[要約] RFC 8109は、DNSリゾルバを初期化するためのプライミングクエリに関する仕様です。目的は、リゾルバが正確な情報を取得し、信頼性の高いDNSサービスを提供するために、初期化プロセスを改善することです。
Internet Engineering Task Force (IETF) P. Koch Request for Comments: 8109 DENIC eG BCP: 209 M. Larson Category: Best Current Practice P. Hoffman ISSN: 2070-1721 ICANN March 2017
Initializing a DNS Resolver with Priming Queries
プライミングクエリを使用したDNSリゾルバーの初期化
Abstract
概要
This document describes the queries that a DNS resolver should emit to initialize its cache. The result is that the resolver gets both a current NS Resource Record Set (RRset) for the root zone and the necessary address information for reaching the root servers.
このドキュメントでは、DNSリゾルバーがキャッシュを初期化するために発行する必要があるクエリについて説明します。その結果、リゾルバーは、ルートゾーンの現在のNSリソースレコードセット(RRset)と、ルートサーバーに到達するために必要なアドレス情報の両方を取得します。
Status of This Memo
本文書の状態
This memo documents an Internet Best Current Practice.
このメモは、インターネットの現在のベストプラクティスを文書化したものです。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Further information on BCPs is available in Section 2 of RFC 7841.
このドキュメントは、IETF(Internet Engineering Task Force)の製品です。これは、IETFコミュニティのコンセンサスを表しています。公開レビューを受け、インターネットエンジニアリングステアリンググループ(IESG)による公開が承認されました。 BCPの詳細については、RFC 7841のセクション2をご覧ください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc8109.
このドキュメントの現在のステータス、エラータ、およびフィードバックの提供方法に関する情報は、http://www.rfc-editor.org/info/rfc8109で入手できます。
Copyright Notice
著作権表示
Copyright (c) 2017 IETF Trust and the persons identified as the document authors. All rights reserved.
Copyright(c)2017 IETF Trustおよびドキュメントの作成者として識別された人物。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.
この文書は、BCP 78およびこの文書の発行日に有効なIETF文書に関するIETFトラストの法的規定(http://trustee.ietf.org/license-info)の対象となります。これらのドキュメントは、このドキュメントに関するあなたの権利と制限を説明しているため、注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、Trust Legal Provisionsのセクション4.eに記載されているSimplified BSD Licenseのテキストが含まれている必要があり、Simplified BSD Licenseに記載されているように保証なしで提供されます。
Table of Contents
目次
1. Introduction ....................................................2 2. Description of Priming ..........................................3 3. Priming Queries .................................................3 3.1. Repeating Priming Queries ..................................4 3.2. Target Selection ...........................................4 3.3. DNSSEC with Priming Queries ................................4 4. Priming Responses ...............................................5 4.1. Expected Properties of the Priming Response ................5 4.2. Completeness of the Response ...............................5 5. Security Considerations .........................................6 6. IANA Considerations .............................................6 7. Normative References ............................................6 Acknowledgements ...................................................7 Authors' Addresses .................................................7
Recursive DNS resolvers need a starting point to resolve queries. [RFC1034] describes a common scenario for recursive resolvers: they begin with an empty cache and some configuration for finding the names and addresses of the DNS root servers. [RFC1034] describes that configuration as a list of servers that will give authoritative answers to queries about the root. This has become a common implementation choice for recursive resolvers, and is the topic of this document.
再帰DNSリゾルバーには、クエリを解決するための開始点が必要です。 [RFC1034]は、再帰リゾルバの一般的なシナリオを説明しています。それらは、空のキャッシュと、DNSルートサーバーの名前とアドレスを見つけるためのいくつかの構成から始まります。 [RFC1034]は、その構成を、ルートに関するクエリに対して信頼できる回答を提供するサーバーのリストとして説明しています。これは、再帰リゾルバの一般的な実装の選択肢になっており、このドキュメントのトピックです。
This document describes the steps needed for this common implementation choice. Note that this is not the only way to start a recursive name server with an empty cache, but it is the only one described in [RFC1034]. Some implementers have chosen other directions, some of which work well and others of which fail (sometimes disastrously) under different conditions. For example, an implementation that only gets the addresses of the root name servers from configuration, not from the DNS as described in this document, will have stale data that could cause slower resolution.
