ID : 51622 OPCODE:O RET:O NAME:www. tf. 0 倍 TYPE=A 5 .002326 : ロ ID : 23333 OPCODE:O RET=O NAME=www. ietf. org TYPE:A DNS クライアントにエラーを返すまでに 30 秒かかっているバ—(LAN) 工ラーが発生ーダー ( 停止中 ) 問合せ問合せ ( 再試行 ) 応答 ( 工ラー ) 応答 ( 工ラー ) 76 す。が表示されているので、名前解決ができたことが分かりま ANSWER SECTION に www.ietf.org のアドレスわせた結果です。ログラムでインターネット上のホストのアドレスを問い合図 17 は、フォワーダーが停止しているときに、 dig プできるようになります。とすることで、フォワーダーが停止していても名前解決が forward first ; このようなケースでは、転送方式の指定を、かもしれないのに、いかにももったいないですね。別の DNS サーバーに問い合わせれば名前解決ができる失敗します。ても、指定したフォワーダーが停止していると名前解決にフォワ問合せ問合せ ( 再試行 ) 問合せ ( 再試行 ) 問合せ ( 再試行 ) 図 18 は、、、 forward first" にしたときの DNS の通信いかけてみましよう。の様子です。最初のバケットから順番に、通信の流れを追 0 この例では、 DNS サーバー (LAN) のキャッシュに .org の権異をもつ 4.tld4.ultradns.org から応答が返される。この応答にはに自分で問い合わせる 3 ンを管理している DNS サーバー (tld4.ultradns.org/ 応答がないので、 DNS サーバー (LAN) は.org ドメイ 3. しかし、しばらく ( 約 2 秒 ) 待ってもフォワーダーからを輯去する。 2. DNS サーバー (LAN) は、まずフォワーダーに問合せわせる。 1. DNS クライアントが DNS サーバー (LAN) に問い合 3 UNIX MAGAZ 工 NE 2006. 1 せませんでした。 DNS サーノヾーの情報が保存されていたため、ルートサーバーには問い合わ

8. UNIX MAGAZINE 2006年1月号

図 9 O ID : 25334 OPCODE=O RET:O NAME:www. tf .0 TYPE=A R ニ 25334 OPCODE:O RET:D NAME:www.ietf.ore TYPE=A フォワーダーは再丿勺に問合せをおこなうをを AST [ 0 工 ye 町 = [ キャプチャデタく f 可物町 d ー n 上 nc 刃 = 。自方イルの偏集 ( 日表示 OØキャプチャ 0 モニタツール (I) 設定 0 ウインドウ迎ヘルプ ( 旦 ) フォワーダーが DNS サーバー ( LAN ) に返した応答斗圄印 . マ発信元アドレスマ受信先アドレスマプロトコルマサマリ「 1 DNS サ—'\—(LAN) 「 3 DNS#—}\—(LAN) 2 フォワーダー The Domain N 旧 System ldentification 日 ags Opcode AA TC RD RA Response 新能 Numbe 「 of 0uest i 0n5 f 0 rwa rd フォワーダー DNS DNS クライア、ノト DNS サーパーに AN ) ONS ( DNS ) 25334 0X8180 .000 0.. . 0000 日 ID : 56550 OPCODE:O RET:O NAME=www. i 社 f. 0 TYPE:A Y St.anda rd que ry Response Not レ unc 計 ed n - a 沚 hor 社計 ive answer Rect 」 rsion 観 & Ⅱ 6. b - Recu rsi on desi red NO DNS サーバ—(LAN) から再帰検索を要求されている。フォワーダー自体も再帰検 [ 3 / 4 ] 索が可能な設定 N) D ライザで解析した結果です。こちらからは、フォワーダーがインターネット上の DNS サーバーに問い合わせ、応答を受け取っていることが分かります。フォワーダーによる再帰検索こで注意してほしいのは、が、 LAN 側の DNS サーバーに毎回転送されることはあ 3. ietf.org の権限をもつ DNS サーバーへの問合せ 2.. 。 rg ドメインの権限をもつ DNS サーバーへの問合せ 1. ルートサーバーへの問合せト側の通信でおこなわれる、最終的な結果だけを返します。したがって、インターネッ索するためです。そして、 LAN 側の DNS サーバーにはーバーから ( 標準的な設定では ) 再帰的にドメイン名を検これは、フォワーダーは問合せを受け取ると、ルートサ問合せは 2 回おこなわれている点です。フォワーダーからインターネット上の DNS サーバーへのでは間合せと応答が 1 往復ずつしか発生していないのに・ DNS サーノヾー (LAN) とフォワーダーのあいだ・ DNS クライアントと DNS サーバー (LAN) のあいだ 72 りません。なお、図 8 ではルートサーバーへの問合せは発生していませんが、これはフォワーダーのキャッシュに.org の DNS サーバーの情報カ曵っていたためです。図 9 は、フォワーダーから LAN 側の DNS サーバーに返された応答の DNS ヘッダ部です。 FIags フィールドのうち、・ RD (Recursion Desired) フラグが 1 なので、 LAN 側の DNS サーバーから再帰検索を要求された・ RA (Recursion AvaiIabIe) フラグが 1 なので、フォワーダーは再帰検索が可能な設定になっている点からも、フォワーダーで再帰検索がおこなわれていることを確認できます。このように、フォワーダーは再帰検索が可能な設定で運用します。フォワーダーの再帰検索の禁止それでは、フォワーダーで再帰検索をおこなわないようにすると何か起きるのでしようか。 .org や ietf.org の権限をもつ DNS サーバーの情報が返されるのでしようか。それとも・・ 0 さきほど図 5 に示したネットワークで、フォワーダーの再帰検索を禁止する実験をしてみましよう。ます、フォワーダーの named. conf の options ステートメントに次の UNIX MAGAZ 工 NE 2006 . 1

