逆引き障害スレッド(mopera,plalaなど)
■ このスレッドは過去ログ倉庫に格納されています
2005/10/23の3〜6時ごろから発生している、逆引き障害に
ついてのスレッドです。
主に、
58.in-addr.arpa
59.in-addr.arpa
60.in-addr.arpa
221.in-addr.arpa
222.in-addr.arpa
125.in-addr.arpa
のNSレコードが引けない模様。
原因は、親ドメインのAPNICに対するJPRSの設定ミスか何かでは
ないかと推測されます。(間違っていたらごめんなさい)
影響が出ているISPは、plala,wakwak,so-net,mopera,USENなど多数。
>>1
嘘つき
; glue
220.in-addr.arpa. 81391 NS NS1.APNIC.NET.
81391 NS NS3.APNIC.NET.
81391 NS NS4.APNIC.NET.
81391 NS NS-SEC.RIPE.NET.
81391 NS TINNIE.ARIN.NET.
; glue
128.220.in-addr.arpa. 172652 NS rns1.twnic.net.
172652 NS rns2.twnic.net.
; authauthority
1.128.220.in-addr.arpa. 43052 NS vns1.hinet.net.
43052 NS vns2.hinet.net.
; authanswer
113.1.128.220.in-addr.arpa. 43052 PTR 220-128-1-113.HINET-IP.hinet.net.
; authanswer
86.1.128.220.in-addr.arpa. 43053 PTR 220-128-1-86.HINET-IP.hinet.net.
; authauthority
2.128.220.in-addr.arpa. 43109 NS vns1.hinet.net.
43109 NS vns2.hinet.net.
; authanswer
121.2.128.220.in-addr.arpa. 43115 PTR 220-128-2-121.HINET-IP.hinet.net.
; authanswer
86.2.128.220.in-addr.arpa. 43109 PTR 220-128-2-86.HINET-IP.hinet.net.
; glue
130.220.in-addr.arpa. 172710 NS rns1.twnic.net.
172710 NS rns2.twnic.net.
jpnic側の問題
c.dns.jpが関係してるかも >>3
ドメイン名に関する業務はJPNICからJPRSに移ったのではないですか? $dig 60.in-addr.arpa
60.in-addr.arpa. 172800 IN NS ns1.apnic.net.
$dig 47.60.in-addr.arpa
NSレコードなし
本来なら47.60.in-addr.arpaのNSレコードはJPRSのa.dns.jpが来るはず
だったと思います。それがないから逆引きできてない。 スレ建て乙です〜
この障害で問題になってるのは
・逆引きできないので規制になっているところでも書けてしまう。
・逆引きされないため串判定されてbooされてしまう
(これが一番の問題)
かな >>5
でもa.dns.jpを運用してるのってJPRSみたいだよ。
http://www.dns.jp/
どっちでもいいけどさ。 わりぃ
逆引きで使う 〜.arpaもいちおうドメインに入るな
〜.arpa (の一部で、日本にapnicから割り当てられてるもの)は jpnic
〜.jp は JPRS どっちでもいいけど、そろそろJPNICなりJPRSがコメントくらい出すべきではないか。
ログによると今日の3〜6時から逆引きできてない。
復旧してもNegative Cacheが2Dとかになってるんで、数日は後を引くのでは。 >>7
管理人鯖(sport2)は逆引きができない場合、書き込めないみたいです。
> ・逆引きされないため串判定されてbooされてしまう
串ハンターアワワワワ(((((((((T∀T;;;) A.DNS.jp. 203.119.1.1
B.DNS.jp. 202.12.30.131
D.DNS.jp. 210.138.175.244
E.DNS.jp. 192.50.43.53
F.DNS.jp. 150.100.2.3
203.119.1.1 - 逆引きできず
202.12.30.131 -> ns0.nic.ad.jp
210.138.175.244 -> d.dns.jp
192.50.43.53 -> e.dns.jp
150.100.2.3 -> ns-jp.sinet.ad.jp
>13
固定IPがBooされたら厄介だぞ。
Booは解除不能なので永久規制になる。 ネームサーバのIPアドレスが逆引きできなくてもあまり関係ないのではないか そもそも逆引きベースでアクセス規制してもいずれ破綻するよね。
逆引きのドメイン名ってぶっちゃけ詐称できるし。 >>15
Booって一時停止できんの?