このドキュメントでは、この一般的な実装の選択に必要な手順について説明します。これは、空のキャッシュで再帰的なネームサーバーを起動する唯一の方法ではありませんが、[RFC1034]で説明されている唯一の方法であることに注意してください。一部の実装者は他の方向を選択しました。それらのいくつかはうまく機能し、他のものは異なる条件下で(時には悲惨なことに)失敗します。たとえば、このドキュメントで説明されているようにDNSからではなく、構成からルートネームサーバーのアドレスのみを取得する実装では、データが古くなり、解決が遅くなる可能性があります。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in [RFC2119].
このドキュメントのキーワード「MUST」、「MUST NOT」、「REQUIRED」、「SHALL」、「SHALL NOT」、「SHOULD」、「SHOULD NOT」、「RECOMMENDED」、「MAY」、および「OPTIONAL」は、 [RFC2119]で説明されているように解釈されます。
This document only deals with recursive name servers (recursive resolvers, resolvers) for the IN class.
このドキュメントでは、INクラスの再帰ネームサーバー(再帰リゾルバー、リゾルバー)のみを扱います。
Priming is the act of finding the list of root servers from a configuration that lists some or all of the purported IP addresses of some or all of those root servers. A recursive resolver starts with no information about the root servers, and ends up with a list of their names and their addresses.
プライミングとは、ルートサーバーの一部またはすべての一部またはすべてのIPアドレスのリストを含む構成からルートサーバーのリストを見つけることです。再帰リゾルバは、ルートサーバーに関する情報なしで始まり、名前とアドレスのリストで終わります。
Priming is described in Sections 5.3.2 and 5.3.3 of [RFC1034]. The scenario used in that description, that of a recursive server that is also authoritative, is no longer as common.
プライミングについては、[RFC1034]のセクション5.3.2および5.3.3で説明されています。その説明で使用されているシナリオ、つまり信頼できる再帰サーバーのシナリオは、もはや一般的ではありません。
The configured list of IP addresses for the root servers usually comes from the vendor or distributor of the recursive server software. This list is usually correct and complete when shipped, but may become out of date over time.
ルートサーバー用に構成されたIPアドレスのリストは、通常、再帰サーバーソフトウェアのベンダーまたはディストリビューターから提供されます。このリストは通常、出荷時に正確で完全ですが、時間の経過とともに古くなる可能性があります。
The list of root server operators and the domain name associated with each one has been stable since 1997. However, there are address changes for the root server domain names, both for IPv4 and IPv6 addresses. However, research shows that after those addresses change, some resolvers never get the new addresses. Therefore, it is important that resolvers be able to cope with change, even without relying upon configuration updates to be applied by their operator. Root server change is the main reason that resolvers need to do priming instead of just going from a configured list to get a full and accurate list of root servers.
ルートサーバーオペレーターのリストとそれぞれに関連付けられたドメイン名は1997年から安定しています。ただし、ルートサーバーのドメイン名には、IPv4アドレスとIPv6アドレスの両方でアドレスの変更があります。ただし、調査によると、これらのアドレスが変更された後、一部のリゾルバーは新しいアドレスを取得できません。したがって、オペレーターが適用する構成の更新に依存せずに、リゾルバーが変更に対処できることが重要です。ルートサーバーの変更は、ルートサーバーの完全で正確なリストを取得するために、構成済みのリストから移動するのではなく、リゾルバーがプライミングを行う必要がある主な理由です。
A priming query is a DNS query used to get the root server information in a resolver. It has a QNAME of "." and a QTYPE of NS, and is sent to one of the addresses in the configuration for the recursive resolver. The priming query can be sent over either UDP or TCP. If the query is sent over UDP, the source port SHOULD be randomly selected (see [RFC5452]). The Recursion Desired (RD) bit MAY be set to 0 or 1, although the meaning of it being set to 1 is undefined for priming queries.
プライミングクエリは、リゾルバでルートサーバー情報を取得するために使用されるDNSクエリです。 QNAMEは "。"です。 NSのQTYPEであり、再帰リゾルバーの構成内のアドレスの1つに送信されます。プライミングクエリは、UDPまたはTCPを介して送信できます。クエリがUDP経由で送信される場合、送信元ポートはランダムに選択される必要があります([RFC5452]を参照)。 Recursion Desired(RD)ビットは0または1に設定される場合がありますが、1に設定される意味はクエリのプライミングでは定義されていません。
The recursive resolver SHOULD use EDNS(0) [RFC6891] for priming queries and SHOULD announce and handle a reassembly size of at least 1024 octets [RFC3226]. Doing so allows responses that cover the size of a full priming response (see Section 4.2) for the current set of root servers. See Section 3.3 for discussion of setting the DNSSEC OK (DO) bit (defined in [RFC4033]).
