Network Working Group Y. Morishita
Request for Comments: 4074 JPRS
Category: Informational T. Jinmei
Toshiba
May 2005
Common Misbehavior Against DNS Queries for IPv6 Addresses
Status of This Memo
このメモのステータス
This memo provides information for the Internet community. It does not specify an Internet standard of any kind. Distribution of this memo is unlimited.
このメモはインターネットコミュニティのための情報を提供します。それはどんな種類のインターネット標準を指定しません。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The Internet Society (2005).
著作権(C)インターネット協会(2005)。
Abstract
抽象
There is some known misbehavior of DNS authoritative servers when they are queried for AAAA resource records. Such behavior can block IPv4 communication that should actually be available, cause a significant delay in name resolution, or even make a denial of service attack. This memo describes details of known cases and discusses their effects.
彼らはAAAAリソースレコードを照会しているDNS権威サーバのいくつかの既知の不正行為があります。このような挙動は、実際に、利用できるように名前解決が大幅に遅延が発生し、あるいはサービス拒否攻撃をしなければならないのIPv4通信をブロックすることができます。このメモは知られている例の詳細を説明し、その効果について説明します。
Many existing DNS clients (resolvers) that support IPv6 first search for AAAA Resource Records (RRs) of a target host name, and then for A RRs of the same name. This fallback mechanism is based on the DNS specifications, which if not obeyed by authoritative servers, can produce unpleasant results. In some cases, for example, a web browser fails to connect to a web server it could otherwise reach. In the following sections, this memo describes some typical cases of such misbehavior and its (bad) effects.
多くの既存のDNSクライアントと同じ名前のRRのために、ターゲット・ホスト名のAAAAリソースレコード(RR)のIPv6最初の検索をサポートし、(リゾルバ)。このフォールバックメカニズムは、権限サーバが従わない場合には、不快な結果を生み出すことができDNSの仕様に基づいています。いくつかのケースでは、例えば、Webブラウザは、それはそれ以外に達する可能性があるWebサーバへの接続に失敗しました。以下のセクションでは、このメモは、そのような不正行為とその(悪い)の効果のいくつかの典型的な事例が記載されています。
Note that the misbehavior is not specific to AAAA RRs. In fact, all known examples also apply to the cases of queries for MX, NS, and SOA RRs. The authors believe this can be generalized for all types of queries other than those for A RRs. In this memo, however, we concentrate on the case for AAAA queries, since the problem is particularly severe for resolvers that support IPv6, which thus affects many end users. Resolvers at end users normally send A and/or AAAA queries only, so the problem for the other cases is relatively minor.
不正行為がAAAA RRのに固有のものではないことに注意してください。実際には、すべての知られている例もMX、NS、およびSOAのRRのためのクエリの例に適用されます。著者は、これはRRのためのもの以外のクエリのすべてのタイプのために一般化することができると信じています。問題は、このように多くのエンドユーザに影響IPv6をサポートリゾルバのために特に深刻であるため、このメモでは、しかし、我々は、AAAAクエリのケースに集中します。エンドユーザーのリゾルバは通常のみAおよび/またはAAAAクエリを送信するので、他のケースのための問題は比較的軽微です。
In this memo, we assume a typical network model of name resolution environment using DNS. It consists of three components: stub resolvers, caching servers, and authoritative servers. A stub resolver issues a recursive query to a caching server, which then handles the entire name resolution procedure recursively. The caching server caches the result of the query and sends the result to the stub resolver. The authoritative servers respond to queries for names for which they have the authority, normally in a non-recursive manner.
このメモでは、DNSを使用して名前解決環境の典型的なネットワークモデルを前提としています。スタブリゾルバ、キャッシュサーバ、および権威サーバ:それは3つのコンポーネントで構成されています。スタブリゾルバは、再帰的に全体の名前解決手順を扱うキャッシュサーバに再帰クエリを発行します。キャッシュサーバは、クエリの結果をキャッシュし、スタブリゾルバに結果を送信します。権威サーバは、通常、非再帰的な方法で、彼らが権限を持っている名前のクエリに応答します。
Suppose that an authoritative server has an A RR but has no AAAA RR for a host name. Then, the server should return a response to a query for an AAAA RR of the name with the response code (RCODE) being 0 (indicating no error) and with an empty answer section (see Sections 4.3.2 and 6.2.4 of [1]). Such a response indicates that there is at least one RR of a different type than AAAA for the queried name, and the stub resolver can then look for A RRs.