「荒らしてないのに永久規制」もすげー嫌なんだけどさ、
過去に荒らしで規制されてた奴が、知らん顔で「今回の障害で繋がらなくなった。解除して。」
とか言ってきたら、これ区別出来るんかな?と思う訳っす。 >>15
うn。。。
まあ通常時はそこの住人じゃないからダメージは低いのですが
ただ規制対策スレもここに。。。
【LCV.net】規制対策会議室@運用情報臨時
http://sports2.2ch.net/test/read.cgi/operatex/1127045690/ とりあえず、今回の障害で
・逆引きできないIPアドレスは、無条件?でBooされ規制される
・Booは解除できないので1回登録されたらアウト
・よって、固定IPアドレスがBooされたら、事実上の永久規制
・だけど、今回は単なる逆引き障害なので、ユーザー及びISPの落ち度はない
(もちろん、最初から逆引き設定されていないものは除外だぞ)
というBooシステム自体の欠点が改めて浮き彫りになったことだ。 とりあえず、booに登録されたIPをどうするのかな 【test】書き込みテスト 専用スレッド5【テスト】
http://sports2.2ch.net/test/read.cgi/operatex/1122256538/
ヘ⌒ヽフ⌒γ
(>ω< ) ) 書けたーーーーーーーーーーーーーーー
しー し─J ○ 風呂敷確認君 弐式 2.07
○ NSLOOKUP(TCP Monitor Plus)
○ 診断くん http://taruo.net/e/
× CyberSyndrome : Nslookup http://www.cybersyndrome.net/cgi-bin/nslookup.cgi
> ** server can't find 91.67.133.221.in-addr.arpa: NXDOMAIN
○ Rev-Checker http://www.comax.jp/ptr/
○ 2ch
あとはCyberSyndromeだけかー 逆引き不可IP+応答無し。(Time out:refused?)の場合
Boo81→焼けない
Boo80→焼ける
なのかな? 応答無しなんて今じゃごく普通のことだし、それで逆引きできなかったらBooとかむちゃくちゃすぎるな 串なんて移り変わるものだし、Booで登録されたホスト、期限を半年とかにしたほうがいいと思うぜ 次はここか。
この障害って、今も起きているですか? >30
逆引き障害は徐々に解消しつつあるようですがその前にbooされちゃってる人が何人か
いるようです。 うちのサイトの、逆引きできないアクセス数の数。22時から減少しました。
35 2005/10/23 05
60 2005/10/23 06
101 2005/10/23 07
153 2005/10/23 08
206 2005/10/23 09
211 2005/10/23 10
229 2005/10/23 11
190 2005/10/23 12
172 2005/10/23 13
208 2005/10/23 14
174 2005/10/23 15
244 2005/10/23 16
273 2005/10/23 17
259 2005/10/23 18
235 2005/10/23 19
264 2005/10/23 20
204 2005/10/23 21
37 2005/10/23 22 >>23
うーむ。
今復旧していると、どこが原因だったかわかりづらいなぁ。
とりあえず以下は一般論。
もし仮に、全部のDNSサーバのデータがいっせいにおかしくなったとしたら、
(ネットワーク障害とかではなくて)
・APNICの元データがばぐった(親側)
・JPNICの元データがばぐった(子側)
のうちの、どっちかな気がします。
DNSサーバに入るデータは、レジストリ(登録機関)の元データから作られるので、
そこがおかしくなると、いっせいに変になるです。
で、もし仮に、どれかのDNSサーバのデータの整合性がとれなくなったんだとしたら、
該当するそのDNSサーバ上で障害が起きたんではないかと思います。
で、上でいう親側のDNSサーバのおもりをしているのはAPNICだけではなくて、
例えば 58.in-addr.arpa だと APNIC, ARIN, RIPC NCC, LACNIC が面倒みているし、
子側のDNSサーバはJPNIC, JPRS, IIJ, SINET, WIDE が面倒みているです。
で、>>3 にある c.dns.jp ってかなり前に引退したはずなので、もしまだどこかのドメインから
NSで指定されていたら、それは間違った設定だと思います。 >>32
まだ逆引きできないIPアドレスがあったら教えてください。
状況をチェックしてみるです。 >>33
変になってたときで
; glue
220.in-addr.arpa. 79769 NS NS1.APNIC.NET.
