広告
広告
https://www.7key.jp/rfc/rfc4074.html#sourcehttps://www.7key.jp/rfc/rfc4074.html#translationThis memo provides information for the Internet community. It does not specify an Internet standard of any kind. Distribution of this memo is unlimited.
当文書はインターネットコミュニティに役立つであろう情報を提供するものであり、これによって標準的なインターネット像をでっちあげようとするものではない。また、当メモは配布に関しての制限を設けていない。
Copyright (C) The Internet Society (2005).
There is some known misbehavior of DNS authoritative servers when they are queried for AAAA resource records. Such behavior can block IPv4 communication that should actually be available, cause a significant delay in name resolution, or even make a denial of service attack. This memo describes details of known cases and discusses their effects.
AAAAリソースレコードを問い合わせる際、情報提供DNSサーバにはいくつかの既知の不正行為がある。このような行為は、現実に利用可能なIPv4コミュニケーションを阻むことができ、名前解決の重要な遅れの原因となり、サービス妨害攻撃をさせることとなる。当メモは既知のケースの細部について触れ、それらの効果について論ずるものである。
Many existing DNS clients (resolvers) that support IPv6 first search for AAAA Resource Records (RRs) of a target host name, and then for A RRs of the same name. This fallback mechanism is based on the DNS specifications, which if not obeyed by authoritative servers, can produce unpleasant results. In some cases, for example, a web browser fails to connect to a web server it could otherwise reach. In the following sections, this memo describes some typical cases of such misbehavior and its (bad) effects.
IPv6をサポートする多くの既存DNSクライアント(リゾルバ)はまず目標ホスト名のAAAAリソースレコード(RR)を探し、次に同名のAリソースレコードを探す。この代替メカニズムはDNSの仕様に基づき、これは情報提供サーバによってなされなければ思い掛けない結果を引き起こすこととなる。場合によっては、例えばWebブラウザが到達可能なWebサーバへの接続に失敗することとなる。以降の章で、当メモはこのような不正行為の典型的な場合やその(悪)影響について触れることとする。
Note that the misbehavior is not specific to AAAA RRs. In fact, all known examples also apply to the cases of queries for MX, NS, and SOA RRs. The authors believe this can be generalized for all types of queries other than those for A RRs. In this memo, however, we concentrate on the case for AAAA queries, since the problem is particularly severe for resolvers that support IPv6, which thus affects many end users. Resolvers at end users normally send A and/or AAAA queries only, so the problem for the other cases is relatively minor.
不正行為はAAAAリソースレコード固有のものではないことに注意が必要である。事実、全ての既知の例はMXとNS、SOAリソースレコードにも該当する。これはAリソースレコード以外の全てのタイプのクエリで一般的なことであるはずだ。しかし、この問題がIPv6をサポートするリゾルバに特に問題を与え、多くのエンドユーザに影響を与えるとの理由から、当メモはAAAAクエリに焦点をしぼる。エンドユーザにおけるリゾルバは、A及び/又はAAAAクエリのみを通常送信するので、他の問題は比較的稀である。
In this memo, we assume a typical network model of name resolution environment using DNS. It consists of three components: stub resolvers, caching servers, and authoritative servers. A stub resolver issues a recursive query to a caching server, which then handles the entire name resolution procedure recursively. The caching server caches the result of the query and sends the result to the stub resolver. The authoritative servers respond to queries for names for which they have the authority, normally in a non-recursive manner.
当メモにおいて、DNSで用いる名前解決環境の典型的なネットワークモデルを想定する。これは、スタッブリゾルバ、キャッシュサーバ、情報提供サーバの3つの要素から成り立つ。スタッブリゾルバはキャッシュサーバに再帰クエリを送信し、キャッシュサーバは全ての名前解決手順を再帰的に処理する。キャッシュサーバは、クエリの結果をキャッシュ氏、スタッブリゾルバに結果を送信する。情報提供サーバは、非再帰的な方法で権限の有無を確認してクエリに対する応答を行う。
Suppose that an authoritative server has an A RR but has no AAAA RR for a host name. Then, the server should return a response to a query for an AAAA RR of the name with the response code (RCODE) being 0 (indicating no error) and with an empty answer section (see Sections 4.3.2 and 6.2.4 of [1]). Such a response indicates that there is at least one RR of a different type than AAAA for the queried name, and the stub resolver can then look for A RRs.
