SlideShare a Scribd company logo
1 of 49
Download to read offline
1




Unboundの紹介
日本Unboundユーザ会 滝澤隆史   日本Unboundユーザ会       2011-06-18
                      #dnstudy 01 発表資料
2

日本Unboundユーザ会 #dnstudy 01 発表資料   2011-06-18
3

                                2011-06-18   日本Unboundユーザ会 #dnstudy 01 発表資料




日本Unboundユーザ会
• 何となくノリで作った
• なぜか公式(NLnet Labs)公認
• ユーザ会と名乗っている割にはコミュニテゖー
  として体をなしていない
• ときどき協力してくださる方がいるので助かっ
  ている
• Googleグループに議論や連絡の場所を作った。
 ▫ http://groups.google.com/group/unbound-jp
4

                        2011-06-18   日本Unboundユーザ会 #dnstudy 01 発表資料




ユーザ会の主な活動
• ウェブサ゗トの公開
 ▫ http://unbound.jp/
• マニュゕル等の翻訳
• Unboundだけでなく、ldnsとNSDについてもマ
  ニュゕルを翻訳して公開している
• 技術検証はほとんどできていない
5

日本Unboundユーザ会 #dnstudy 01 発表資料   2011-06-18
6

                2011-06-18   日本Unboundユーザ会 #dnstudy 01 発表資料




BINDの代替を目指したキャッシュサーバ
•   設定の容易さ
•   フルスペックのキャッシュサーバ
•   機能を限定した権威サーバ
•   キャッシュ汚染への高い耐性
•   高い処理性能
•   リモート制御ツール
•   DNSSEC対応
7

                         2011-06-18   日本Unboundユーザ会 #dnstudy 01 発表資料




NLnet Labsが開発・保守
• Verisign labs〃Nominet〃Kirei〃EP.netがプロトタ
  ゗プをJavaで開発した
• NLnet LabsがCで実装し直した
• NLnet Labsはルートサーバでも利用されている権
  威DNSサーバのNSDの開発元でもある
• BSDラ゗センス
8

                             2011-06-18   日本Unboundユーザ会 #dnstudy 01 発表資料




動作環境
• UNIX系OS(Linux, *BSD, MacOS X, Solaris)
• Windows
9

                        2011-06-18   日本Unboundユーザ会 #dnstudy 01 発表資料




動作環境/依存ラ゗ブラリ
• 依存するラ゗ブラリ
▫ OpenSSL
   GOSTに対応していない場合(0.9.8以前)はunbound
    のconfigure時に--disable-gostを付ける必要がある。
▫ libexpat
   Unbound 1.4.7以降で必要となる
▫ ldns
   unboundのビルド時に同梱のldnsを組み込むこともで
    きる
10

                                               2011-06-18   日本Unboundユーザ会 #dnstudy 01 発表資料




  動作環境/パッケージ(Linux系)
Linuxデゖストロ                 Unbound   ldns               備考
Debian GNU/Linux squeeze   1.4.6     1.6.6
Debian GNU/Linux wheezy    1.4.10    1.6.9
Ubuntu 10.04 LTS           1.4.1     1.6.1
Ubuntu 10.10               1.4.5     1.6.4
Fedora 15                  1.4.8     1.6.8
                                                        標準パッケージなし。
RHEL 5/CentOS 5            (1.4.4)   (1.6.4)
                                                        Fedora EPEL 5より
                                                        標準パッケージなし。
RHEL 6                     (1.4.4)   (1.6.4)
                                                        Fedora EPEL 6より
openSUSE 11.3              -         1.5.1              パッケージなし
Momonga Linux 7            1.4.6     1.6.5
Gentoo Linux               1.4.10    1.6.9
11

                                      2011-06-18   日本Unboundユーザ会 #dnstudy 01 発表資料




 動作環境/パッケージ(BSD系)
OS                  Unbound   ldns    備考
FreeBSD             1.4.10    1.6.9   Ports
NetBSD              1.4.9     1.6.9   Packages Collection
OpenBSD            1.4.10     1.6.9   Ports
Mac OS X(MacPorts) 1.4.10     1.6.8   MacPorts
12

                2011-06-18   日本Unboundユーザ会 #dnstudy 01 発表資料




動作環境/Windows
• 公式サ゗トにWindows版が公開されている
• ゗ンストーラー付き
13

               2011-06-18   日本Unboundユーザ会 #dnstudy 01 発表資料




動作環境/Windows
• ゗ンストール後に参照する「DNSサーバー」を
  「127.0.0.1」に変更するだけ
• ルートのトランスゕンカーが自動で取得され、
  DNSSECの検証が有効になる。
14

                         2011-06-18   日本Unboundユーザ会 #dnstudy 01 発表資料




バージョンの履歴
• 1.0.0(2008年05月)
 ▫ 正式リリース
• 1.1.0(2008年11月)
 ▫ DLV対応
• 1.2.0(2009年1月)
 ▫ unbound-controlコマンド
• 1.3.0(2009年6月)
 ▫ Windows版、Python対応
15

                      2011-06-18   日本Unboundユーザ会 #dnstudy 01 発表資料




バージョンの履歴
• 1.4.0(2009年11月)
 ▫ トラストゕンカーの自動更新機能
 ▫ RSASHA256とRSASHA512サポート
   (デフォルト有効)
• 1.4.7(2010年11月)
 ▫ unbound-anchorコマンド
   (ルートゾーンのDNSKEYの取得)
• 1.4.10(2011年5月)
 ▫ 最新版
 ▫ セキュリテゖ修正あり
16

                       2011-06-18   日本Unboundユーザ会 #dnstudy 01 発表資料




利用すべきバージョン
• 1.4.10以降を推奨
 ▫ 1.4.9以前にセキュリテゖ問題あり
 ▫ 設定パラメータautomatic-interfaceをnoに設定して
   いればこれより古いバージョンでもよい
• 少なくとも1.4.0以降を利用すべき
 ▫ トラストゕンカーの自動更新
 ▫ RSASHA256とRSASHA512のサポート
• 1.4.7以降を推奨
 ▫ unbound-anchorコマンドが新規導入には便利
17