権威サーバがA RRを持っていますが、ホスト名にはAAAA RRを持っていないと仮定します。次いで、サーバは、応答コード(RCODE)(エラーがないことを示す)0であると、空の応答セクション(セクション4.3.2および6.2.4を参照[して名のAAAAのRRのクエリへの応答を返すべきです1])。そのような応答は、照会された名前のためのAAAAとは異なるタイプの少なくとも1つのRRがあることを示し、スタブリゾルバは、その後のRRを探すことができます。
This way, the caching server can cache the fact that the queried name has no AAAA RR (but may have other types of RRs), and thus improve the response time to further queries for an AAAA RR of the name.
この方法では、キャッシュサーバは、照会名は何AAAA RRを持っていません(ただし、RRの他のタイプであってもよい)という事実をキャッシュし、ひいては名のAAAA RRのためのクエリを促進するための応答時間を改善することができます。
There are some known cases at authoritative servers that do not conform to the expected behavior. This section describes those problematic cases.
予想される動作に準拠していない権威サーバでのいくつかの既知のケースがあります。ここでは、これらの問題の例を示します。
Some authoritative servers seem to ignore queries for an AAAA RR, causing a delay at the stub resolver to fall back to a query for an A RR. This behavior may cause a fatal timeout at the resolver or at the application that calls the resolver. Even if the resolver eventually falls back, the result can be an unacceptable delay for the application user, especially with interactive applications like web browsing.
いくつかの権威サーバは、AのRRのために戻って、クエリに落下するスタブリゾルバで遅延を引き起こし、AAAA RRのためのクエリーを無視するように見えます。この動作は、リゾルバで、またはリゾルバを呼び出すアプリケーションで致命的なタイムアウトが発生することがあります。リゾルバは、最終的に戻って落ちたとしても、結果は特に、ウェブブラウジングなどの対話型アプリケーションでは、アプリケーションのユーザーには受け入れられない遅延することができます。
This type of server returns a response with RCODE 3 ("Name Error") to a query for an AAAA RR, indicating that it does not have any RRs of any type for the queried name.
このタイプのサーバは、それが照会名のいずれかのタイプのいずれかのRRを持っていないことを示す、AAAA RRのためのクエリにRCODE 3(「名エラー」)で応答を返します。
With this response, the stub resolver may immediately give up and never fall back. Even if the resolver retries with a query for an A RR, the negative response for the name has been cached in the caching server, and the caching server will simply return the negative response. As a result, the stub resolver considers this to be a fatal error in name resolution.
この応答では、スタブリゾルバは、すぐにあきらめてフォールバックしないことがあります。リゾルバはA RRのクエリを再試行しても、名前のための否定応答がキャッシュサーバにキャッシュされている、とキャッシュサーバは、単純に否定応答を返します。その結果、スタブリゾルバが、これは名前解決で致命的なエラーであると考えています。
Several examples of this behavior are known to the authors. As of this writing, all have been fixed.
この動作のいくつかの例が作者に知られています。この記事の執筆時点で、全てが修正されました。
Other authoritative servers return a response with erroneous response codes other than RCODE 3 ("Name Error"). One such RCODE is 4 ("Not Implemented"), indicating that the servers do not support the requested type of query.
その他の権威サーバはRCODE 3(「名エラー」)以外の誤った応答コードで応答を返します。そのようなRCODEは4である(「実装されていません」)、サーバはクエリの要求されたタイプをサポートしていないことを示しています。
These cases are less harmful than the previous one; if the stub resolver falls back to querying for an A RR, the caching server will process the query correctly and return an appropriate response.
これらの例は、以前のものよりも害が少ないです。スタブリゾルバがA RRを照会に戻って低下した場合、キャッシュサーバは正しくクエリを処理し、適切な応答を返します。
However, these can still cause a serious effect. There was an authoritative server implementation that returned RCODE 2 ("Server failure") to queries for AAAA RRs. One widely deployed mail server implementation with a certain type of resolver library interpreted this result as an indication of retry and did not fall back to queries for A RRs, causing message delivery failure.
しかし、これらはまだ深刻な影響を引き起こす可能性があります。 AAAA RRのためのクエリにRCODE 2(「サーバ失敗」)を返された権限のあるサーバーの実装がありました。リゾルバライブラリの特定のタイプの一つに広く展開メールサーバの実装は、再試行の指標としてこの結果を解釈し、メッセージ配信の失敗を引き起こし、バック資源レコードに対するクエリへ落ちませんでした。
If the caching server receives a response with these response codes, it does not cache the fact that the queried name has no AAAA RR, resulting in redundant queries for AAAA RRs in the future. The behavior will waste network bandwidth and increase the load of the authoritative server.
キャッシュサーバは、これらの応答コードで応答を受信した場合、それは照会名は、将来的にAAAA RRのための冗長クエリで、その結果、何のAAAA RRを持っていないという事実をキャッシュしません。動作は、ネットワークの帯域幅を無駄にし、権限のあるサーバーの負荷が増加します。
Using RCODE 1 ("Format error") would cause a similar effect, though the authors have not seen such implementations yet.