79769 NS NS3.APNIC.NET.
79769 NS NS4.APNIC.NET.
79769 NS NS-SEC.RIPE.NET.
79769 NS TINNIE.ARIN.NET.
; glue
128.220.in-addr.arpa. 171030 NS rns1.twnic.net.
171030 NS rns2.twnic.net.
こう(日本以外は問題なし)だから
jpnic側のほうじゃない? %dig -t ns 47.60.in-addr.arpa
; <<>> DiG 9.3.1 <<>> -t ns 47.60.in-addr.arpa
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 36892
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;47.60.in-addr.arpa. IN NS
;; Query time: 3 msec
;; SERVER: 210.135.96.34#53(210.135.96.34)
;; WHEN: Sun Oct 23 23:53:25 2005
;; MSG SIZE rcvd: 36
ふむ、ちと調べてみるです。 %dig +norec -t ns 47.60.in-addr.arpa @NS1.APNIC.NET.
; <<>> DiG 9.3.1 <<>> +norec -t ns 47.60.in-addr.arpa @NS1.APNIC.NET.
; (2 servers found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32977
;; flags: qr; QUERY: 1, ANSWER: 0, AUTHORITY: 3, ADDITIONAL: 0
;; QUESTION SECTION:
;47.60.in-addr.arpa. IN NS
;; AUTHORITY SECTION:
47.60.in-addr.arpa. 172800 IN NS dns1.plala.or.jp.
47.60.in-addr.arpa. 172800 IN NS dns2.plala.or.jp.
47.60.in-addr.arpa. 172800 IN NS ns-tk061.ocn.ad.jp.
;; Query time: 231 msec
;; SERVER: 202.12.29.25#53(202.12.29.25)
;; WHEN: Sun Oct 23 23:54:31 2005
;; MSG SIZE rcvd: 115
なるほど、少なくとも 47.60.in-addr.arpa は DNS 的には JPNIC を全く経由していなくて、
APNIC => 各ISP にいっているのね。
ということは、JPNICは無罪かも。 >>37
…とやっているうちに、復旧しました。
一時的なものだったのかな。
%dig +norec -t ns 47.60.in-addr.arpa
; <<>> DiG 9.3.1 <<>> +norec -t ns 47.60.in-addr.arpa
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58811
;; flags: qr ra; QUERY: 1, ANSWER: 0, AUTHORITY: 3, ADDITIONAL: 3
;; QUESTION SECTION:
;47.60.in-addr.arpa. IN NS
;; AUTHORITY SECTION:
47.60.in-addr.arpa. 75744 IN NS ns-tk061.ocn.ad.jp.
47.60.in-addr.arpa. 75744 IN NS dns1.plala.or.jp.
47.60.in-addr.arpa. 75744 IN NS dns2.plala.or.jp.