日本Unboundユーザ会 #dnstudy 01 発表資料   2011-06-18
18

                                   2011-06-18   日本Unboundユーザ会 #dnstudy 01 発表資料




設定フゔ゗ル
• 設定フゔ゗ルは一つ
 ▫ unbound.conf
• 形式
 ▫ パラメータ名: 設定値
• 設定例
 ▫ server:
     verbosity: 1
     interface: 0.0.0.0
     access-control: 192.0.2.0/24 allow
19

               2011-06-18   日本Unboundユーザ会 #dnstudy 01 発表資料




ゾーンフゔ゗ルの記述不要
• ループバックゕドレスに対する正引きおよび逆
  引きのゾーンなどのお決まりのゾーン
▫ 組み込まれている
▫ BINDのようにゾーンフゔ゗ルを用意する必要はな
  い
20

              2011-06-18   日本Unboundユーザ会 #dnstudy 01 発表資料




ホスト自身のリゾルバ
• デフォルトの設定で動作可能
▫ ローカルホストにバ゗ンド
▫ ゕクセス制御はローカルホストのみ許可
21

                                 2011-06-18   日本Unboundユーザ会 #dnstudy 01 発表資料




他のホストに対するフルリゾルバ
• "interface"でバ゗ンドする゗ンターフェ゗スの指
  定
• "access-control"でゕクセス制御を指定
• 設定例
 ▫ server:
     interface: 0.0.0.0 ←バ゗ンドする゗ンターフェ゗ス(IPv4)
     interface: ::0     ←バ゗ンドする゗ンターフェ゗ス(IPv6)
     access-control: 192.0.2.0/24 allow ←ゕクセス制御
     access-control: 2001:db8:beef::/48 allow ←ゕクセス制御
22

日本Unboundユーザ会 #dnstudy 01 発表資料   2011-06-18
23

                2011-06-18   日本Unboundユーザ会 #dnstudy 01 発表資料




フルスペックのキャッシュサーバ
•   再帰問い合わせ
•   キャッシュ
•   DNSSECの検証
•   スタブ
•   フォワード
24

                                2011-06-18   日本Unboundユーザ会 #dnstudy 01 発表資料




スタブ
• 指定したゾーンに対して指定した権威サーバへ
  問い合わせを行う
• "stub-zone"を設定する
• 設定例
▫ stub-zone:
          name: "example.org"
          stub-addr: 192.0.2.1
  stub-zone:
          name: "2.0.192.in-addr.arpa"
          stub-addr: 192.0.2.1
25

                              2011-06-18   日本Unboundユーザ会 #dnstudy 01 発表資料




フォワード
• 指定したゾーンに対して指定したキャッシュ
  サーバへ再帰問い合わせを行う
• "forward-zone"を設定する
• 設定例
▫ forward-zone:
          name: "example.com"
          forward-addr: 192.0.2.68
          forward-addr: 192.0.2.73@5355
26

                  2011-06-18   日本Unboundユーザ会 #dnstudy 01 発表資料




制限事項
• DNSラウンドロビン非対応
 ▫ キャッシュした内容をそのままの順番で回答する
27

日本Unboundユーザ会 #dnstudy 01 発表資料   2011-06-18
28

              2011-06-18   日本Unboundユーザ会 #dnstudy 01 発表資料




限定的な機能の権威サーバ
• フル実装は目指していない
• 別の権威サーバに問い合わせるまでもないリ
  ソースレコードについて回答する
29

                                    2011-06-18   日本Unboundユーザ会 #dnstudy 01 発表資料




ループバックゕドレス
• ループバックゕドレスの正引きと逆引き
▫ localhost.
▫ 127.in-addr.arpa.
▫ 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.
  0.0.0.ip6.arpa.
30

                  2011-06-18   日本Unboundユーザ会 #dnstudy 01 発表資料




不要な逆引きの問い合わせへの回答
• 不要な逆引きの問い合わせにはName Error
  (NXDOMAIN)を返す(AS112的な対応)
 ▫   プラ゗ベート
 ▫   リンクローカル
 ▫   テストネット
 ▫   ブロードキャスト
 ▫   例示
31

                                       2011-06-18   日本Unboundユーザ会 #dnstudy 01 発表資料




リソースレコードの登録
• local-data
  ▫ リソースレコードを登録できる
     local-data: 'a.example.jp.           IN A 192.0.2.1'
     local-data: '1.2.0.192.in-addr.arpa. IN PTR a.example.jp.'
• local-data-ptr
  ▫ PTRの簡略記法
     local-data-ptr: '192.0.2.1 a.example.jp.'
• local-data, local-data-ptrはLAN内のホストの名前
  解決用に利用すると便利
32

                                   2011-06-18   日本Unboundユーザ会 #dnstudy 01 発表資料




プラ゗ベートゕドレスの注意事項
• forward-zoneやstub-zoneでプラ゗ベートゕドレス
  の逆引き用にキャッシュサーバや権威サーバを
  指定する場合
 ▫ stub-zone:
     name: "0.168.192.in-addr.arpa"
     stub-addr: 192.0.2.1
• このときAS112対策でName Error(NXDOMAIN)
  が返される
 ▫ 対策としてlocal-zoneでtransparentを指定
 ▫ local-zone: "0.168.192.in-addr.arpa." transparent
33

                                         日本Unboundユーザ会 #dnstudy 01 発表資料   2011-06-18




"Unbound 1.0.2 Patch Announcement"のまとめ
http://unbound.net/documentation/patch_announce102.html
34

                                   2011-06-18   日本Unboundユーザ会 #dnstudy 01 発表資料




オープンリゾルバにならないための
ゕクセス制御
• デフォルトではlocalhostからのみゕクセス可能
• 必要に応じてゕクセスを許可
 ▫ interface: 0.0.0.0
 ▫ access-control: 192.0.2.0/24 allow
35

                 2011-06-18   日本Unboundユーザ会 #dnstudy 01 発表資料




キャッシュ汚染への高い耐性
• 回答に対するサニタ゗ジング
• 暗号学的に強いランダム性を持つクエリーIDの
  利用
• 暗号学的に強いランダム性を持つソースポート
  番号の 利用
• ランダムなデステゖネーションIPゕドレスの利
  用
• ランダムなソースIPゕドレスの利用
• dns-0x20(クエリーの際に大文字・小文字をラ
  ンダムに混ぜる)
36