情報提供サーバが、ホスト名に対してAリソースレコードを持つがAAAAリソースレコードは持たないとする。そのとき、サーバはAAAAリソースレコードクエリに対して応答コード(RCODE)が0(エラーなし)で且つ回答部分が空の応答を返すべきである([1]の4.3.2及び6.2.4章を参照)。このような応答は紹介された名前に対し少なくとも1つのAAAAとは異なるタイプのリソースレコードがあることを示し、スタッブリゾルバはA資源レコードを探すこともある。
This way, the caching server can cache the fact that the queried name has no AAAA RR (but may have other types of RRs), and thus improve the response time to further queries for an AAAA RR of the name.
以上のような方法で、キャッシュサーバは紹介された名前がAAAAリソースレコードを持たない(他のタイプのリソースレコードは持つかもしれない)との事実をキャッシュすることができ、従ってその名前のAAAAリソースレコードに対するクエリの応答時間を短縮することができる。
There are some known cases at authoritative servers that do not conform to the expected behavior. This section describes those problematic cases.
情報提供サーバには、期待される処理に反するいくつかの既知の事例がある。この章ではその問題の事例について触れる。
Some authoritative servers seem to ignore queries for an AAAA RR, causing a delay at the stub resolver to fall back to a query for an A RR. This behavior may cause a fatal timeout at the resolver or at the application that calls the resolver. Even if the resolver eventually falls back, the result can be an unacceptable delay for the application user, especially with interactive applications like web browsing.
ある情報提供サーバがAAAAリソースレコードに対するクエリを無視し、結果スタッブリゾルバのAリソースレコードに対するクエリの遅延を引き起こすことが想定される。この行為は、リゾルバやリゾルバを呼び出すアプリケーションで致命的なタイムアウトを引き起こすかもしれない。例えば、リゾルバが結局は問い合わせをするにせよ、特にWebの閲覧のような対話型アプリケーションにおいてアプリケーションユーザにとって我慢できない遅延を引き起こすことになりかねない。
This type of server returns a response with RCODE 3 ("Name Error") to
a query for an AAAA RR, indicating that it does not have any RRs of
any type for the queried name.
サーバのこのタイプは、紹介された名前にどんなタイプのリソースレコードもないことを示すために、AAAAリソースレコードに対するクエリにRCODE 3("名前エラー")を持つ応答を返す。
With this response, the stub resolver may immediately give up and never fall back. Even if the resolver retries with a query for an A RR, the negative response for the name has been cached in the caching server, and the caching server will simply return the negative response. As a result, the stub resolver considers this to be a fatal error in name resolution.
この応答によって、スタッブリゾルバは直ちに諦め、Aリソースレコードを探さないだろう。例えリゾルバがAリソースレコードに対するクエリを繰り返しても、キャッシュサーバに名前の否定応答がキャッシュされ、キャッシュサーバは単に否定応答を返すだろう。その結果、スタッブリゾルバはこれを名前解決の致命的なエラーとみなす。
Several examples of this behavior are known to the authors. As of this writing, all have been fixed.
著者はこれらのいくつかの例を知っているが、執筆時点で全て改善された。
Other authoritative servers return a response with erroneous response
codes other than RCODE 3 ("Name Error"). One such RCODE is 4 ("Not
Implemented"), indicating that the servers do not support the
requested type of query.
他の情報提供サーバは、RCODE 3("名前エラー")以外のエラーレスポンスコードをもつ応答を返す。そのようなRCODEの1つが、RCODE 4("未実装")であり、サーバがクエリによって求められるタイプをサポートしていないことを示すものである。
These cases are less harmful than the previous one; if the stub resolver falls back to querying for an A RR, the caching server will process the query correctly and return an appropriate response.
この場合は前の場合ほど有害ではない。スタッブリゾルバがAリソースレコードのクエリに頼る場合、キャッシュサーバはクエリを正確に処理し、適切な応答を返すだろう。
However, these can still cause a serious effect. There was an
authoritative server implementation that returned RCODE 2 ("Server
failure") to queries for AAAA RRs. One widely deployed mail server
implementation with a certain type of resolver library interpreted
this result as an indication of retry and did not fall back to
queries for A RRs, causing message delivery failure.