;; ADDITIONAL SECTION:
ns-tk061.ocn.ad.jp. 55625 IN A 202.234.233.103
dns1.plala.or.jp. 1515 IN A 210.153.0.129
dns2.plala.or.jp. 1515 IN A 210.153.0.130
;; Query time: 4 msec
;; SERVER: 210.135.96.34#53(210.135.96.34)
;; WHEN: Sun Oct 23 23:56:16 2005
;; MSG SIZE rcvd: 163 該当時間に引けなかったIPアドレスとかリモホ名がわかるなら、
このスレで教えていただけますか。
状況を把握したいので、ちょっと、データ集めたいです。
192.168.0.1 とかでも、banana201.maido3.com とかでもOKなので。
15分ぐらいしたら、見にくるです。 d.c.b.a.in-addr.arpaと表現するとして、
障害が起きていたドメイン名は、
a.in-addr.arpaゾーンがあるAPNICに、b.a.in-addr.arpaのNSではなく、
c.b.a.in-addr.arpaのNSが記述されていて、JPNICを介さずに、直接
ISPのネームサーバに委譲しているようです。
言葉で説明しづらいですが、今回はJPNICではなく、APNIC側の障害?
のような気がします。
$ dig @ns1.apnic.net 102.98.58.in-addr.arpa ns
102.98.58.in-addr.arpa. 172800 IN NS ns1.xephion.ne.jp.
↑
APNICから直接ISPに委譲されている。 >>39
C:\>dig -t ns 47.60.in-addr.arpa
'dig' は、内部コマンドまたは外部コマンド、
操作可能なプログラムまたはバッチ ファイルとして認識されていません。
C:\>cd winnt\system32\dns\bin
C:\WINNT\system32\dns\bin>dig -t ns 47.60.in-addr.arpa
; <<>> DiG 9.3.1 <<>> -t ns 47.60.in-addr.arpa
;; QUESTION SECTION:
;47.60.in-addr.arpa. IN NS
;; Query time: 343 msec
C:\WINNT\system32\dns\bin>dig +norec -t ns 47.60.in-addr.arpa @NS1.APNIC.NET.
; <<>> DiG 9.3.1 <<>> +norec -t ns 47.60.in-addr.arpa @NS1.APNIC.NET.
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 1780
;; flags: qr; QUERY: 1, ANSWER: 0, AUTHORITY: 3, ADDITIONAL: 0
;; QUESTION SECTION:
;47.60.in-addr.arpa. IN NS
;; AUTHORITY SECTION:
47.60.in-addr.arpa. 172800 IN NS dns1.plala.or.jp.
47.60.in-addr.arpa. 172800 IN NS dns2.plala.or.jp.
47.60.in-addr.arpa. 172800 IN NS ns-tk061.ocn.ad.jp.
;; Query time: 265 msec
;; SERVER: 202.12.29.25#53(202.12.29.25)
;; WHEN: Sun Oct 23 23:59:44 2005
;; MSG SIZE rcvd: 115
C:\WINNT\system32\dns\bin>
む >>38
被った。そうです。JPNICは関係なかったみたい。多数のISPで影響が
見られたのでAPNICの問題でしょう。 >>42
なるほど、>>38 だということですか。
とりあえず、データ集めで。 それじゃぁ、
APNIC側で日本向けのレコードを弄ってたってこと? >>40
mopera
http://qb5.2ch.net/test/read.cgi/sec2chd/1124043933/409-422
220.159.106.228
220.159.59.135
220.159.41.27
220.159.9.122
220.159.57.12 >>46
何らかの理由により、
> ・APNICの元データがばぐった(親側) (>>33)
か、APNICで元データからDNSに入れるためのデータに変換
(エクスポート)するところのシステムがばぐった
んじゃないかなと(まだ、推測に過ぎませんが)。 >>40
3トークン目までなら
58.87.186
58.93.69
59.146.157
59.146.168
59.146.229
60.237.138
60.239.250
60.239.51
60.47.113
125.1.141
222.150.107
222.225.82 >>40
222.149.53.14
221.170.249.184 正引きの障害だともっと問題が大きくなるところだけど、今回は逆引きだから
大ごとにならなくて良かったね。 ; glue
220.in-addr.arpa. 70003 NS NS1.APNIC.NET.
70003 NS NS3.APNIC.NET.
70003 NS NS4.APNIC.NET.
70003 NS NS-SEC.RIPE.NET.
70003 NS TINNIE.ARIN.NET.
; glue
128.220.in-addr.arpa. 161264 NS rns1.twnic.net.