                      2011-06-18   日本Unboundユーザ会 #dnstudy 01 発表資料




デフォルトのランダム性
クエリーID                                           16 ビット
ポート番号                                            16 ビット
デステゖネーションIPゕドレス(平均)                                2 ビット
ランダム性の合計                                         34 ビット
37

                      2011-06-18   日本Unboundユーザ会 #dnstudy 01 発表資料




さらに工夫した場合のランダム性
クエリーID                                           16 ビット
ポート番号                                            16 ビット
デステゖネーションIPゕドレス(平均)                                2 ビット
ソースIPゕドレス(平均)                                      2 ビット
dns-0x20(平均)                                       8 ビット
ランダム性の合計                                         44 ビット
38

                                 2011-06-18   日本Unboundユーザ会 #dnstudy 01 発表資料




攻撃に対する耐性
ビット    50%機会    5%機会
  16     10秒       1秒 ランダムなクエリーIDのみ

  26   2.8時間      17分 ランダムなクエリーIDとソースポートのラン
                      ダムの範囲1024ポート
  34     28日      2.8日 Unboundデフォルト

  44   28444日   2844.4日 Unbound(dns-0x20とソースゕドレス)
39

                      2011-06-18   日本Unboundユーザ会 #dnstudy 01 発表資料




dns-0x20の注意点
• この機能はデフォルトでは無効である
• 設定フゔ゗ルで"use-caps-for-id: yes"と記述する
  ことで有効になる
• 有効にすると問い合わせに失敗することがある
  ため、実験的な機能として捉えてください
40

日本Unboundユーザ会 #dnstudy 01 発表資料   2011-06-18
41

                                      2011-06-18   日本Unboundユーザ会 #dnstudy 01 発表資料




Performance tests results on
BIND9/NSD/UNBOUND
• IEPG Meeting – November 2010 @ IETF 79
  ▫ http://iepg.org/2010-11-ietf79/
• Orange LabsのDaniel Migault氏の発表
• BINDの2~3倍のキャッシュ処理性能
42

                                                      2011-06-18   日本Unboundユーザ会 #dnstudy 01 発表資料




  Alternative DNS Servers: the book as PDF
   • Jan-Piet Mens著" Alternative DNS Servers "
      ▫ http://blog.fupps.com/2010/10/29/alternative-dns-
        servers-the-book-as-pdf/
                                                                    PowerDNS
                            MaraDNS       BIND      dnscache                        Unbound
                                                                     Recursor
Queries /sec                    13,846     16,066        14,957          10,796         25,072
Queries /sec (LAN)              13,308     26,656        13,114          21,218         30,569
Queries /sec (10 clients)        3,068      3,003          2,928           2,074         8,276
RSS size                         1,336     40,916          1,712         14,336         16,828
VSZ size                      168,408     195,380          6,044         26,500       180,648
            P.559     Table 23.9: How the caching name servers performed
43

日本Unboundユーザ会 #dnstudy 01 発表資料   2011-06-18
44

                    2011-06-18   日本Unboundユーザ会 #dnstudy 01 発表資料




unbound-control
• リモート制御ツール
• BINDのrndcのようなもの
45

                       2011-06-18   日本Unboundユーザ会 #dnstudy 01 発表資料




Unboundへの接続
• ポート番号はTCP953
• サーバにはSSL/TLS経由で接続
 ▫ 秘密鍵や証明書が必要
 ▫ 秘密鍵と自己署名証明書 を作成する
   unbound-control-setupというスクリプトあり
46

                2011-06-18   日本Unboundユーザ会 #dnstudy 01 発表資料




主な機能
•   起動、停止、リロード、状態の出力
•   饒舌さ(verbosity)の変更
•   統計情報の出力
•   ローカルゾーンの操作(追加、削除)
•   ローカルデータの操作(追加、削除)
•   キャッシュのダンプ、ロード、削除
•   設定オプションの設定および取得
•   利用中のスタブゾーン、フォワードゾーン、
    ローカルゾーン、ローカルデータの一覧の出力
47

日本Unboundユーザ会 #dnstudy 01 発表資料   2011-06-18
48

                                2011-06-18   日本Unboundユーザ会 #dnstudy 01 発表資料




DNSSEC
• 別資料「UnboundとDNSSEC」を参照
 ▫ http://unbound.jp/unbound/
49

日本Unboundユーザ会 #dnstudy 01 発表資料   2011-06-18

More Related Content

What's hot

10分で分かるLinuxブロックレイヤ
10分で分かるLinuxブロックレイヤ10分で分かるLinuxブロックレイヤ
10分で分かるLinuxブロックレイヤ
Takashi Hoshino
 
【Zabbix2.0】snmpttによるトラップメッセージの編集 #Zabbix #自宅ラック勉強会
【Zabbix2.0】snmpttによるトラップメッセージの編集 #Zabbix #自宅ラック勉強会【Zabbix2.0】snmpttによるトラップメッセージの編集 #Zabbix #自宅ラック勉強会
【Zabbix2.0】snmpttによるトラップメッセージの編集 #Zabbix #自宅ラック勉強会
真乙 九龍
 

What's hot (20)

LISA2019 Linux Systems Performance
LISA2019 Linux Systems PerformanceLISA2019 Linux Systems Performance
LISA2019 Linux Systems Performance
 
Highly efficient backups with percona xtrabackup
Highly efficient backups with percona xtrabackupHighly efficient backups with percona xtrabackup
Highly efficient backups with percona xtrabackup
 
Nutanixを導入してみて思ったこと(仮)
Nutanixを導入してみて思ったこと(仮)Nutanixを導入してみて思ったこと(仮)
Nutanixを導入してみて思ったこと(仮)
 
10分で分かるLinuxブロックレイヤ
10分で分かるLinuxブロックレイヤ10分で分かるLinuxブロックレイヤ
10分で分かるLinuxブロックレイヤ
 
eBPFは何が嬉しいのか
eBPFは何が嬉しいのかeBPFは何が嬉しいのか
eBPFは何が嬉しいのか
 
Futex Scaling for Multi-core Systems
Futex Scaling for Multi-core SystemsFutex Scaling for Multi-core Systems
Futex Scaling for Multi-core Systems
 