9. UNIX MAGAZINE 2006年1月号

ク・ミニ実験室図 14 インターネット上の DNS サーバーをフォワーダーとして不する構成ネットワーインターネットフォワーダー LA N DNS クライアント op し土 ons forward only; forwarders { フォワーダーのアドレス・ DNS サーバ—(LAN) 192.168.1.2 転送図 15 フォワーダーか停止しているときに問し哈わせた結果 DNS サーバー ( LAN ) の旧アドレス $ date; d 土 9 : q192 .168 . 1 . 2 を www. 土 e し f . 0r9 ー date Mon NOV 14 0 0 : 16 : 5 4 JST 2 0 0 5 くく > > DiG 9 . 3 . 1 くく > > @192 . 16 8 . 1 . 2 www. 土 e し f . org 910ba1 options : printcmd connection timed ou し一 no servers : Mon Nov 14 0 0 : 17 : 0 4 JST 2 0 0 5 ↑ dig プログラムを実行してからタイムアウトで処理を諦めるまでに 10 秒待たされたサーバーに到達できなかった ( 工ラーが発生 ) こし時間がかかってしまいます。実際にどのくらい待っことになるのかは、 DNS クライアントしだいです。図 15 は、 dig プログラムの実行時間を測るために、その前後で date コマンドを実行し、時刻フォワーダーがイ亭止しているときの通信かかったことになります。なので、通信ができないという結果が返されるまでに 10 秒・終了時刻は 00 : 17 : 04 ・開始時刻は 00 : 16 : 54 この表示によると、を表示させています。 UNIX MAGAZINE 2006 . 1 ーバー (LAN) に問合せを再送し、応答を待ちます。 5 秒 ) 待っても応答がないので、 dig プログラムは DNS サーバー (LAN) に問い合わせます。しかし、しばらく ( 約ます、 dig プログラム ( DNS クライアント ) が DNS サい状況が分かります ( 図 16 ) 。 DNS の通信をバケットレベルで調べれば、さらに詳し問合せを受け取った DNS サーバー (LAN) は、それをフォワーダーに転送して応答を待ちます。しかし、も応を受け取れないので問合せを再送します。こちら 75 DNS サーバー (LAN) がインターネットに接続できていこのように、転送方式が、、 forward only" のときは、 forward first の重加乍ます。ネットワーク上をひっそり流れていた、という状況になりそのため、受け取るプログラムのない無駄な通信だけがめてプログラムを終了しています。 dig プログラムは 10 秒くらい待ったあと、早々に応答を諦でに 30 秒ほどかかっていることが分かります。しかし、アナライザの時間の表示をみると、全体の処理が終るまにエラーを返します。ォワーダーは応答しない " と判断して、 DNS クライアント合計 4 回発生し、最終的に DNS サーノヾー (LAN) が、、フ DNS サーバー (LAN) からフォワーダーへは問合せが

10. UNIX MAGAZINE 2006年1月号

図 5 フォワーダーの実験に使用するネットワーク構成 LAN ・インターネット第 DNS サーバー ( インターネット ) フォワーダー 192.168.1.2 DNS サーバ—(LAN) 192.168.10.1 DNS クライアント転送 options forward only; forwarders { 192 . 16 8 . 1 . 2 ー } ー図 6 フォワーダー経由での問合せ $ dig: @192 .168 . 10..1 ! www. ietf . 0r9 くく > > D iG 9 . 3 . 1 くく > > @192 . 16 8 . 10 . 1 www. i et f . org 910ba1 options : printcmd GO し answer: ->>HEADER<<- opcode : QUERY, status : NOERROR ′土 d : 5 6 5 5 0 flags : qr rd ra; QUERY: 1 ー ANSWER: 2 ′ AUTHOR 工 TY: 5 ′ ADD 工 TIONAL: O QUEST 工 ON SECT 工 ON: ;www . ietf . org . ANSWER SECT 工 ON : . www . 土 e し f . 0r9. www . ietf . 0r9. AUTHORITY SECTION : : 土 e し f .0r9. : 土 e に f .0r9. : 土 e し f . org . : 土 e に f . 0r9. ・土 e し f . 0r9. Query time : 310 msec S ERVER : 192 . 16 8 . 10 . 1 # 53 ( 19 2 . 16 8 . 10 . 1 ) WHEN : Sun Nov 13 19 : 4 6 : 2 2 2 0 0 5 MSG S 工 Z E rcvd : 18 7 DNS サーバー ( LAN ) の旧アドレス IN 3 6 0 0 3 6 0 0 65 ・ 246 ・ 255 ・ 51 ! 一応答が返された 132 . 151 . 6 . 75 3 6 0 0 3 6 0 0 3 6 0 0 3 6 0 0 3 6 0 0 ns . CNR 工 . Re s し on . VA . US . ns . 土 e し f .0r9. ns . handle . net . n S 2 . CW . . ns 01 . S S . し . ・・←権限をもっ DNS サーバーのリストするようにします。ターネット上の DNS サーバーに問い合わせていることが図 6 は、 DNS クライアントで dig プログラムを実行し確認できます。たときの様子です。 LAN 内の DNS サーバー ( 192.168. 次に、このときの LAN 側の通信と、インターネット側 10.1 ) に対して、インターネット上のホスト、、 www.ietf. の通信を調べてみましよう。 org" のアドレスを問い合わせたところ、応答が返されまし図 7 は、 LAN 側の通信をネットワーク・アナライザ 2 でた。したがって、 DNS の問合せに成功したことが分かります。権限をもっ DNS サーバーのリストをみても、イン 2 ASTEC Eyes on the net (http://www.asteceyes.com/ 70 UNIX MAGAZINE 2006. 1