再帰リゾルバは、クエリのプライミングにEDNS(0)[RFC6891]を使用する必要があり(SHOULD)、少なくとも1024オクテットの再構成サイズを通知して処理する必要があります[RFC3226]。そうすることで、ルートサーバーの現在のセットに対する完全なプライミング応答(4.2項を参照)のサイズをカバーする応答が可能になります。 DNSSEC OK(DO)ビット([RFC4033]で定義)の設定については、セクション3.3を参照してください。
The recursive resolver SHOULD send a priming query only when it is needed, such as when the resolver starts with an empty cache and when the NS RRset for the root zone has expired. Because the NS records for the root are not special, the recursive resolver expires those NS records according to their TTL values. (Note that a recursive resolver MAY pre-fetch the NS RRset before it expires.)
再帰リゾルバは、リゾルバが空のキャッシュで開始したときや、ルートゾーンのNS RRsetが期限切れになったときなど、必要なときにのみプライミングクエリを送信する必要があります(SHOULD)。ルートのNSレコードは特別ではないため、再帰リゾルバはそれらのNSレコードをTTL値に従って期限切れにします。 (再帰リゾルバは、期限切れになる前にNS RRsetをプリフェッチしてもよいことに注意してください。)
If a priming query does not get a response, the recursive resolver needs to retry the query with a different target address from the configuration.
プライミングクエリが応答を取得しない場合、再帰リゾルバは構成とは異なるターゲットアドレスでクエリを再試行する必要があります。
In order to spread the load across all the root server domain names, the recursive resolver SHOULD select the target for a priming query randomly from the list of addresses. The recursive resolver might choose either IPv4 or IPv6 addresses based on its knowledge of whether the system on which it is running has adequate connectivity on either type of address.
すべてのルートサーバードメイン名に負荷を分散するために、再帰リゾルバーは、プライミングクエリのターゲットをアドレスのリストからランダムに選択する必要があります(SHOULD)。再帰リゾルバーは、それが実行されているシステムがどちらのタイプのアドレスにも適切な接続を持っているかどうかの知識に基づいて、IPv4またはIPv6アドレスを選択する場合があります。
Note that this recommended method is not the only way to choose from the list in a recursive resolver's configuration. Two other common methods include picking the first from the list, and remembering which address in the list gave the fastest response earlier and using that one. There are probably other methods in use today. However, the random method listed above SHOULD be used for priming.
この推奨方法は、再帰リゾルバーの構成でリストから選択する唯一の方法ではないことに注意してください。他の2つの一般的な方法には、リストから最初のアドレスを選択する方法と、リスト内のどのアドレスが以前に最速の応答を与えたかを記憶し、そのアドレスを使用する方法があります。今日使用されている方法はおそらく他にもあります。ただし、上記のランダムな方法はプライミングに使用する必要があります。
The resolver MAY set the DNSSEC OK (DO) bit. At the time of publication, there is little use to performing DNSSEC validation on the priming query. Currently, all root name server names end in "root-servers.net" and the AAAA and A RRsets for the root server names reside in the "root-servers.net" zone. All root servers are also authoritative for this zone, allowing priming responses to include the appropriate root name server A and AAAA RRsets. But, because the "root-servers.net" zone is not currently signed, these RRsets cannot be validated.
リゾルバーはDNSSEC OK(DO)ビットを設定してもよい(MAY)。公開の時点では、プライミングクエリでDNSSEC検証を実行することはほとんどありません。現在、すべてのルートネームサーバー名は「root-servers.net」で終わり、ルートサーバー名のAAAAおよびA RRsetは「root-servers.net」ゾーンにあります。すべてのルートサーバーもこのゾーンに対して権限があり、プライミング応答に適切なルートネームサーバーAおよびAAAA RRsetを含めることができます。ただし、「root-servers.net」ゾーンは現在署名されていないため、これらのRRsetは検証できません。
A man-in-the-middle attack on the priming query could direct a resolver to a rogue root name server. Note, however, that a validating resolver will not accept responses from rogue root name servers if they are different from the real responses because the resolver has a trust anchor for the root and the answers from the root are signed. Thus, if there is a man-in-the-middle attack on the priming query, the only result for a validating resolver will be a denial of service, not the resolver's accepting the bad responses.
プライミングクエリに対する中間者攻撃により、リゾルバが不正なルートネームサーバーに誘導される可能性があります。ただし、リゾルバーにはルートに対するトラストアンカーがあり、ルートからの回答は署名されているため、検証するリゾルバーは実際の応答とは異なる場合、不正なルートネームサーバーからの応答を受け入れません。したがって、プライミングクエリに中間者攻撃があった場合、リゾルバを検証するための唯一の結果はサービス拒否であり、リゾルバが悪い応答を受け入れることはありません。
If the "root-servers.net" zone is later signed, or if the root servers are named in a different zone and that zone is signed, having DNSSEC validation for the priming queries might be valuable.
