2016-03-15に起きたAPNICの逆引きゾーンにおけるDNSSEC障害まとめ

4
Yasuhiro Morishita @OrangeMorishita

【自分用メモ】APNICの逆引きDNSの件、MLに出されたメール。// [apnic-talk] Update on APNIC IPv4 reverse DNS zones validation mailman.apnic.net/mailing-lists/…

2016-03-16 12:14:13
Yasuhiro Morishita @OrangeMorishita

APNICのTechnical Services Directorによると原因は「不正なDSレコードが使われた(incorrect DS records were used)」、なぜ起こったかは現時点で不明。詳細は別途報告予定。// mailman.apnic.net/mailing-lists/…

2016-03-16 12:26:16
Yasuhiro Morishita @OrangeMorishita

DSレコードは親ゾーン(この場合はin-addr.arpa)に設定されるものなので、今回の場合、APNICがIANAに変更を申請し、IANAがin-addr.arpaゾーンの権威DNSサーバーに設定するという流れ(のはず)。

2016-03-16 12:28:42
Yasuhiro Morishita @OrangeMorishita

ということで今回の場合、この流れのどこかでまずいことが起こり、不正なDSレコードが使われたということになる、と。

2016-03-16 12:29:24
Yasuhiro Morishita @OrangeMorishita

どこがどうまずかったかは追って発表される(はず)。

2016-03-16 12:33:09
Yasuhiro Morishita @OrangeMorishita

そして、今回、不正なDSが設定されてしまったことを「パブリックなDNS運用メーリングリスト(the public DNS operations mailing lists)」で指摘されるまで、APNICのtesting scriptsが検出できなかった、と。

2016-03-16 12:34:17
Yasuhiro Morishita @OrangeMorishita

エラーを検出できなかったことはモニタリングの失敗として、現在その原因を調査中とのこと。> The team is currently investigating the root cause of this monitoring failure.

2016-03-16 12:35:35
Toshifumi Sakaguchi @siskrn

"APNIC was notified via the public DNS operations mailing lists on Wednesday, 16/03 at 00:30.."は、これかな? lists.dns-oarc.net/pipermail/dns-…

2016-03-16 14:12:52
Yasuhiro Morishita @OrangeMorishita

.@siskrn 私はそのメールの前のSonodaさんのメールだと思ってますが、"mailing lists" と複数形になっているので、他にもあるのかも。

2016-03-16 17:05:32
Yasuhiro Morishita @OrangeMorishita

【自分用メモ】APNIC管理のゾーンのDNSSEC検証エラー、twitter的にはこのツイートが最初の障害報告かな(16:17 - 2016年3月15日)。もっと古いのがあれば報告いただけるとうれしいかも。 twitter.com/ityuki/status/…

2016-03-16 17:22:42
Toshifumi Sakaguchi @siskrn

@OrangeMorishita 実際にはそうだと思うのですが、0:30 +10に気付いたと書いてあったため、一番近いものを選びました。 もしくは、SonodaさんのメールをAPNICのオペレータに転送した時刻が0;30 +10だといいたいのか。

2016-03-16 17:25:12
Yasuhiro Morishita @OrangeMorishita

(「Everyone is watching you.」はプレッシャーになったのかならなかったのか)

2016-03-16 20:49:06
Yasuhiro Morishita @OrangeMorishita

【自分用メモ】APNIC逆引きの件、15-Mar-2016 11:37:58 JST に broken trust chain が観測されていたとの情報をいただきました。 twitter.com/mipro2k/status…

2016-03-16 22:19:45
みぷろ @mipro2k

@OrangeMorishita 個人的に設置していたDNSサーバでは 15-Mar-2016 11:37:58 JST に 117.in-addr.arpa 方面で broken trust chain が観測されています.

2016-03-16 22:11:50
APNIC @apnic

@OrangeMorishita @tss_ontap_o Report now posted to APNIC talk but here's link - thanks again for your patience apnic.net/publications/n…

2016-03-17 18:32:44
Yasuhiro Morishita @OrangeMorishita

【自分用メモ】Service announcement: 15 March 2016 | APNIC apnic.net/publications/n…

2016-03-17 18:33:36
Yasuhiro Morishita @OrangeMorishita

@apnic @tss_ontap_o Thank you for your mention tweet. I will read it.

2016-03-17 18:34:54
Yasuhiro Morishita @OrangeMorishita

(今取り込み中につき、APNICから出されたレポートの内容についてのコメントはあとで。どなたかか中身読んでまとめてもらえるとうれしいです)

2016-03-17 18:43:07
Toshifumi Sakaguchi @siskrn

障害検知できなかったのは、キャッシュされた応答をチェックしていたから。つまり、一日(86400)経過しないと検知できない。

2016-03-17 19:09:40
Yu F @fj_twt

"Unfortunately, the check did not report any failure due to the fact that the resolver used cached responses." apnic.net/publications/n…

2016-03-17 19:30:56
Toshifumi Sakaguchi @siskrn

キャッシュしたタイミングによっては早く検知できたはずだけど。タイミングが相当悪かったと。

2016-03-17 20:16:20
Yasuhiro Morishita @OrangeMorishita

"Unfortunately, the check did not report any failure due to the fact that the resolver used cached responses." apnic.net/publications/n…

2016-03-17 22:38:56
Yasuhiro Morishita @OrangeMorishita

【募】「キャッシュされた応答を使っていたので」を「急にボールが来たので」並に流行らせる方法。

2016-03-17 23:01:44
kun432@VFJUG🇯🇵 @kun432

Unfortunately, the check did not report any failure due to the fact that the resolver used cached responses.

2016-03-17 23:24:14
kun432@VFJUG🇯🇵 @kun432

DNSSECよくわかってませんが、こらはありえないのでは?

2016-03-17 23:24:39