DNSルートサーバーへのクエリーの98％は無意味
～米研究者グループが調査結果を発表

■URL
http://ucsdnews.ucsd.edu/newsrel/science/sdscRoot.htm

　米カリフォルニア州立大学サンディエゴ校(UCSD)のSan Diego Supercomputer Center(SDSC)の科学者たちが、カリフォルニアにあるDNSルートサーバーの1つが受信するトラフィックを分析したところ、ほとんどのクエリーが無意味なものであることが判明した。

　これはSDSCの研究機関Cooperative Association for Internet Data Analysis(CAIDA)の研究者たちが、2002年10月4日にカリフォルニア州に設置されているDNSルートサーバーに対して発生した1億5,200万メッセージを分析したもの。その結果、24時間でルートサーバーに対して行なわれたクエリーのうち98％が不必要で、意味のあるクエリーはたった2％だった。研究者たちは、世界中に点在している他の13のDNSルートサーバーも同様の現象に見舞われているのではないかと推測している。

　CAIDAの研究者Duane Wessels氏は、このルートサーバーが受信したクエリーを9種類に分類した。それによると、70％のクエリーは全く同じであるか、または同じドメインに属するアドレスを繰り返しリクエストしていた。12％は存在しないトップレベルドメイン（例えば.elvisや.localhostなど）に対するクエリーで、さらに7％はホスト名の代わりにIPアドレスが含まれており、DNSルートサーバーのIPアドレスへの変換作業を無意味なものにしていた。

　Wessels氏は、「もしシステムが正常に機能しているのなら、1つのソースからルートサーバーに向けて24時間に1,000以上のクエリーを送る必要は見当たらないように思える。それでいて、我々はあるソースから何百万もの壊れたクエリーを受け取っているのだ」と疑問を呈している。

　研究者たちは、こうした現象が起こる明確な理由を突きとめていないものの、無意味なリクエストが生ずる理由の1つとして、サイトを管理してる組織がセキュリティ装置の設定を間違えてるからではないかと推測している。例えば、パケットフィルターやファイアウォールの設定で、外向けのDNSクエリーを許しながら内向けを受け入れないように設定していると、DNSクエリーの返事が来ないために延々と同じクエリーを送り続けることになる。こうした問題を防ぐために、Wessels氏は、このような設定ミスを発見・警告する「dnstop」というソフトをCAIDAのサイトで無償配布している。

　世界中に点在している13のDNSルートサーバーは、インターネットの最も主要な弱点であると考えられており、実際に2002年10月21日には13のルートサーバーすべてが同時にDDoS攻撃されたことが話題になった。

◎関連記事
■DNSルートサーバーに分散サービス拒否攻撃

(2003/1/24)

[Reported by 青木 大我 (taiga@scientist.com)]