パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

DNSルートサーバへのアクセスのうち、45.80%はChromiumの検索仕様による無駄な通信だった」記事へのコメント

  • by Anonymous Coward on 2020年08月27日 9時09分 (#3877425)

    たとえばgoogleがhogehoge.comみたいなドメインをchrome用に取得して、
    [ランダム文字列].hogehoge.com
    みたいな問い合わせをすればいい

    • DNSの仕組み的に、そんなのは意味がないですよ。

      foo.hogehoge.com のIPアドレスを知りたい場合の、名前解決(IPアドレス取得)の流れは
      1. foo.hogehoge.com についてルートサーバに問い合わせる → [.com を管理するDNSサーバ]に問い合わせるよう応答が返ってくる
      2. foo.hogehoge.com について[.comを管理するDNSサーバ]に問い合わせる → [hogehoge.com を管理するDNSサーバ]に問い合わせるよう応答が返ってくる
      3. foo.hogehoge.com について[hogehoge.comを管理するDNSサーバ]に問い合わせる → foo.hogehoge.com のIPアドレスが返ってくる
      となります。
      この後、別の bar.hogehoge.com について問い合わせる場合、
      また1のルートサーバーへの問い合わせからやりなおし。
      「同じhogehoge.comだからいきなり3に問い合わせればいいや」とはなりません。

      まったく同じホスト名を再度問い合わせるなら、キャッシュすることで無駄な問い合わせは減らせられますが、
      ランダムな場合は都度ルートサーバへの問い合わせが発生しますので、
      ごく一部のランダム文字列クエリが、ルートサーバへの問い合わせの半分近くを占める、
      というのはいかにもな状況です。

      ルートサーバへのクエリを防ぐ方法ですが、
      通常はブラウザが直接ルートサーバなどに問い合わせたりせず、
      「問い合わせに対して、上記1~3のクエリを実施してその最終結果を返す」ような「リゾルバ」DNSサーバに対してブラウザは問い合わせるので、
      ・ブラウザの問い合わせ先のDNSサーバを、Google管理下の 8.8.8.8 などを使うようにする
      ・8.8.8.8のサーバは、hogehoge.com の情報を返すスレーブサーバにしておく
      とかすれば、ルートサーバへのクエリを減らすことができますが、

      そもそも、今回の問題のクエリ挙動を行う理由が、
      リゾルバとして指定されたDNSサーバがNXDOMAINハイジャックしているかどうかの確認のため、ですので、
      8.8.8.8 に問い合わせるようにする時点で、そもそもランダムクエリは不要です…

      親コメント
      • by Anonymous Coward on 2020年08月27日 12時34分 (#3877551)

        >「同じhogehoge.comだからいきなり3に問い合わせればいいや」とはなりません。

        手元の unbound で tcpdump した範囲だと、ちゃんと中間のNSレコードはキャッシュされ、ルート問い合わせは発生してないよ?

        親コメント
        • > ちゃんと中間のNSレコードはキャッシュされ、ルート問い合わせは発生してない

          そうでしたか。すみません、何か勘違いしていたようです。

          …とすると、ルートサーバへの問い合わせが出るということは、TLDを乱数生成してるってことですかね…なんて無茶を…

          親コメント
          • by Anonymous Coward

            TLDというか、ピリオド一切含まない7〜15文字のランダムなアルファベット列でリクエスト飛ばすっぽい。
            Privoxy使ってんだけどたまにホスト名解決失敗のログが湧いてきて大分鬱陶しい。

        • by Anonymous Coward

          ISPや企業や大学ではDNSリゾルバサーバのキャッシュを十分にチューニングしなければならぬと言うわけですね

      • by Anonymous Coward

        御高説のところ申し訳ないけど

        > 8.8.8.8 に問い合わせるようにする時点で、そもそもランダムクエリは不要です…

        8.8.8.8がハイジャックされてないかどうかはどうやって確認するんですか?

    • by Anonymous Coward

      そしたら、Google が検索キーワードを暗号化して傍受しているって悪評が立つでしょ。
      意識高い人たちがドメインをブロックして検索が機能しなくなったら、抱合せだって騒ぐでしょ。
      Google に依存させてはうまくいかなくなることもあるんだよ。

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

処理中...