著者は、まだそのような実装を見ていないのにRCODE 1(「フォーマットエラー」)を使用することで、同様の効果を引き起こします。
Another type of authoritative servers returns broken responses to AAAA queries. Returning a response whose RR type is AAAA with the length of the RDATA being 4 bytes is a known behavior of this category. The 4-byte data looks like the IPv4 address of the queried host name.
権威サーバのもう一つのタイプは、AAAAクエリに壊れた応答を返します。 RDATAの長さは4バイトであると、そのRRタイプAAAAで応答を返すことは、このカテゴリの既知の動作です。 4バイトのデータを照会、ホスト名のIPv4アドレスのように見えます。
That is, the RR in the answer section would be described as follows:
それは次のように答えセクションのRRが説明されるだろう、次のとおりです。
www.bad.example. 600 IN AAAA 192.0.2.1
www.bad.example。 AAAA 192.0.2.1 600
which is, of course, bogus (or at least meaningless).
これはもちろん、偽(または少なくとも無意味)、です。
A widely deployed caching server implementation transparently returns the broken response (and caches it) to the stub resolver. Another known server implementation parses the response by itself, and sends a separate response with RCODE 2 ("Server failure").
広く展開されているキャッシュサーバの実装は、透過的に壊れた応答を返す(およびそれをキャッシュ)スタブリゾルバに。別の既知のサーバーの実装は、それ自体で応答を解析し、RCODE 2(「サーバ失敗」)と別の応答を送信します。
In either case, the broken response does not affect queries for an A RR of the same name. If the stub resolver falls back to A queries, it will get an appropriate response.
いずれの場合も、壊れた応答は、同じ名前のA RRのためのクエリには影響しません。スタブリゾルバは、クエリにフォールバックする場合は、適切な応答を取得します。
The latter case, however, causes the same bad effect as that described in the previous section: redundant queries for AAAA RRs.
AAAA資源レコードのための冗長クエリ:後者の場合は、しかし、前のセクションで説明したのと同様に悪い効果をもたらします。
Some authoritative servers respond to AAAA queries in a way that causes lame delegation. In this case, the parent zone specifies that the authoritative server should have the authority of a zone, but the server should not return an authoritative response for AAAA queries within the zone (i.e., the AA bit in the response is not set). On the other hand, the authoritative server returns an authoritative response for A queries.
いくつかの権威サーバは、不完全な委任が発生するように、AAAAクエリに応答します。この場合、親ゾーンは、認証サーバがゾーンの権限を有していなければならないことを指定するが、サーバーは、ゾーン(すなわち、応答におけるAAビットがセットされていない)内のAAAAクエリに対する権限応答を返すべきではありません。一方、権威サーバがクエリに対して権限応答を返します。
When a caching server asks the server for AAAA RRs in the zone, it recognizes the delegation is lame, and returns a response with RCODE 2 ("Server failure") to the stub resolver.
キャッシュサーバがゾーンでAAAA RRのためのサーバーを要求すると、それは代表団がラメで認識し、スタブリゾルバにRCODE 2(「サーバ失敗」)との応答を返します。
Furthermore, some caching servers record the authoritative server as lame for the zone and will not use it for a certain period of time. With this type of caching server, even if the stub resolver falls back to querying for an A RR, the caching server will simply return a response with RCODE 2, since all the servers are known to be "lame."
さらに、いくつかのキャッシュサーバーは、ゾーンのラメなどの権限のあるサーバーを記録し、一定の期間のためにそれを使用することはありません。すべてのサーバーがあることが知られているので、キャッシュサーバのこのタイプでは、スタブリゾルバが戻ってA RRをクエリに低下しても、キャッシュサーバは、単純に、RCODE 2で応答を返すだろう「ラメ。」
There is also an implementation that relaxes the behavior a little bit. It tries to avoid using the lame server, but continues to try it as a last resort. With this type of caching server, the stub resolver will get a correct response if it falls back after Server failure. However, this still causes redundant AAAA queries, as explained in the previous sections.
行動を少し緩和実装もあります。これは、ラメサーバーを使用しないようにしようとしますが、最後の手段としてそれを試し続けています。それはサーバの障害発生後にフォールバックする場合はキャッシュサーバのこのタイプでは、スタブリゾルバは正しい応答を取得します。前のセクションで説明したようにしかし、これはまだ、冗長AAAAクエリが発生します。
The CERT/CC pointed out that the response with RCODE 3 ("Name Error"), described in Section 4.2, can be used for a denial of service attack [2]. The same argument applies to the case of "lame delegation", described in Section 4.5, with a certain type of caching server.
