挙動不審なDNSルートサーバ

| コメント(0) | トラックバック(1)
中国のインターネット規制の網が、中国国内から海外へ広まろうとしているようです。

手法は簡単で、大胆。DNSのルートサーバーを乗っ取り、規制対象サイトのIPアドレスをリダイレクトするというもの。
中国のサーバーにDNS問い合わせがいくと、間違ったIPアドレスが返ってきて、日本にいようが中国にいようがサイトにアクセスできないということになる ようです。

中国にAnycastで負荷分散しているDNSルートサーバは、F,I,Jの3つです。香港にはAサーバーもあります。
心配な方は、DNSサーバーへのルートサーバー登録から、この3つないし4つを外しておけば被害はないものと思われます。
中国のDNSルートサーバ
ルートサーバは、AからMまでの13台と言われていますが、正確には13のIPアドレスです。複数のサーバーがAnycastでIPアドレスを共有していますので、全世界では、現在202台のDNSルートサーバが稼働しています。
北京ではF,I,Jの3つ、香港ではA,F,I,Jの4つのサーバーが稼働しています。
今回、不審な挙動が報告されたのは、中国にあるサーバーです。
日本には、日本のWide Projectが管理するMサーバーの他にも、I,J,Kサーバが東京に、Fサーバーが大阪にあります。

DNSサーバの管理元
13のルートサーバのうち10までが米政府ないし米国の法律に従う企業が管理元です。NASAや米陸軍、国防情報局、VeriSign, 南カリフォルニア大学、メリーランド大学などが管理しています。
米国以外は、
  • :スウェーデンのAutonomica Ab (Netnod Internet Exchange in Sweden AB の子会社)
  • K:欧州(オランダ)のRIPE NCC
  • M:日本のWide Project
の3つだけ。中国が管理するルートサーバはありません。

不審な挙動
南米チリNICのDNS管理者Mauricio Ereche氏が、I ルートサーバの挙動が不審だというレ ポートしています。
このレ ポートによれば、facebook や, youtube、 twitter ドメインのIPアドレスを中国の ルートサーバに照会すると正しいIPアドレスが返ってこないそうです。
照会結果を、レポートから引用します。

$ dig @i.root-servers.net www.facebook.com A 

; <<>> DiG 9.6.1-P3 <<>> @i.root-servers.net www.facebook.com A
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7448
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;www.facebook.com. IN A

;; ANSWER SECTION:
www.facebook.com. 86400 IN A 8.7.198.45

;; Query time: 444 msec
;; SERVER: 192.36.148.17#53(192.36.148.17)
;; WHEN: Wed Mar 24 14:21:54 2010

IPアドレスの共有によるDNSルートサーバ負荷分散
負荷分散の方法は、RFC3258「ユニキャストアドレスの共有による権威ネームサーバーの分配」に規定されています。
Anycastがどのサーバーにたどり着かは、クライアント側で全くコントロールできません。
traceroute i.root-servers.net (Windowsならtracert)
でどのIルートサーバにルーティングされているかのかはわかります。
だだし、同じPCなら毎回同じサーバーへたどり着くとは限りません。

ルートサーバーの分散状況
DNSサーバもDoSられることは多いので、Anycastでの負荷分散は広まっています。

Iルートサーバ
運営しているスウェーデンのAutonomicaは、世界34カ所にノードを置いていいます。
ノードを設置したネットワーク側の裁量でルー ティング制御を行なうことができることを売りにして、ノードが設置されたネットワークに関するルーティングポリシーについて特に制限を設けていない緩い運 用をしているそうです。
北京にもノードがあります。
AJルートサーバ
最も商売熱心なのは、AJルートサーバを合計76カ所で運用しているVeriSignです。
Aは香港に、Jは北京にノードがあります。
Fルートサーバ
中国にあるもう一つのFルートサーバを運用するのは、米国NPOのInternet Systems Consortiumです。Anycastをいち早く導入した積極派で、世界49箇所にFルートサーバを置いています。
上記3社で159ノードを世界各地にもっています。全世界のルートノード202のうち79%に相当します。

Kルートサーバ
欧州各地(London, Frankfurt, Amsterdam, Geneva, Helsinki, Budapest, Milan,Athens等)を中心に日本を含む18カ所に分散されていますが、欧州のDNSとしてきっちり運用されています。
Mルートサーバ
東京x3、Seoul、 Paris、San Franciscoの6カ所に設置されていますが、日本代表として運用されているので安心かと思われます。
2000年当時のMルートサーバの構成
PCは、Pentium III 1GHzとPentiumIII 700MHz各一台
2003年当時のMルートサーバの構成
PCは、Athlon X-1900 各4台

トラックバック(1)

トラックバックURL: http://www.konure.com/mt4/mt-tb.cgi/591

biac の それさえもおそらくは幸せな日々@nifty - 中国政府が DNS に干渉(?)、 インターネット破壊の危機 (2010年3月29日 13:54)

世界のインターネットに対する脅威なのだが、 まったくニュースになってないみたいなので、 書いておく。 Web ページを見たり、 メールを送受信するために欠... 続きを読む

コメントする

最近のブログ記事

SORACOM,HLR持ちeSIM対応
SORACOMが自前のHLRを持ち、自…
準天頂衛星4機体制に
h2{ font-size:12…
Windows 10 mobile終了
Windows 10 mobileの新機…
カスタム検索

月別 アーカイブ