「root-servers.net」ゾーンが後で署名された場合、またはルートサーバーが別のゾーンで名前が付けられ、そのゾーンが署名された場合、プライミングクエリのDNSSEC検証が重要になる場合があります。
A priming query is a normal DNS query. Thus, a root name server cannot distinguish a priming query from any other query for the root NS RRset. Thus, the root server's response will also be a normal DNS response.
プライミングクエリは、通常のDNSクエリです。したがって、ルートネームサーバーは、プライミングクエリをルートNS RRsetの他のクエリと区別できません。したがって、ルートサーバーの応答も通常のDNS応答になります。
The priming response is expected to have an RCODE of NOERROR, and to have the Authoritative Answer (AA) bit set. Also, it is expected to have an NS RRset in the Answer section (because the NS RRset originates from the root zone), and an empty Authority section (because the NS RRset already appears in the Answer section). There will also be an Additional section with A and/or AAAA RRsets for the root name servers pointed at by the NS RRset.
プライミング応答は、NOCODEのRCODEを持ち、Authoritative Answer(AA)ビットが設定されていることが期待されています。また、(NS RRsetはルートゾーンから発生するため)AnswerセクションにNS RRsetがあり、(AuthorセクションにNS RRsetが既にAnswerセクションにあるため)空であることが必要です。また、NS RRsetが指すルートネームサーバーのAまたはAAAA RRsetを含む追加セクションもあります。
Resolver software SHOULD treat the response to the priming query as a normal DNS response, just as it would use any other data fed to its cache. Resolver software SHOULD NOT expect exactly 13 NS RRs because, historically, some root servers have returned fewer.
リゾルバソフトウェアは、プライミングクエリへの応答を、キャッシュに供給される他のデータを使用するのと同じように、通常のDNS応答として扱う必要があります(SHOULD)。リゾルバーソフトウェアは、13のNS RRを期待すべきではありません。
There are currently 13 root servers. All have one IPv4 address and one IPv6 address. Not even counting the NS RRset, the combined size of all the A and AAAA RRsets exceeds the original 512-octet payload limit from [RFC1035].
現在13台のルートサーバーがあります。すべてに1つのIPv4アドレスと1つのIPv6アドレスがあります。 NS RRsetさえ数えないで、すべてのAおよびAAAA RRsetの合計サイズは、[RFC1035]からの元の512オクテットのペイロード制限を超えます。
In the event of a response where the Additional section omits certain root server address information, re-issuing of the priming query does not help with those root name servers that respond with a fixed order of addresses in the Additional section. Instead, the recursive resolver needs to issue direct queries for A and AAAA RRsets for the remaining names. Currently, these RRsets would be authoritatively available from the root name servers.
追加セクションで特定のルートサーバーアドレス情報が省略されている応答が発生した場合、プライミングクエリを再発行しても、追加セクションでアドレスの固定順序で応答するルートネームサーバーは役に立ちません。代わりに、再帰リゾルバーは、残りの名前のAおよびAAAA RRsetに対して直接クエリを発行する必要があります。現在、これらのRRsetは、ルートネームサーバーから正式に入手できます。
Spoofing a response to a priming query can be used to redirect all of the queries originating from a victim recursive resolver to one or more servers for the attacker. Until the responses to priming queries are protected with DNSSEC, there is no definitive way to prevent such redirection.
プライミングクエリへの応答のスプーフィングを使用すると、攻撃対象の再帰リゾルバから発信されたすべてのクエリを攻撃者の1つ以上のサーバーにリダイレクトできます。プライミングクエリへの応答がDNSSECで保護されるまで、そのようなリダイレクトを防ぐ確実な方法はありません。
An on-path attacker who sees a priming query coming from a resolver can inject false answers before a root server can give correct answers. If the attacker's answers are accepted, this can set up the ability to give further false answers for future queries to the resolver. False answers for root servers are more dangerous than, say, false answers for Top-Level Domains (TLDs), because the root is the highest node of the DNS. See Section 3.3 for more discussion.
ルートサーバーが正しい答えを出す前に、リゾルバからのプライミングクエリを見たオンパス攻撃者は、誤った答えを注入することができます。攻撃者の回答が受け入れられた場合、これは、リゾルバーへの将来のクエリに対してさらに誤った回答を与える能力を設定する可能性があります。ルートはDNSの最上位ノードであるため、ルートサーバーに対する誤った回答は、トップレベルドメイン(TLD)に対する誤った回答よりも危険です。詳細については、セクション3.3を参照してください。
In both of the scenarios above, a validating resolver will be able to detect the attack if its chain of queries comes to a zone that is signed, but not for those that are unsigned.
