ここはちょっと見せられない

ぜったいぜったい見せられない

まっちゃ139勉強会「DNS初学者ガイド」「崩れゆく砂山DNS」聞いてきた

まっちゃ139に参加してきました。

浸透いうな先生のお話をどうしても直接聞きたいという夢(?)がようやく叶いました。

私はWEBサイト製作の視点からしかものを語ることはできないけど、私なりの感想や今までふつふつと思っていたことを記録として残しておこうと思います。
勉強会の記録は、togetterがあるので見ると良いと思います。
なのでここには書きません。
http://togetter.com/li/408532

技術的な事に関してはインフラ素人の私ではとても記録を残せるようなものではありません。先生たちやそのほか沢山の技術者は、間違いの拡散は害悪でしかないとおっしゃいますし私もそう思いますので、興味のある方は、

鈴木先生が様々な技術情報を残していらっしゃる e-ontap.com
JPRS森下さんの「実践DNS」書籍
umqさんや滝沢さんの資料
その他もろもろの勉強会資料やRFC
そして前野先生の qmail.jp

・・・で見ていただくのが一番早道でお勧めです。日本語なので安心です。
あえてリンクも貼りません。ググってみればよいと思います。


なにせ私はWEBサイト製作に関わる身。この業界に入ってからサイト移転をする度にDNSと対峙せざるを得ませんでした。サイト移転は出来て当然。失敗するとひどく怒られます。

お叱りを受ける理由の一つにメールがあります。
DNSを変更して一番企業活動にダメージを与えるのが、メールを受け取れなくなる事態です。
信頼を売りにする零細企業では、HPが見えなくなることで顧客まで失ってしまうと言われます。


そのような世界観の中で、レジストリレジストラも仕組みも分からない全くの素人から、浸透いうな先生にお会いできるまで10年を越える時間がかかりました。かかっちゃったんです、かかっちゃったものはしょうがない。

WEB製作業界からここにたどり着けたのは結構な幸運かもと思っていますがまあそれは個人の感想なので(ry



鈴木先生Twitterで活動していらっしゃる「浸透いうなの会」の布教活動(?)は今もなお続いていますので、DNSの仕組みに苦しんでいる方はまだまだ多そうです。

もし「浸透いうな」ってreplyが来たら、おめでとうございます。
迷わずみんな浸透いうなの会に入りましょう。


さて。DNSってなんなんでしょう。



@umq さんの初学者ガイドでも、一口にDNSといっても様々な種類があるということから始まりました。
自分が話しているDNSとはどのDNSか、まずはその違いから知るのが良さそうです。

様々な人が「浸透遅い」言っている根っこは、自分が利用しているキャッシュDNSサーバに名前を引いた結果を(ネガティブ含め)キャッシュされている状態ですね。


こんなに簡単な仕組みなのに、って言われたことがあります。

確かにそうです。仕組み自体は簡単。一度誰かがそのキャッシュDNSサーバで名前をひいたらゾーンに指定された秒数だけ覚えていてくれる。
たったそれだけです。
消えるまで待てばいいんです。座して待て。
自分が普段使っているキャッシュDNS再帰せずに問い合わせれば(dig +norec)、あとどれくらい待てばいいか分かります。
(注:BIND だと +norec で調べられますが、dnscache だとRDフラグがついていないから教えてくれないということでした。だからといってBINDの方がいいというわけではありません。https://twitter.com/tss_ontap/status/270687698598100992 先生の指摘より。あ、Protectedだった。まあいいや。)

切り替えてTTL過ぎたのにまだ情報が古い?
NSレコードのTTLも確認してみましょう。
それでも古い?じゃあ直接権威に聞きましょう。古い権威と新しい権威両方確認できますから。直接権威を指定して聞けばキャッシュされません。権威に聞くか、キャッシュDNSサーバに聞くかどちらかしかありません。(どちらかしかないってことないか。自分の etc/hosts に書いてやればいいんだし)

ホスティングの会社が「浸透をお待ちください」って言ったら迷わず言いましょう。
浸透いうな!って。(言ってやった!)