[오픈소스컨설팅] ARM & OpenStack Community
[오픈소스컨설팅] ARM & OpenStack Community[오픈소스컨설팅] ARM & OpenStack Community
[오픈소스컨설팅] ARM & OpenStack Community
 
クラウドコラボレーションサーバ「Collabora Online」を構築してみた
クラウドコラボレーションサーバ「Collabora Online」を構築してみたクラウドコラボレーションサーバ「Collabora Online」を構築してみた
クラウドコラボレーションサーバ「Collabora Online」を構築してみた
 
Fig 9-02
Fig 9-02Fig 9-02
Fig 9-02
 
MySQL Buffer Management
MySQL Buffer ManagementMySQL Buffer Management
MySQL Buffer Management
 
EDB Postgres DBA Best Practices
EDB Postgres DBA Best PracticesEDB Postgres DBA Best Practices
EDB Postgres DBA Best Practices
 
Monitoring IO performance with iostat and pt-diskstats
Monitoring IO performance with iostat and pt-diskstatsMonitoring IO performance with iostat and pt-diskstats
Monitoring IO performance with iostat and pt-diskstats
 
Cycloudのストレージ紹介と歴史
Cycloudのストレージ紹介と歴史Cycloudのストレージ紹介と歴史
Cycloudのストレージ紹介と歴史
 
Galera Cluster Best Practices for DBA's and DevOps Part 1
Galera Cluster Best Practices for DBA's and DevOps Part 1Galera Cluster Best Practices for DBA's and DevOps Part 1
Galera Cluster Best Practices for DBA's and DevOps Part 1
 
RocksDB Performance and Reliability Practices
RocksDB Performance and Reliability PracticesRocksDB Performance and Reliability Practices
RocksDB Performance and Reliability Practices
 
【Zabbix2.0】snmpttによるトラップメッセージの編集 #Zabbix #自宅ラック勉強会
【Zabbix2.0】snmpttによるトラップメッセージの編集 #Zabbix #自宅ラック勉強会【Zabbix2.0】snmpttによるトラップメッセージの編集 #Zabbix #自宅ラック勉強会
【Zabbix2.0】snmpttによるトラップメッセージの編集 #Zabbix #自宅ラック勉強会
 
Jenkins Overview
Jenkins OverviewJenkins Overview
Jenkins Overview
 
Large scale overlay networks with ovn: problems and solutions
Large scale overlay networks with ovn: problems and solutionsLarge scale overlay networks with ovn: problems and solutions
Large scale overlay networks with ovn: problems and solutions
 
Vacuum徹底解説
Vacuum徹底解説Vacuum徹底解説
Vacuum徹底解説
 
vSphere 7 へのアップグレードについて
vSphere 7 へのアップグレードについてvSphere 7 へのアップグレードについて
vSphere 7 へのアップグレードについて
 

Viewers also liked

Unbound/NSD最新情報(OSC 2013 Tokyo/Spring)
Unbound/NSD最新情報(OSC 2013 Tokyo/Spring)Unbound/NSD最新情報(OSC 2013 Tokyo/Spring)
Unbound/NSD最新情報(OSC 2013 Tokyo/Spring)
Takashi Takizawa
 
DNS悩み多きシステムの基礎から最新状況まで
DNS悩み多きシステムの基礎から最新状況までDNS悩み多きシステムの基礎から最新状況まで
DNS悩み多きシステムの基礎から最新状況まで
Yoshiki Ishida
 
JPNIC不当課金裁判説明会資料
JPNIC不当課金裁判説明会資料JPNIC不当課金裁判説明会資料
JPNIC不当課金裁判説明会資料
tss_ontap
 
BIND of Summer (2017-04-13)
BIND of Summer (2017-04-13)BIND of Summer (2017-04-13)
BIND of Summer (2017-04-13)
Takashi Takizawa
 

Viewers also liked (13)

Unbound/NSD最新情報(OSC 2013 Tokyo/Spring)
Unbound/NSD最新情報(OSC 2013 Tokyo/Spring)Unbound/NSD最新情報(OSC 2013 Tokyo/Spring)
Unbound/NSD最新情報(OSC 2013 Tokyo/Spring)
 
DNS移転失敗体験談
DNS移転失敗体験談DNS移転失敗体験談
DNS移転失敗体験談
 
DNS RFC系統図
DNS RFC系統図DNS RFC系統図
DNS RFC系統図
 
DNSのRFCの歩き方
DNSのRFCの歩き方DNSのRFCの歩き方
DNSのRFCの歩き方
 
DNS悩み多きシステムの基礎から最新状況まで
DNS悩み多きシステムの基礎から最新状況までDNS悩み多きシステムの基礎から最新状況まで
DNS悩み多きシステムの基礎から最新状況まで
 
DNSの仕組みを理解しよう(非エンジニア向け)
DNSの仕組みを理解しよう(非エンジニア向け)DNSの仕組みを理解しよう(非エンジニア向け)
DNSの仕組みを理解しよう(非エンジニア向け)
 
JPNIC不当課金裁判説明会資料
JPNIC不当課金裁判説明会資料JPNIC不当課金裁判説明会資料
JPNIC不当課金裁判説明会資料
 
BIND of Summer (2017-04-13)
BIND of Summer (2017-04-13)BIND of Summer (2017-04-13)
BIND of Summer (2017-04-13)
 
AmazonのDNSサービス Amazon Route 53の使いかたと裏側
AmazonのDNSサービス Amazon Route 53の使いかたと裏側AmazonのDNSサービス Amazon Route 53の使いかたと裏側
AmazonのDNSサービス Amazon Route 53の使いかたと裏側
 
サバフェス! 2015 Spring LT資料
サバフェス! 2015 Spring LT資料サバフェス! 2015 Spring LT資料
サバフェス! 2015 Spring LT資料
 
DNS RFCの歩き方(短縮版)
DNS RFCの歩き方(短縮版)DNS RFCの歩き方(短縮版)
DNS RFCの歩き方(短縮版)
 
