BoF 名: DNSOPS.JP BoF 日 時: 2012年11月21日(水) 18:30-20:00 参加者: 約120名 - アジェンダ 1. DNSOPS.JP Update (JPIX 石田さん) 2. DNS Summer Days 2012 開催報告 (IIJ 山本さん) 3. DNS RFC系統図 (ハートビーツ 滝澤さん) 4. DNS Load balancerと俺 (Brocade 甲野さん) 5. DNSSECトラフィック解析 (NII 福田さん) 6. JPで見たIPv6クエリの動向 (JPRS 藤原さん) 7. BIND10 特徴・現状・予定 (ISC 神明さん) --------------------------------------------------------------------- DNS Summer Days 2012 開催報告(山本さん) --------------------------------------------------------------------- ■日時 2012年8月31日〜2012年9月1日にかけて開催 ■講演Archive ・中継アーカイブ公開 http://dnsops.ipcasting.jp/vod/ *注意* 音声とスライドの表示タイミングにずれがある箇所があるため、 確認のうえ気になった講演者の方は、レポートください。 ・toggeter 1日目:http://togetter.com/li/355555 2日目:http://togetter.com/li/365620 ■頂いた意見(スライドに書いてある事は割愛) ・難易度にギャップがある →事前調整不足による駆け込み依頼が原因か ■参加者数 (名刺を元にカウント) 1日目160名 2日目130名 ■アンケート結果 ・日程 金土という日程は厳しい がっつり2日したい 平日2日は厳しい チュートリアルは平日にしたい 会場の都合 ・チュートリアルの内容 内容とレベルの差が… 事前の調整不足です 次回の課題という事で ・参加のきっかけ →知人上司からの推奨 JANOGMLが多い ・運用者/非運用者 →運用している方が多い ・運用しているのは、権威/Cacheどちら? →権威・Cache両方が多い  アンケートは、内容を丸めてから公開する予定 ■次回開催 q.このイベントはまたやったほうがいい人は拍手。(石田) a.多数拍手 q.このイベントはまたやらないほうがいい人は拍手。(石田) a.→なし c.次回も開催する事で検討します。(石田) ■QA なし --------------------------------------------------------------------- DNS RFC系統図 (滝澤さん) --------------------------------------------------------------------- ■RFC系統図 c.まだ足りない部分があり作成途中(滝澤) ・表の見方 →A1の資料で、字が6ポイント 茶色い枠の中は、IPv6 赤色の枠の中はDNSSEC 青い線は、Updateがあるのもの。 細い線はリファレンス 184個のRFCを配置したが、送信ドメイン認証関係は独立していたので漏れていた。 ■QA(コメント募集) q.手作業で作ったのか。 a.手作業です。自動化ではうまくいかない。(滝澤) q.線は何本あるのか。 a.数えていない(滝澤) c.ページランクが有ると面白いかも q.1033〜1035以外だと、どこが多いか。 a.4033〜4035、2181が多い(滝澤) --------------------------------------------------------------------- DNS LoadBalances(甲野さん) --------------------------------------------------------------------- ■Load Balancerとは ・4つの基本機能 →付加分散機能 アドレス変換機能(MACとIP) ヘルスチェック セッション維持機能 ■ネットワーク構成 ・IN LINE構成 →行きも帰りもLoadBalancerを通る。 ・DSR構成 →ユーザからの受けはLoadBalancerを通り サーバーからはダイレクトにユーザに返す ・TOS Bit L3 DSR構成 ここ3年の話 クライアントからのパケットには何もしない LBからのパケットをフォワード(?) ■LB観点でのUDP DNSの特徴 ・制御flagが無い →エントリー削除が無いのでセッションテーブルがパンクする危険性がある ・UDP DNSはTransaction数が多い ■DNS処理の特徴 →従来クエリのresponseを処理した段階で、即座に コネクションテーブルを削除していたが、2007年ぐらいから、 IP Fragmentの処理を実装するベンダが増えてきた ■DNS Firewall →ここ2〜3年で要求がある。 Flagを見て、振りえ分け先を変更したり、Dropしたりする。 Rate limit をかけたりもできる。 ■DNSパケットの作り方 →wiresharkとhping3を利用 ■QA q.