だがしかし。その簡単な仕組みゆえの脆弱な部分や鶏玉問題は私には難しくてわかりませんし書けません。先生のお話の大部分はそれです。ガバナンスの欠如という言葉は重い。


利用者は、google.com とURL欄に出れば、そのサイトはGoogleだと信じています。
この信頼関係はいつから生まれたのでしょう。
きっとおなじみの検索キーワード入力欄と、たまに変わるタイトル画像を見て、疑うことなくみんな日々使っています。

おそらくドメインとの間を取り持ってくれている、キャッシュDNSサーバのことを利用者は意識していません。そのキャッシュDNSサーバ、どんな運用してるのかなんて、運用元しかしりません。すべては、この運用元を全面的に信用するしかないのです。

信用できない人、もしくは、フィルタリングが嫌いな人は、自分のPCに自分でインストールして使っているようです。それだけで他人の運用するキャッシュDNSサーバから解放されます。どんなサイトでも見放題です。
そういう人も多そうです。

はたして私が使っているキャッシュDNSサーバは大丈夫なのでしょうか。ちゃんとセキュリティアップグレードは行われているのでしょうか。権威DNSサーバと兼用されていないでしょうか。オープンリゾルバになっていないでしょうか。

今自分がURLに入れたドメインは、既にキャッシュされていた結果でしょうか。それとも、たった今権威から聞いていた結果でしょうか。
それを私は確認できるでしょうか。
確認できることもあれば、できないこともありそうです。
キャッシュ怖い。


ここはやはり、自分で確認する術を持っていた方が多少は安心です。

そういえば今から見ようと思っているドメインは誰が握っているのでしょうか。親の顔(?)を見てみたいところです。NS親子関係の旅に出てみると結構これが楽しい。

とりあえず順番にwhoisとdigなどのツールで順番にたどって調べてみましょう。


whois に載っているNSレコード
ルートDNSサーバに登録されているNSレコード
NSレコードにあるドメインが違うなら、その親ドメインwhois情報
ドメインwhoisのNSレコード
ルートDNSサーバに登録されている親ドメインのNSレコード
ドメインのNSレコードにあるドメインが違うなら、その親親ドメインwhois情報



(あれっ?いつまで続くの?)


きりがない場合がありますが、実際に調べる際には、そんなに時間はかかりませんので、やってみると良いと思います。

いくらでも調べていいんです。だって個人情報じゃないから。
全世界に公開していますし、そのドメインがどこのサーバーで運用されているか大体わかります。
大事なのはまずは自分でツールを使って調べること。
そうすると。世の中が崩壊してるところが少し見えるようになるかも。
もれなく、なんだこれは!?って思えるようになるかもしれません。
多分そこが入り口だと思います。



勉強会中に森下さんが、dig の最後の g はエロ爺という意味だと遠くから教えてくれました。
https://twitter.com/OrangeMorishita/status/269668239271940096

さあみんなエロ爺になって、NSストーカーやりましょう。



勉強会とは関係のないこともぐだぐだ書きましたが、まあいいよね。


鈴木先生、umqさん、まっちゃ139関係者の皆々様。
遠方から #matcha139 で情報を教えてくださった皆様。
どうもありがとうございました!

懇親会、先生の隣独占してすみませんでしたm(_ _)m


前野先生、ブロック解除してほしいです。。。


追記。他の方の記録など。
http://reonreon3reon.hatenablog.com/entry/2012/11/18/222252
http://twingo-b.github.com/blog/2012/11/18/matcha139-25th/

追記2。
@umq さんの初学者ガイド
http://www.slideshare.net/umq_876/dns-primer
matcha139 勉強会 第25回
http://matcha139.hiemalis.org/hiki/?matcha139-25th