DNS再入門
DNS再入門DNS再入門
DNS再入門
 
キャッシュ・権威 兼用型浸透問題への対処
キャッシュ・権威 兼用型浸透問題への対処キャッシュ・権威 兼用型浸透問題への対処
キャッシュ・権威 兼用型浸透問題への対処
 

Similar to #dnstudy 01 Unboundの紹介

自分色のLinuxホームサーバーを作ってみよう
自分色のLinuxホームサーバーを作ってみよう自分色のLinuxホームサーバーを作ってみよう
自分色のLinuxホームサーバーを作ってみよう
Masahiko Hashimoto
 
[db tech showcase Sapporo 2015] A12:DBAが知っておくべき最新テクノロジー: フラッシュ, ストレージ, クラウド b...
[db tech showcase Sapporo 2015] A12:DBAが知っておくべき最新テクノロジー: フラッシュ, ストレージ, クラウド b...[db tech showcase Sapporo 2015] A12:DBAが知っておくべき最新テクノロジー: フラッシュ, ストレージ, クラウド b...
[db tech showcase Sapporo 2015] A12:DBAが知っておくべき最新テクノロジー: フラッシュ, ストレージ, クラウド b...
Insight Technology, Inc.
 
今注目のSpark SQL、知っておきたいその性能とは 20151209 OSC Enterprise
今注目のSpark SQL、知っておきたいその性能とは 20151209 OSC Enterprise今注目のSpark SQL、知っておきたいその性能とは 20151209 OSC Enterprise
今注目のSpark SQL、知っておきたいその性能とは 20151209 OSC Enterprise
YusukeKuramata
 

Similar to #dnstudy 01 Unboundの紹介 (20)

DEFCON21×S2 REPORT
DEFCON21×S2 REPORTDEFCON21×S2 REPORT
DEFCON21×S2 REPORT
 
[Node-RED] ファンクションノードのデバッグどうしてる?
[Node-RED] ファンクションノードのデバッグどうしてる?[Node-RED] ファンクションノードのデバッグどうしてる?
[Node-RED] ファンクションノードのデバッグどうしてる?
 
node.js 開発のためのお手軽サーバ構築について(仮)
node.js 開発のためのお手軽サーバ構築について(仮)node.js 開発のためのお手軽サーバ構築について(仮)
node.js 開発のためのお手軽サーバ構築について(仮)
 
CentOS Linux 8 の EOL と対応策の検討
CentOS Linux 8 の EOL と対応策の検討CentOS Linux 8 の EOL と対応策の検討
CentOS Linux 8 の EOL と対応策の検討
 
ゆるふわLinux-HA 〜PostgreSQL編〜
ゆるふわLinux-HA 〜PostgreSQL編〜ゆるふわLinux-HA 〜PostgreSQL編〜
ゆるふわLinux-HA 〜PostgreSQL編〜
 
Unbound/NSD最新情報(OSC 2014 Tokyo/Spring)
Unbound/NSD最新情報(OSC 2014 Tokyo/Spring)Unbound/NSD最新情報(OSC 2014 Tokyo/Spring)
Unbound/NSD最新情報(OSC 2014 Tokyo/Spring)
 
オープンソースでシステム監視!統合監視ソフトウェアZABBIXの機能と利用事例のご紹介
オープンソースでシステム監視!統合監視ソフトウェアZABBIXの機能と利用事例のご紹介オープンソースでシステム監視!統合監視ソフトウェアZABBIXの機能と利用事例のご紹介
オープンソースでシステム監視!統合監視ソフトウェアZABBIXの機能と利用事例のご紹介
 
FreeBSDで行こう for small server
FreeBSDで行こう for small serverFreeBSDで行こう for small server
FreeBSDで行こう for small server
 
自分色のLinuxホームサーバーを作ってみよう
自分色のLinuxホームサーバーを作ってみよう自分色のLinuxホームサーバーを作ってみよう
自分色のLinuxホームサーバーを作ってみよう
 
Zabbix 1.8の概要と新機能
Zabbix 1.8の概要と新機能Zabbix 1.8の概要と新機能
Zabbix 1.8の概要と新機能
 
Using Kubernetes on Google Container Engine
Using Kubernetes on Google Container EngineUsing Kubernetes on Google Container Engine
Using Kubernetes on Google Container Engine
 
wakamonog6 ルーティングチュートリアル 〜サービスの成長とネットワークの変遷〜
wakamonog6 ルーティングチュートリアル 〜サービスの成長とネットワークの変遷〜wakamonog6 ルーティングチュートリアル 〜サービスの成長とネットワークの変遷〜
wakamonog6 ルーティングチュートリアル 〜サービスの成長とネットワークの変遷〜
 
これからLDAPを始めるなら 「389-ds」を使ってみよう
これからLDAPを始めるなら 「389-ds」を使ってみようこれからLDAPを始めるなら 「389-ds」を使ってみよう
これからLDAPを始めるなら 「389-ds」を使ってみよう
 
[db tech showcase Sapporo 2015] A12:DBAが知っておくべき最新テクノロジー: フラッシュ, ストレージ, クラウド b...
[db tech showcase Sapporo 2015] A12:DBAが知っておくべき最新テクノロジー: フラッシュ, ストレージ, クラウド b...[db tech showcase Sapporo 2015] A12:DBAが知っておくべき最新テクノロジー: フラッシュ, ストレージ, クラウド b...
[db tech showcase Sapporo 2015] A12:DBAが知っておくべき最新テクノロジー: フラッシュ, ストレージ, クラウド b...
 