CERT / CCは、[2]のセクション4.2に記載RCODE 3(「名前エラー」)との反応は、サービス拒否攻撃のために使用することができることを指摘しました。同じ引数には、キャッシュサーバの特定のタイプで、4.5節で説明した「ラメ委任」の場合に適用されます。
Erik Nordmark encouraged the authors to publish this document as an RFC. Akira Kato and Paul Vixie reviewed a preliminary version of this document. Pekka Savola carefully reviewed a previous version and provided detailed comments. Bill Fenner, Scott Hollenbeck, Thomas Narten, and Alex Zinin reviewed and helped improve the document at the last stage for publication.
エリックNordmarkとはRFCとしてこのドキュメントを公開する作家を奨励しました。アキラ加藤とポール・ヴィクシーは、この文書の暫定版をレビューしました。ペッカSavolaは慎重に以前のバージョンを検討し、詳細なコメントを提供しました。ビルフェナー、スコットホレンベック、トーマスNarten氏、およびアレックスジニンを見直し、出版のための最後の段階で文書を向上させる助けました。
[1] Mockapetris, P., "Domain names - concepts and facilities", STD 13, RFC 1034, November 1987.
[1] Mockapetris、P.、 "ドメイン名 - 概念と設備"、STD 13、RFC 1034、1987年11月。
[2] The CERT Coordination Center, "Incorrect NXDOMAIN responses from AAAA queries could cause denial-of-service conditions", March 2003, <http://www.kb.cert.org/vuls/id/714121>.
[2] CERTコーディネーションセンターを、<http://www.kb.cert.org/vuls/id/714121>、2003年3月、「AAAAクエリから誤ったNXDOMAIN応答がサービス拒否の状態を引き起こす可能性があります」。
Authors' Addresses
著者のアドレス
MORISHITA Orange Yasuhiro Research and Development Department, Japan Registry Services Co.,Ltd. Chiyoda First Bldg. East 13F, 3-8-1 Nishi-Kanda Chiyoda-ku, Tokyo 101-0065 Japan
森下オレンジ康弘研究開発部門、日本レジストリサービス株式会社。千代田ファーストビル。東13F、3-8-1西神田東京都千代田区101から0065日本
EMail: yasuhiro@jprs.co.jp
メールアドレス:yasuhiro@jprs.co.jp
JINMEI Tatuya Corporate Research & Development Center, Toshiba Corporation 1 Komukai Toshiba-cho, Saiwai-ku Kawasaki-shi, Kanagawa 212-8582 Japan
じんめい たつや こrぽらて れせあrch & でゔぇぉpめんt せんてr、 としば こrぽらちおん 1 こむかい としばーちょ、 さいわいーく かわさきーし、 かながわ 212ー8582 じゃぱん
EMail: jinmei@isl.rdc.toshiba.co.jp
メールアドレス:jinmei@isl.rdc.toshiba.co.jp
Full Copyright Statement
完全な著作権声明
Copyright (C) The Internet Society (2005).
著作権(C)インターネット協会(2005)。
This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.
この文書では、BCP 78に含まれる権利と許可と制限の適用を受けており、その中の記載を除いて、作者は彼らのすべての権利を保有します。
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
この文書とここに含まれている情報は、基礎とCONTRIBUTOR「そのまま」、ORGANIZATION HE / SHEが表すまたはインターネットソサエティおよびインターネット・エンジニアリング・タスク・フォース放棄すべての保証、明示または、(もしあれば)後援ISに設けられています。黙示、情報の利用は、特定の目的に対する権利または商品性または適合性の黙示の保証を侵害しない任意の保証含むがこれらに限定されません。
Intellectual Property
知的財産
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.
IETFは、本書またはそのような権限下で、ライセンスがたりないかもしれない程度に記載された技術の実装や使用に関係すると主張される可能性があります任意の知的財産権やその他の権利の有効性または範囲に関していかなる位置を取りません利用可能です。またそれは、それがどのような権利を確認する独自の取り組みを行ったことを示すものでもありません。 RFC文書の権利に関する手続きの情報は、BCP 78およびBCP 79に記載されています。
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
IPRの開示のコピーが利用できるようにIETF事務局とライセンスの保証に行われた、または本仕様の実装者または利用者がそのような所有権の使用のための一般的なライセンスまたは許可を取得するために作られた試みの結果を得ることができますhttp://www.ietf.org/iprのIETFのオンラインIPRリポジトリから。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.
IETFは、その注意にこの標準を実装するために必要とされる技術をカバーすることができる任意の著作権、特許または特許出願、またはその他の所有権を持ってすべての利害関係者を招待します。 ietf-ipr@ietf.orgのIETFに情報を記述してください。
Acknowledgement
謝辞
Funding for the RFC Editor function is currently provided by the Internet Society.
RFC Editor機能のための基金は現在、インターネット協会によって提供されます。