最近のLBは、DNSSEC対応しているのか? a.2007年以後にリリースされた機器は対応が完了している(甲野) --------------------------------------------------------------------- DNSSECトラフィック解析 (福田さん) --------------------------------------------------------------------- ■データセット ・データセット →JPDNSのクエリを、48時間TCP Dumpしたもの ・計測時期 →2011年6月、2011年12月、2012年4月に計測を実施 ■トラフィック内訳 →2011年6月、2012年4月の比較 DNSSECはちゃんと増えている IPアドレスベースでは、0.4%→1.1% AS単位で見ると、5.9%→11.1% ■DSクエリの傾向 →ほとんどのDSクエリは重複 有効なクエリは20〜30% ネガティブキャッシュ(15min)の影響 DSが登録されていないゾーンに対するネガティブキャッシュの影響では? ■DNSEC検証を行うホスト ・対象ホスト →リゾルバ側とクライアント側両方で検証 ・解析結果 70%が検証を行うキャッシュリゾルバと推計 DNSSECの10%程度がオープンリゾルバ 38-50%が実際に検証したクエリ ■国およびAS別推定リゾルバ数 ・図の説明 横軸=ホスト数 縦軸=バリデーション率 ・解析結果(国) jpは6割程度がバリデーションをしている。 se,czは8割以上がバリデーションをしている。 ・解析結果(AS) クエリを出しているが、バリデーションを行っていないASもある PublicなDNSを展開しているASがそうであるが、名前は出さない ■QA q.サーバの裏に隠れているホストはどのぐらい 加えて、どういう実装かがわかれば教えてほしい a.3割ぐらい DSを正直に聞きにくる場合はわかるが、詳しくしらべてはいない。 Unboundは聞きにこないが、BINDは聞きにくるので、 BINDが世の中を席巻している間は、調査する事ができるだろう。(福田) --------------------------------------------------------------------- JPで見たIPv6クエリの動向 (藤原さん) --------------------------------------------------------------------- ■A.DNS.JPで見たIPv6関連クエリ ・AAAAクエリ →2006年の5%から、2012年の15%まで、ほぼリニアに増加している ・IPv6クエリ →2006年の1%程度から、2012年の5%程度まで増加しているが、 増え方がリニアではない。 →全JPDNSの中での割り合いを見ても、IPv6は増加傾向になる。 ・IPv4クエリ →については、あまり変わらずに推移している。 ■QA q.上位の1000アドレスと上位40000アドレスの間には 何か関係があるのか? a.AS番号まで見ていないので、そこまでしらべてはいない。 調べてみると、関係があるように思える。 q.IPv6とIPv4を引くときに、経路の違いでクエリ数の増減があると 説明があったが、スライド4のグラフの黒い線が伸びている時期に、 OSがリリースされたといったイベントとの関連性はあるか? a.現在のところ不明。 ワームなどでクエリ数が増える事があるなど、エンドノードが増える 要因はあるが、調べてはいない。 --------------------------------------------------------------------- BIND10紹介 (神明さん) --------------------------------------------------------------------- ■BIND10の(目標とする)特徴 BIND10の目標とする特徴 モジュラリティ 1モジュールの不具合で主要サービスを止めない モジュール単位での自由なカスタマイズ 透明性の高いオペレーション サーバで何か不具合があった時に何が起こっているのかオペレータが解るようにしたい 個別IDのついた詳細logメッセージ APIを通じた内部情報へのアクセス 汎用C++/Python DNSライブラリ BIND10自身も使う モジュール化の話 権威サーバのクエリーをするだけのプロセス A/IXFRだけに答えるプロセスなど コアの部分にアクセスするプロセスと分離 例:DDNSサーバが落ちても通常クエリーの処理には影響しない 例:DDNSサーバに独自ACLを書き足して動作させる 個別ID付きlogメッセージ 識別子でgrepできる 詳細な説明をwebで検索できる 詳細説明の例: DBの中がおかしいなど説明が検索できる 汎用APIを利用してツールを作ってみた話の説明 ■マイルストン ・2ndαリリース →2012/11/15リリース[済] ・βリリース →2012/12 ・1stリリース →2013年初頭 ・2013年以降 →DBバックエンドサポート 性能改善 キャッシュサーバの開発 ■性能 ・権威サーバー →実用上十分な速さ ・キャッシュサーバ →できるだけ早く ■QA q.インストールが難しい。パッケージ化してほしい a.がんばります。 q.ライブラリの依存関係解消が大変である。 OS標準のライブラリを利用する際の推奨情報はないか。 a.情報は公開されているが、不十分であることは認識している。 ---------------------------------------------------------------------