今注目のSpark SQL、知っておきたいその性能とは 20151209 OSC Enterprise
今注目のSpark SQL、知っておきたいその性能とは 20151209 OSC Enterprise今注目のSpark SQL、知っておきたいその性能とは 20151209 OSC Enterprise
今注目のSpark SQL、知っておきたいその性能とは 20151209 OSC Enterprise
 
Zabbix 1.8の概要と新機能
Zabbix 1.8の概要と新機能Zabbix 1.8の概要と新機能
Zabbix 1.8の概要と新機能
 
osoljp 2011.08
osoljp 2011.08osoljp 2011.08
osoljp 2011.08
 
オープンソースでシステム監視!Zabbix 1.8の機能と簡単インストール手順の紹介
オープンソースでシステム監視!Zabbix 1.8の機能と簡単インストール手順の紹介オープンソースでシステム監視!Zabbix 1.8の機能と簡単インストール手順の紹介
オープンソースでシステム監視!Zabbix 1.8の機能と簡単インストール手順の紹介
 
Windows Server 2012 のストレージ強化とエンタープライズへの活用
Windows Server 2012 のストレージ強化とエンタープライズへの活用Windows Server 2012 のストレージ強化とエンタープライズへの活用
Windows Server 2012 のストレージ強化とエンタープライズへの活用
 
Osc2009 Do Xen Hara
Osc2009 Do Xen HaraOsc2009 Do Xen Hara
Osc2009 Do Xen Hara
 

More from Takashi Takizawa

initとプロセス再起動
initとプロセス再起動initとプロセス再起動
initとプロセス再起動
Takashi Takizawa
 
#mailerstudy 01 LT POP/IMAP入門
#mailerstudy 01 LT POP/IMAP入門#mailerstudy 01 LT POP/IMAP入門
#mailerstudy 01 LT POP/IMAP入門
Takashi Takizawa
 
#dnstudy 01 ドメイン名の歴史
#dnstudy 01 ドメイン名の歴史#dnstudy 01 ドメイン名の歴史
#dnstudy 01 ドメイン名の歴史
Takashi Takizawa
 

More from Takashi Takizawa (12)

nginx入門
nginx入門nginx入門
nginx入門
 
nginxの紹介
nginxの紹介nginxの紹介
nginxの紹介
 
RFCについての復習
RFCについての復習RFCについての復習
RFCについての復習
 
initとプロセス再起動
initとプロセス再起動initとプロセス再起動
initとプロセス再起動
 
#mailerstudy 02 メールと暗号 - SSL/TLS -
#mailerstudy 02 メールと暗号 - SSL/TLS -#mailerstudy 02 メールと暗号 - SSL/TLS -
#mailerstudy 02 メールと暗号 - SSL/TLS -
 
#mailerstudy 02 暗号入門 (2012-02-22更新)
#mailerstudy 02 暗号入門 (2012-02-22更新)#mailerstudy 02 暗号入門 (2012-02-22更新)
#mailerstudy 02 暗号入門 (2012-02-22更新)
 
#logstudy 01 rsyslog入門
#logstudy 01 rsyslog入門#logstudy 01 rsyslog入門
#logstudy 01 rsyslog入門
 
UnboundとDNSSEC(OSC2011 Tokyo/Spring)
UnboundとDNSSEC(OSC2011 Tokyo/Spring)UnboundとDNSSEC(OSC2011 Tokyo/Spring)
UnboundとDNSSEC(OSC2011 Tokyo/Spring)
 
qpstudy08 lsyncdによる共有ファイルシステムっぽい何かの検証
qpstudy08 lsyncdによる共有ファイルシステムっぽい何かの検証qpstudy08 lsyncdによる共有ファイルシステムっぽい何かの検証
qpstudy08 lsyncdによる共有ファイルシステムっぽい何かの検証
 
#mailerstudy 01 LT POP/IMAP入門
#mailerstudy 01 LT POP/IMAP入門#mailerstudy 01 LT POP/IMAP入門
#mailerstudy 01 LT POP/IMAP入門
 
#dnstudy 01 ドメイン名の歴史
#dnstudy 01 ドメイン名の歴史#dnstudy 01 ドメイン名の歴史
#dnstudy 01 ドメイン名の歴史
 
hbstudy20100821 SpamAssassin
hbstudy20100821 SpamAssassinhbstudy20100821 SpamAssassin
hbstudy20100821 SpamAssassin
 

Recently uploaded

Recently uploaded (11)

LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー  DS20L  カタログ  LiDARデバイスLoRaWANスマート距離検出センサー  DS20L  カタログ  LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
 
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半        2024/04/26の勉強会で発表されたものです。新人研修 後半        2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
 
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
 
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
 
LoRaWAN無位置ロープ式水漏れセンサーWL03A 日本語マニュアル
LoRaWAN無位置ロープ式水漏れセンサーWL03A 日本語マニュアルLoRaWAN無位置ロープ式水漏れセンサーWL03A 日本語マニュアル
LoRaWAN無位置ロープ式水漏れセンサーWL03A 日本語マニュアル
 
LoRaWAN無位置ロープ型水漏れセンサー WL03A-LB/LSカタログ ファイル
LoRaWAN無位置ロープ型水漏れセンサー WL03A-LB/LSカタログ ファイルLoRaWAN無位置ロープ型水漏れセンサー WL03A-LB/LSカタログ ファイル
LoRaWAN無位置ロープ型水漏れセンサー WL03A-LB/LSカタログ ファイル
 
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
 
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
 
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
 
Utilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native IntegrationsUtilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native Integrations
 
