Internet Watch logo
記事検索
特別企画
【 2009/06/11 】
6月のマイクロソフトセキュリティ更新を確認する
[20:03]
【 2009/06/09 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(後編)
[12:52]
【 2009/06/08 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(前編)
[14:12]
【 2009/06/04 】
多彩なリフィルでタスクも予定も柔軟に管理できる「xfy Planner」
[10:54]
【 2009/06/02 】
DirectShowのゼロデイ脆弱性に対応する
[14:18]
【 2009/05/28 】
ソニー「nav-u」の小さいカーナビ使ってみました<徒歩・自転車編>
[10:56]
【 2009/05/26 】
SNSはメールの10倍危険? 「心がけ」が大事とカスペルスキー氏
[11:24]
【 2009/05/21 】
被害が多発する「Gumblarウイルス」への対策を実施しよう
[19:20]
ソニー「nav-u」の小さいカーナビ使ってみました<基本機能編>
[11:00]
【 2009/05/15 】
Adobe Reader/Acrobatの脆弱性対策を考える
[15:27]
【 2009/05/14 】
5月のマイクロソフトセキュリティ更新を確認する
[12:58]
【 2009/04/16 】
4月のマイクロソフトセキュリティ更新を確認する
[15:57]

【レポート】急速に進むDNSルートサーバーのAnycast化

ルートサーバー間の国際協調が今後の課題に〜RIPE Meetingから

 ヨーロッパの広域ネットワークに関する非営利フォーラムであるRIPE(Reseaux IP Europeens)の定例ミーティング「RIPE 46 Meeting」が、オランダのアムステルダムで先ごろ開催された。今回はその中から、最近急速に進められているDNSルートサーバーのAnycast化に関連するトピックスを中心にレポートする。


DDoS攻撃がAnycast化の契機

 インターネットの名前空間は、13台のルートサーバーを基点としたツリー構造になっている。つまり、もしすべてのルートサーバーがアクセス不可能な状態になった場合、インターネット上のすべての名前空間にアクセスできなくなってしまう。

 この問題は、2002年10月に起こったルートサーバーへのDDoS攻撃により顕在化した。この時は、通常の30〜40倍のトラフィックが各ルートサーバーに対して発生。13台のうち7台が一時的にサービス不能な状態に陥ったほか、2台が断続的に影響を受けるなど、インターネットの根幹を支えるDNS全体が危機にさらされた(実際には、残ったルートサーバーが正常に動作していたため、インターネット全体への影響は避けられた)。

 このようなDDoS攻撃に対する耐性を強化する有力な方法としては、同一の機能を持つサーバーをインターネット上に分散配置することにより、システム全体に対するDDoS攻撃の効果を軽減する手法が従来から用いられている。しかし、DNSではプロトコル上の制限によりルートサーバーとして指定可能なサーバーが最大13台までに制限されているため、通常の方法ではそれを超える数のサーバーを配置することはできない。この問題を解決するために、ルートサーバーやTLDサーバーにおいて導入が進められているのが「Anycast」と呼ばれる技術だ。

 Anycastとは、通常はインターネット上の特定のノード(インターネットに接続されているホスト)に対して割り当てられるIPアドレスを、特定のサービスに対して共通に割り当てることを可能にするための技術である。RFC1546により定義されており、DNSサーバーへのAnycastの具体的な適用方法についてはRFC3258で記述されている。Anycastを導入することで、複数のノードで1つのIPアドレスを共有することが可能になり、サーバーを分散配置できる。DDoS耐性を強化できるほか、サーバーからのレスポンスやパフォーマンスも向上させることができる。


Anycast化で先行するFルートサーバー

 今回のRIPE Meetingでは、従来からAnycast化を積極的に進めているF.root-servers.net(Fルートサーバー)、ヨーロッパ地域においてAnycast化を進めようとしているI.root-servers.net(Iルートサーバー)およびK.root-servers.net(Kルートサーバー)のそれぞれの管理担当者から、今後のAnycast化の具体的な計画について発表があった。

 Fルートサーバーは、「BIND」の開発元であるISC(Internet Software Consortium)が運用している。従来からAnycastによる分散配置を積極的に進めており、すでにグローバルノード(全世界から到達可能なノード)を2カ所、ローカルノード(ノードが設置されたネットワークおよびその周辺からのみアクセスが可能なノード)を10カ所稼動。さらに近日中に5カ所のローカルノードを稼動させる予定とのことであった。Fルートサーバーでは特に、従来ルートサーバーへの到達性が必ずしもよくなかった地域を中心にローカルノードを展開しようとしている。


ノードを積極的に募集するIルートサーバー

設置用のラックスペース、電源、管理用ネットワークなどの募集がIルートサーバーの管理者から行なわれた
 Iルートサーバーは、従来からインターネットに関する技術研究活動を行なってきたスウェーデンのAutonomicaが運用している。Anycastの導入にきわめて積極的で、すでにスウェーデンのストックホルムとフィンランドのヘルシンキでグローバルノードを稼動。今後1年以内に20〜25カ所でノードを稼動させたいとのことであった。