ただし、それ以外にも重大な結果を引き起こすことがあり得る。AAAAリソースレコードのクエリにRCODE 2("サーバミス")を返す情報提供サーバの実装がある。あるタイプのリゾルバライブラリを持つの広く普及したしたメールサーバの実装は、クエリを再送すべきであるとこの結果を解釈し、A リソースレコードクエリを送信せず、その結果メッセージ配達失敗となる。
If the caching server receives a response with these response codes, it does not cache the fact that the queried name has no AAAA RR, resulting in redundant queries for AAAA RRs in the future. The behavior will waste network bandwidth and increase the load of the authoritative server.
キャッシュサーバがこれらの応答コードで応答を受け取る場合、紹介された名前にAAAAリソースレコードがないとの事実をキャッシュせず、その結果この先も不必要なAAAAリソースレコードの問い合わせがなされることとなります。この処理はネットワーク帯域を浪費し、情報提供サーバの負荷を増やすこととなる。
Using RCODE 1 ("Format error") would cause a similar effect, though
the authors have not seen such implementations yet.
著者はそのような実装を知らないが、RCODE 1("フォーマットエラー")は同様の効果を引き起こすだろう。
Another type of authoritative servers returns broken responses to AAAA queries. Returning a response whose RR type is AAAA with the length of the RDATA being 4 bytes is a known behavior of this category. The 4-byte data looks like the IPv4 address of the queried host name.
別のタイプの情報提供サーバは、AAAAクエリに不正な応答を返す。RDATA長が4バイトでリソースレコードタイプがAAAAの応答がこの種の既知の処理となる。4バイトのデータは、紹介されたホスト名のIPv4アドレスのようにみられる。
That is, the RR in the answer section would be described as follows:
www.bad.example. 600 IN AAAA 192.0.2.1
which is, of course, bogus (or at least meaningless).
つまり、回答部分のリソースレコードは以下のように既述されるだろう:(例は略/原文参照)。これはもちろん偽者(もしくは少なくとも無意味)である。
A widely deployed caching server implementation transparently returns
the broken response (and caches it) to the stub resolver. Another
known server implementation parses the response by itself, and sends
a separate response with RCODE 2 ("Server failure").
広く普及したキャッシュサーバ実装は、スタブリゾルバに不正な応答を透過的に返す(そしてそれをキャッシュする)。他の既知のサーバ実装は自身で応答を解析し、RCODE 2("サーバ障害")を持つそれぞれの応答を送信する。
In either case, the broken response does not affect queries for an A RR of the same name. If the stub resolver falls back to A queries, it will get an appropriate response.
どちらの場合であっても、不正な応答は同じ名前のAリソースレコードのクエリに影響を与えない。スタブリゾルバがAクエリを行えば、適切な応答を受け取るだろう。
The latter case, however, causes the same bad effect as that described in the previous section: redundant queries for AAAA RRs.
ただし後者は、前章で触れたAAAAリソースレコードの重複クエリと同様の悪影響を及ぼすこととなる。
Some authoritative servers respond to AAAA queries in a way that causes lame delegation. In this case, the parent zone specifies that the authoritative server should have the authority of a zone, but the server should not return an authoritative response for AAAA queries within the zone (i.e., the AA bit in the response is not set). On the other hand, the authoritative server returns an authoritative response for A queries.
情報提供サーバの中には、不十分な委任を引き起こす方法でAAAAクエリに応答するものがある。この場合、親ゾーンは情報提供サーバが正式なゾーンを持つべきであると定義するが、サーバはそのゾーン内のAAAAクエリに正式な応答を返さない(つまり、応答のAAビットは設定されない)。一方、情報提供サーバはAクエリに正式な応答を返す。
When a caching server asks the server for AAAA RRs in the zone, it
recognizes the delegation is lame, and returns a response with RCODE
2 ("Server failure") to the stub resolver.
キャッシュサーバがこのゾーンのAAAAリソースレコードのためのサーバを問い合わせる際、委任の不具合を確認し、スタブリゾルバにRCODE 2("サーバ障害")応答を返す。
Furthermore, some caching servers record the authoritative server as lame for the zone and will not use it for a certain period of time. With this type of caching server, even if the stub resolver falls back to querying for an A RR, the caching server will simply return a response with RCODE 2, since all the servers are known to be "lame."
更に、キャッシュサーバの中には情報提供サーバの不十分なゾーンを記録し、一定期間それを用いないものもある。この種のキャッシュサーバは、例えスタブリゾルバがAリソースレコードを問い合わせても、全てのサーバが不十分であることが判っているためにRCODE 2の応答を単に返すだろう。
There is also an implementation that relaxes the behavior a little bit. It tries to avoid using the lame server, but continues to try it as a last resort. With this type of caching server, the stub resolver will get a correct response if it falls back after Server failure. However, this still causes redundant AAAA queries, as explained in the previous sections.