上記の両方のシナリオで、検証リゾルバーは、クエリのチェーンが署名されているゾーンに到達した場合に攻撃を検出できますが、署名されていないゾーンには到達できません。
This document does not require any IANA actions.
このドキュメントでは、IANAアクションは必要ありません。
[RFC1034] Mockapetris, P., "Domain names - concepts and facilities", STD 13, RFC 1034, DOI 10.17487/RFC1034, November 1987, <http://www.rfc-editor.org/info/rfc1034>.
[RFC1034] Mockapetris、P。、「ドメイン名-概念と機能」、STD 13、RFC 1034、DOI 10.17487 / RFC1034、1987年11月、<http://www.rfc-editor.org/info/rfc1034>。
[RFC1035] Mockapetris, P., "Domain names - implementation and specification", STD 13, RFC 1035, DOI 10.17487/RFC1035, November 1987, <http://www.rfc-editor.org/info/rfc1035>.
[RFC1035] Mockapetris、P。、「ドメイン名-実装および仕様」、STD 13、RFC 1035、DOI 10.17487 / RFC1035、1987年11月、<http://www.rfc-editor.org/info/rfc1035>。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, DOI 10.17487/RFC2119, March 1997, <http://www.rfc-editor.org/info/rfc2119>.
[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するキーワード」、BCP 14、RFC 2119、DOI 10.17487 / RFC2119、1997年3月、<http://www.rfc-editor.org/info/ rfc2119>。
[RFC3226] Gudmundsson, O., "DNSSEC and IPv6 A6 aware server/resolver message size requirements", RFC 3226, DOI 10.17487/RFC3226, December 2001, <http://www.rfc-editor.org/info/rfc3226>.
[RFC3226] Gudmundsson、O。、「DNSSECおよびIPv6 A6対応のサーバー/リゾルバーメッセージサイズ要件」、RFC 3226、DOI 10.17487 / RFC3226、2001年12月、<http://www.rfc-editor.org/info/rfc3226> 。
[RFC4033] Arends, R., Austein, R., Larson, M., Massey, D., and S. Rose, "DNS Security Introduction and Requirements", RFC 4033, DOI 10.17487/RFC4033, March 2005, <http://www.rfc-editor.org/info/rfc4033>.
[RFC4033] Arends、R.、Austein、R.、Larson、M.、Massey、D。、およびS. Rose、「DNS Securityの紹介と要件」、RFC 4033、DOI 10.17487 / RFC4033、2005年3月、<http: //www.rfc-editor.org/info/rfc4033>。
[RFC5452] Hubert, A. and R. van Mook, "Measures for Making DNS More Resilient against Forged Answers", RFC 5452, DOI 10.17487/RFC5452, January 2009, <http://www.rfc-editor.org/info/rfc5452>.
[RFC5452] Hubert、A。およびR. van Mook、「DNSを偽造された回答に対してより弾力的にするための対策」、RFC 5452、DOI 10.17487 / RFC5452、2009年1月、<http://www.rfc-editor.org/info / rfc5452>。
[RFC6891] Damas, J., Graff, M., and P. Vixie, "Extension Mechanisms for DNS (EDNS(0))", STD 75, RFC 6891, DOI 10.17487/RFC6891, April 2013, <http://www.rfc-editor.org/info/rfc6891>.
[RFC6891] Damas、J.、Graff、M。、およびP. Vixie、「DNSの拡張メカニズム(EDNS(0))」、STD 75、RFC 6891、DOI 10.17487 / RFC6891、2013年4月、<http:// www.rfc-editor.org/info/rfc6891>。
Acknowledgements
謝辞
This document is the product of the DNSOP WG and benefitted from the reviews done there.
このドキュメントはDNSOP WGの製品であり、そこで行われたレビューの恩恵を受けています。
Authors' Addresses
著者のアドレス
Peter Koch DENIC eG Kaiserstrasse 75-77 Frankfurt 60329 Germany
Peter Koch DENIC eG Kaiserstrasse 75-77フランクフルト60329ドイツ
Phone: +49 69 27235 0 Email: pk@DENIC.DE
Matt Larson ICANN
マットラーソンICANN
Email: matt.larson@icann.org
Paul Hoffman ICANN
ポール・ホフマンICANN
Email: paul.hoffman@icann.org