 このような背景から大手ISPやIXに対してノードの設置を積極的に募集しており、今回のRIPE Meetingでは、DNS関連のワーキンググループに止まらず、EIX(European IX)ワーキンググループにおいても参加の呼びかけを行なっていた。ノードが設置されたネットワークに関するルーティングポリシーについて特に制限を設けないとのことであり、ノードを設置したネットワーク側の裁量でルーティング制御を行なうことができるのも“売り”にしようとしているのかもしれない。あえて言葉を選ばずに言うと、「あなたもルートサーバを設置しませんか?」といった、やや煽り気味ともとれる雰囲気もうかがえてしまうような発表であった。


ヨーロッパ地域への展開を図るKルートサーバー

Kルートサーバーの管理者であるDave Knight氏
 Kルートサーバーは、ヨーロッパ地域のRIR(Regional Internet Registry)であるRIPE NCCが運用していることもあり、従来からヨーロッパ地域を主眼に置いたサービスを提供してきた。すでにRIPE NCCの本部があるオランダのアムステルダムとイギリスのロンドンでグローバルノードを稼動させており、今後、ヨーロッパ地域のIXや大手ISPを中心にノードを増やしていきたいとのことであった。

 Kルートサーバーではまた、従来のBINDではなく、オランダのNLNetLabsで開発された「NSD(Name Server daemon)」を2月からDNSサーバとして使用しているのも特徴だ。発表によれば、NSDは高パフォーマンスかつコンパクトなプログラムで、DNSコンテンツサーバーに特化した構成となっている。DNSサービスに影響を与えるような、NSDに起因した障害も現在まで発生していないという。今後もNSDによるルートサーバーの運用を継続していきたいとしている。

 NSDは“ヨーロッパ製”のオープンソースソフトウェアであり、RIPE NCCとしては(“ヨーロッパとしては”とも言い換えられるだろう)、自分の実装による“実績”を作りながら、より論理的にDNSサーバーを運用していこうという、控えめながら確固としたポリシーがうかがえる発表であった。しかし、サーバー運用等により得られたノウハウは積極的に公開していくとのことで、ヨーロッパ地域内のみに止まることなく、より広い視野に立った立場で運用していきたいとの方針を打ち出していた。


国際協調が今後の課題に

Bルートサーバーで、年内にIPアドレスの変更を計画している旨の発表もあった
 しかし、Anycastには未解決の課題も多い。従来のインターネットの通信における基本原則である「IPアドレスにより通信相手を特定した1対1通信」が、根本から崩れるからだ。例えば、Anycastではクライアントから発信されたデータパケットが、複数あるどのサーバーによって処理されるかを、クライアント側ではまったく制御できない。そのため、例えばサーバー群を構成するノードのうちの一部に障害が発生した場合の原因の切り分け、特に不正な応答を返すサーバーが部分的に混入した場合の対応などに問題が発生するリスクがある。

 また、このようにAnycastが普及していった場合、ルートサーバー間における協調(コーディネーション)がより重要となることは言うまでもない。現在ルートサーバーに関する技術的事項については、ICANNのRSSAC(Root Server System Advisory Committee)が監督し、各ルートサーバーのテクニカルオペレータ間で情報交換を行なうことにより、全体としての整合性が図られている。

 ルートサーバーは、言うまでもなくインターネットにおけるきわめて重要な共通資源のひとつである。現在のところ、ICANNやIABからルートサーバーにおけるAnycastの導入に関するドキュメントは発行されていないが、今後の動きに対応したかたちで何らかの指針が示される可能性が高い。


ヨーロッパでも国際化ドメイン名が本格スタート

NASKのAndrzej Bartosiewicz氏から、.PLで使用可能な文字種について説明
 RIPE Meetingではこのほか、ポーランド(.PL)のレジストリであるNASKから、9月11日から国際化ドメイン名(IDN)の正式運用を開始するとの発表があった(その後、予定通り運用が開始され、最初の30分間で数百件の登録があったという)。.PLでは、現時点ではポーランド文字のみの登録を許可しているが、年内をめどに全EU圏の文字に登録対象を拡大するとしている。NASKの担当者によると、これはEU加盟国において均一な品質でのサービスを行なうための措置。ポーランドは2004年のEU加盟を計画しているということで、このようなところにもヨーロッパに特有の事情を見てとることができる。

 また、スウェーデン(.SE)では10月21日から、ドイツ(.DE)でも来年からIDNの正式運用が開始されるとのことだった。ヨーロッパ地域においても、IDNが本格的にスタートしたと言えるだろう。


関連情報

URL
  RIPE 46 Meeting(英文)
  http://www.ripe.net/ripe/meetings/ripe-46/
  Root Server Technical Operations Assn(英文)
  http://www.root-servers.org/
  F.root-servers.net(英文)
  http://www.isc.org/services/public/F-root-server.html
  Next phase in deploying anycast instances of k.root-servers.net(英文)
  http://www.ripe.net/ripe/mail-archives/dns-wg/2003/msg00228.html
  関連記事:DNSルートサーバーに分散サービス拒否攻撃
  http://internet.watch.impress.co.jp/www/article/2002/1024/dns.htm
  関連記事:国際化ドメイン名が本格化するヨーロッパ〜RIPE meetingから
  http://internet.watch.impress.co.jp/www/article/2003/0611/ripe.htm


( 森下泰宏/日本レジストリサービス )
2003/10/03 11:54

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2003 Impress Corporation All rights reserved.