多少処理を緩和する実装もある。それは不十分なサーバの使用を避けようとし、最後の手段として用いようとするものである。この手のキャッシュサーバでは、サーバ障害が起きてもスタブリゾルバは正しい結果を受信するだろう。しかし、これは前章で説明をしたような不必要なAAAAクエリを引き起こすこととなる。
The CERT/CC pointed out that the response with RCODE 3 ("Name
Error"), described in Section 4.2, can be used for a denial of
service attack [2]. The same argument applies to the case of "lame
delegation", described in Section 4.5, with a certain type of caching
server.
CERT/CCは、4.2章で触れられたRCODE 3を持つ応答がサービス不能攻撃に用いられると指摘された[2]。同様の議論は、あるタイプのキャッシュサーバをもつ、4.5章で触れられた"不十分な委任"の場合に当てはまる。
Erik Nordmark encouraged the authors to publish this document as an RFC. Akira Kato and Paul Vixie reviewed a preliminary version of this document. Pekka Savola carefully reviewed a previous version and provided detailed comments. Bill Fenner, Scott Hollenbeck, Thomas Narten, and Alex Zinin reviewed and helped improve the document at the last stage for publication.
Erik Nordmark氏は、著者にRFCとしてこの文書を公開するよう勧めてくれた。Akira Kato氏とPaul Vixie氏には当文書の初期版をレビュー頂いた。Pekka Savola氏には初期版の詳細なレビューを頂き、更に詳細なコメントを頂いた。Bill Fenner氏、Scott Hollenbeck氏、Thomas Narten氏、Alex Zinin氏には、公開の最終段階で文章のレビュー及び検討を頂いた。
[1] Mockapetris, P., "Domain names - concepts and facilities", STD
13, RFC 1034, November 1987.
[2] The CERT Coordination Center, "Incorrect NXDOMAIN responses from
AAAA queries could cause denial-of-service conditions",
March 2003, <http://www.kb.cert.org/vuls/id/714121>.
MORISHITA Orange Yasuhiro Research and Development Department, Japan Registry Services Co.,Ltd. Chiyoda First Bldg. East 13F, 3-8-1 Nishi-Kanda Chiyoda-ku, Tokyo 101-0065 Japan EMail: yasuhiro@jprs.co.jp JINMEI Tatuya Corporate Research & Development Center, Toshiba Corporation 1 Komukai Toshiba-cho, Saiwai-ku Kawasaki-shi, Kanagawa 212-8582 Japan EMail: jinmei@isl.rdc.toshiba.co.jp
Copyright (C) The Internet Society (2005).
This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.
当文書はBCP78で触れられている権利と許可と制限の適用を受け、文書中で明らかにされている個所を除いて著者が全ての権利を維持する。
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
当文書及び文書内の情報は無保証で提供され、寄稿者、寄稿者が代表となる組織、もしあれば寄稿者を後援する組織、インターネット学会及びIETFは、当文書がいかなる権利も侵害していないという保証、商業利用や特定目的に対する適合性への保証、更にはこれらに限らずあらゆる保証について明示的にも暗黙的にも保証をしていない。
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.
IETFは当文書で提供する技術の実装や他の技術の使用に対して主張される知的所有権、その他の権利や効力または適用範囲、更にそれらの権利に基づく全てのライセンスが利用可能であるか否かについては一切関与をしない。これらに関して全ての権利が明確となるよう調査が行われているわけではない。文書の権利に関るIETFの手続きについてはBCP78とBCP79で閲覧可能である。
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
IETFによるIPR開示情報のコピーや利用可能なライセンスの保証、本仕様の実装者やユーザがそれらの一般ライセンスや使用許諾を得るための手順は、IETFのオンラインIPRレポジトリから入手可能である。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.
IETFは本標準を実装するために必要な技術に関する著作権、特許、特許出願、その他の知的所有権への指摘を歓迎する。その折は、ietf-ipr@ietf.org まで情報をお寄せ頂きたい。
Funding for the RFC Editor function is currently provided by the Internet Society.
RFC編集者の職務に対する資金供給は、現在インターネット学会から提供されている。
広告