161264 NS rns2.twnic.net.
; authauthority
1.128.220.in-addr.arpa. 31664 NS vns1.hinet.net.
31664 NS vns2.hinet.net.
; authauthority
106.159.220.in-addr.arpa. 21595 NS ns.mbn.or.jp.
21595 NS ns2.mbn.or.jp.
21595 NS mprux310.mopera.ne.jp.
21595 NS mprux320.mopera.ne.jp.
; authanswer
228.106.159.220.in-addr.arpa. 21595 PTR t606228.ipgw.phs.yoyogi.mopera.ne.jp.
159.220.in-addr.arpa. の glue が無い 221.133.67.91 = kct08b-091.spacelan.ne.jp
自分のー >>53
; glue
221.in-addr.arpa. 86393 NS NS1.APNIC.NET.
86393 NS NS3.APNIC.NET.
86393 NS NS4.APNIC.NET.
86393 NS NS-SEC.RIPE.NET.
86393 NS TINNIE.ARIN.NET.
; authauthority
67.133.221.in-addr.arpa. 293 NS ns01.spacelan.ne.jp.
293 NS ns02.spacelan.ne.jp.
; authanswer
91.67.133.221.in-addr.arpa. 293 PTR kct08b-091.spacelan.ne.jp.
だけ
apnic|JP|ipv4|221.113.0.0|65536|20030130|allocated
from http://ftp.apnic.net/stats/apnic/delegated-apnic-latest
/16以上で割り当てられてなかったところは駄目だったと? >>55
; glue
202.in-addr.arpa. 86390 NS NS1.APNIC.NET.
86390 NS NS3.APNIC.NET.
86390 NS NS4.APNIC.NET.
86390 NS DNS1.TELSTRA.NET.
86390 NS NS-SEC.RIPE.NET.
86390 NS TINNIE.ARIN.NET.
; authauthority
192.122.202.in-addr.arpa. 891 NS ns.lcv.ne.jp.
891 NS ns1.lcv.ne.jp.
891 NS ns2.lcv.ne.jp.
891 NS ns3.lcv.ne.jp.
891 NS domain9.lcv.ne.jp.
; authanswer
129.192.122.202.in-addr.arpa. 891 PTR vip1.lcv.ne.jp.
apnic|JP|ipv4|202.122.136.0|2048|20050412|allocated
apnic|MY|ipv4|202.122.144.0|4096|20050125|allocated
apnic|ID|ipv4|202.122.160.0|4096|20030512|allocated
apnic|JP|ipv4|202.122.176.0|4096|20050208|allocated
apnic|JP|ipv4|202.122.192.0|16384|20031106|allocated ←このへん ちょっと epg.2ch.net のバージョンアップにてまどってしまったので、
後でじっくり見てみるです。
でも、APNICのトラブルでほぼFAな予感。
DNSって分散システムだから、特に逆引き系は障害の特定が結構めんどいです。 >>57
そうっぽい
ttp://www.nic.ad.jp/ja/dns/jp-addr-block.html
lcv.ne.jp とか spacelan.ne.jp. は TTL 低すぎのような気がする DNSがないなら、もう何もやっていけないようなもんだしw DNS何かなくたってIPアドレスさえちゃんと割り振られてれば・・・、
・・・やっぱちょっと無茶か。それで済むならDNS自体いらんしな。 どうせURLなんて手で打たないんだから
全部生IPでやればええねん >>64
この板開くたびにqb5.2ch.net/operateって打ってますけど ようやく、アナウンスが。
[Apnic-announce] Recent security update and reverse DNS lookup failures
http://www.apnic.net/mailing-lists/apnic-announce/archive/2005/10/msg00003.html >>64
俺も>>65たんと同じくアドレスうってます
いつも行くサイトのアドレスなんて、直接打ってるです。
それに、固定IPアドレスではない自宅サーバとかだと、生IPはきついねw
IP変更してもアドレスは変わらないっていうのがDNSの良さだし。 ■ このスレッドは過去ログ倉庫に格納されています