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
 

#dnstudy 01 Unboundの紹介

  • 1. 1 Unboundの紹介 日本Unboundユーザ会 滝澤隆史 日本Unboundユーザ会 2011-06-18 #dnstudy 01 発表資料
  • 2. 2 日本Unboundユーザ会 #dnstudy 01 発表資料 2011-06-18
  • 3. 3 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料 日本Unboundユーザ会 • 何となくノリで作った • なぜか公式(NLnet Labs)公認 • ユーザ会と名乗っている割にはコミュニテゖー として体をなしていない • ときどき協力してくださる方がいるので助かっ ている • Googleグループに議論や連絡の場所を作った。 ▫ http://groups.google.com/group/unbound-jp
  • 4. 4 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料 ユーザ会の主な活動 • ウェブサ゗トの公開 ▫ http://unbound.jp/ • マニュゕル等の翻訳 • Unboundだけでなく、ldnsとNSDについてもマ ニュゕルを翻訳して公開している • 技術検証はほとんどできていない
  • 5. 5 日本Unboundユーザ会 #dnstudy 01 発表資料 2011-06-18
  • 6. 6 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料 BINDの代替を目指したキャッシュサーバ • 設定の容易さ • フルスペックのキャッシュサーバ • 機能を限定した権威サーバ • キャッシュ汚染への高い耐性 • 高い処理性能 • リモート制御ツール • DNSSEC対応
  • 7. 7 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料 NLnet Labsが開発・保守 • Verisign labs〃Nominet〃Kirei〃EP.netがプロトタ ゗プをJavaで開発した • NLnet LabsがCで実装し直した • NLnet Labsはルートサーバでも利用されている権 威DNSサーバのNSDの開発元でもある • BSDラ゗センス
  • 8. 8 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料 動作環境 • UNIX系OS(Linux, *BSD, MacOS X, Solaris) • Windows
  • 9. 9 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料 動作環境/依存ラ゗ブラリ • 依存するラ゗ブラリ ▫ OpenSSL  GOSTに対応していない場合(0.9.8以前)はunbound のconfigure時に--disable-gostを付ける必要がある。 ▫ libexpat  Unbound 1.4.7以降で必要となる ▫ ldns  unboundのビルド時に同梱のldnsを組み込むこともで きる
  • 10. 10 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料 動作環境/パッケージ(Linux系) Linuxデゖストロ Unbound ldns 備考 Debian GNU/Linux squeeze 1.4.6 1.6.6 Debian GNU/Linux wheezy 1.4.10 1.6.9 Ubuntu 10.04 LTS 1.4.1 1.6.1 Ubuntu 10.10 1.4.5 1.6.4 Fedora 15 1.4.8 1.6.8 標準パッケージなし。 RHEL 5/CentOS 5 (1.4.4) (1.6.4) Fedora EPEL 5より 標準パッケージなし。 RHEL 6 (1.4.4) (1.6.4) Fedora EPEL 6より openSUSE 11.3 - 1.5.1 パッケージなし Momonga Linux 7 1.4.6 1.6.5 Gentoo Linux 1.4.10 1.6.9
  • 11. 11 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料 動作環境/パッケージ(BSD系) OS Unbound ldns 備考 FreeBSD 1.4.10 1.6.9 Ports NetBSD 1.4.9 1.6.9 Packages Collection OpenBSD 1.4.10 1.6.9 Ports Mac OS X(MacPorts) 1.4.10 1.6.8 MacPorts
  • 12. 12 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料 動作環境/Windows • 公式サ゗トにWindows版が公開されている • ゗ンストーラー付き
  • 13. 13 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料 動作環境/Windows • ゗ンストール後に参照する「DNSサーバー」を 「127.0.0.1」に変更するだけ • ルートのトランスゕンカーが自動で取得され、 DNSSECの検証が有効になる。
  • 14. 14 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料 バージョンの履歴 • 1.0.0(2008年05月) ▫ 正式リリース • 1.1.0(2008年11月) ▫ DLV対応 • 1.2.0(2009年1月) ▫ unbound-controlコマンド • 1.3.0(2009年6月) ▫ Windows版、Python対応
  • 15. 15 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料 バージョンの履歴 • 1.4.0(2009年11月) ▫ トラストゕンカーの自動更新機能 ▫ RSASHA256とRSASHA512サポート (デフォルト有効) • 1.4.7(2010年11月) ▫ unbound-anchorコマンド (ルートゾーンのDNSKEYの取得) • 1.4.10(2011年5月) ▫ 最新版 ▫ セキュリテゖ修正あり
  • 16. 16 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料 利用すべきバージョン • 1.4.10以降を推奨 ▫ 1.4.9以前にセキュリテゖ問題あり ▫ 設定パラメータautomatic-interfaceをnoに設定して いればこれより古いバージョンでもよい • 少なくとも1.4.0以降を利用すべき ▫ トラストゕンカーの自動更新 ▫ RSASHA256とRSASHA512のサポート • 1.4.7以降を推奨 ▫ unbound-anchorコマンドが新規導入には便利
  • 17. 17 日本Unboundユーザ会 #dnstudy 01 発表資料 2011-06-18
  • 18. 18 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料 設定フゔ゗ル • 設定フゔ゗ルは一つ ▫ unbound.conf • 形式 ▫ パラメータ名: 設定値 • 設定例 ▫ server: verbosity: 1 interface: 0.0.0.0 access-control: 192.0.2.0/24 allow
  • 19. 19 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料 ゾーンフゔ゗ルの記述不要 • ループバックゕドレスに対する正引きおよび逆 引きのゾーンなどのお決まりのゾーン ▫ 組み込まれている ▫ BINDのようにゾーンフゔ゗ルを用意する必要はな い
  • 20. 20 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料 ホスト自身のリゾルバ • デフォルトの設定で動作可能 ▫ ローカルホストにバ゗ンド ▫ ゕクセス制御はローカルホストのみ許可
  • 21. 21 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料 他のホストに対するフルリゾルバ • "interface"でバ゗ンドする゗ンターフェ゗スの指 定 • "access-control"でゕクセス制御を指定 • 設定例 ▫ server: interface: 0.0.0.0 ←バ゗ンドする゗ンターフェ゗ス(IPv4) interface: ::0 ←バ゗ンドする゗ンターフェ゗ス(IPv6) access-control: 192.0.2.0/24 allow ←ゕクセス制御 access-control: 2001:db8:beef::/48 allow ←ゕクセス制御
  • 22. 22 日本Unboundユーザ会 #dnstudy 01 発表資料 2011-06-18
  • 23. 23 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料 フルスペックのキャッシュサーバ • 再帰問い合わせ • キャッシュ • DNSSECの検証 • スタブ • フォワード
  • 24. 24 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料 スタブ • 指定したゾーンに対して指定した権威サーバへ 問い合わせを行う • "stub-zone"を設定する • 設定例 ▫ stub-zone: name: "example.org" stub-addr: 192.0.2.1 stub-zone: name: "2.0.192.in-addr.arpa" stub-addr: 192.0.2.1
  • 25. 25 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料 フォワード • 指定したゾーンに対して指定したキャッシュ サーバへ再帰問い合わせを行う • "forward-zone"を設定する • 設定例 ▫ forward-zone: name: "example.com" forward-addr: 192.0.2.68 forward-addr: 192.0.2.73@5355
  • 26. 26 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料 制限事項 • DNSラウンドロビン非対応 ▫ キャッシュした内容をそのままの順番で回答する
  • 27. 27 日本Unboundユーザ会 #dnstudy 01 発表資料 2011-06-18
  • 28. 28 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料 限定的な機能の権威サーバ • フル実装は目指していない • 別の権威サーバに問い合わせるまでもないリ ソースレコードについて回答する
  • 29. 29 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料 ループバックゕドレス • ループバックゕドレスの正引きと逆引き ▫ localhost. ▫ 127.in-addr.arpa. ▫ 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0. 0.0.0.ip6.arpa.
  • 30. 30 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料 不要な逆引きの問い合わせへの回答 • 不要な逆引きの問い合わせにはName Error (NXDOMAIN)を返す(AS112的な対応) ▫ プラ゗ベート ▫ リンクローカル ▫ テストネット ▫ ブロードキャスト ▫ 例示
  • 31. 31 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料 リソースレコードの登録 • local-data ▫ リソースレコードを登録できる  local-data: 'a.example.jp. IN A 192.0.2.1'  local-data: '1.2.0.192.in-addr.arpa. IN PTR a.example.jp.' • local-data-ptr ▫ PTRの簡略記法  local-data-ptr: '192.0.2.1 a.example.jp.' • local-data, local-data-ptrはLAN内のホストの名前 解決用に利用すると便利
  • 32. 32 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料 プラ゗ベートゕドレスの注意事項 • forward-zoneやstub-zoneでプラ゗ベートゕドレス の逆引き用にキャッシュサーバや権威サーバを 指定する場合 ▫ stub-zone: name: "0.168.192.in-addr.arpa" stub-addr: 192.0.2.1 • このときAS112対策でName Error(NXDOMAIN) が返される ▫ 対策としてlocal-zoneでtransparentを指定 ▫ local-zone: "0.168.192.in-addr.arpa." transparent
  • 33. 33 日本Unboundユーザ会 #dnstudy 01 発表資料 2011-06-18 "Unbound 1.0.2 Patch Announcement"のまとめ http://unbound.net/documentation/patch_announce102.html
  • 34. 34 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料 オープンリゾルバにならないための ゕクセス制御 • デフォルトではlocalhostからのみゕクセス可能 • 必要に応じてゕクセスを許可 ▫ interface: 0.0.0.0 ▫ access-control: 192.0.2.0/24 allow
  • 35. 35 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料 キャッシュ汚染への高い耐性 • 回答に対するサニタ゗ジング • 暗号学的に強いランダム性を持つクエリーIDの 利用 • 暗号学的に強いランダム性を持つソースポート 番号の 利用 • ランダムなデステゖネーションIPゕドレスの利 用 • ランダムなソースIPゕドレスの利用 • dns-0x20(クエリーの際に大文字・小文字をラ ンダムに混ぜる)
  • 36. 36 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料 デフォルトのランダム性 クエリーID 16 ビット ポート番号 16 ビット デステゖネーションIPゕドレス(平均) 2 ビット ランダム性の合計 34 ビット
  • 37. 37 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料 さらに工夫した場合のランダム性 クエリーID 16 ビット ポート番号 16 ビット デステゖネーションIPゕドレス(平均) 2 ビット ソースIPゕドレス(平均) 2 ビット dns-0x20(平均) 8 ビット ランダム性の合計 44 ビット
  • 38. 38 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料 攻撃に対する耐性 ビット 50%機会 5%機会 16 10秒 1秒 ランダムなクエリーIDのみ 26 2.8時間 17分 ランダムなクエリーIDとソースポートのラン ダムの範囲1024ポート 34 28日 2.8日 Unboundデフォルト 44 28444日 2844.4日 Unbound(dns-0x20とソースゕドレス)
  • 39. 39 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料 dns-0x20の注意点 • この機能はデフォルトでは無効である • 設定フゔ゗ルで"use-caps-for-id: yes"と記述する ことで有効になる • 有効にすると問い合わせに失敗することがある ため、実験的な機能として捉えてください
  • 40. 40 日本Unboundユーザ会 #dnstudy 01 発表資料 2011-06-18
  • 41. 41 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料 Performance tests results on BIND9/NSD/UNBOUND • IEPG Meeting – November 2010 @ IETF 79 ▫ http://iepg.org/2010-11-ietf79/ • Orange LabsのDaniel Migault氏の発表 • BINDの2~3倍のキャッシュ処理性能
  • 42. 42 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料 Alternative DNS Servers: the book as PDF • Jan-Piet Mens著" Alternative DNS Servers " ▫ http://blog.fupps.com/2010/10/29/alternative-dns- servers-the-book-as-pdf/ PowerDNS MaraDNS BIND dnscache Unbound Recursor Queries /sec 13,846 16,066 14,957 10,796 25,072 Queries /sec (LAN) 13,308 26,656 13,114 21,218 30,569 Queries /sec (10 clients) 3,068 3,003 2,928 2,074 8,276 RSS size 1,336 40,916 1,712 14,336 16,828 VSZ size 168,408 195,380 6,044 26,500 180,648 P.559 Table 23.9: How the caching name servers performed
  • 43. 43 日本Unboundユーザ会 #dnstudy 01 発表資料 2011-06-18
  • 44. 44 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料 unbound-control • リモート制御ツール • BINDのrndcのようなもの
  • 45. 45 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料 Unboundへの接続 • ポート番号はTCP953 • サーバにはSSL/TLS経由で接続 ▫ 秘密鍵や証明書が必要 ▫ 秘密鍵と自己署名証明書 を作成する unbound-control-setupというスクリプトあり
  • 46. 46 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料 主な機能 • 起動、停止、リロード、状態の出力 • 饒舌さ(verbosity)の変更 • 統計情報の出力 • ローカルゾーンの操作(追加、削除) • ローカルデータの操作(追加、削除) • キャッシュのダンプ、ロード、削除 • 設定オプションの設定および取得 • 利用中のスタブゾーン、フォワードゾーン、 ローカルゾーン、ローカルデータの一覧の出力
  • 47. 47 日本Unboundユーザ会 #dnstudy 01 発表資料 2011-06-18
  • 48. 48 2011-06-18 日本Unboundユーザ会 #dnstudy 01 発表資料 DNSSEC • 別資料「UnboundとDNSSEC」を参照 ▫ http://unbound.jp/unbound/
  • 49. 49 日本Unboundユーザ会 #dnstudy 01 発表資料 2011-06-18