古いルータの DNS

 ルータは壊れない限り、交換はしていません。ルータの DNS 機能について考えます。

 ルータの DNS について考えたきっかけは、もともと、 sirius10.dip.jp でサーバを公開していましたが、dip.jp のネームサーバが不定期に繋がらなくなるようで名前解決できなくなることでした。自宅では、ルータの DNS を使っていましした。外で繋がりにくく、自宅では結構繋がりました。

 不思議に思い、自宅で名前解決ができるときに、google の公開 DNS の 8.8.8.8 で名前解決してみると、解決できませんでした。そして、8.8.8.8 の様子を見ていると、DNS のキャッシュ時間が結構短いのではないかと感じました。

 そこで思い当たったのが、DNS キャッシュポイズニング攻撃です。別に攻撃されているわけではなく、google の公開サーバは、DNS キャッシュポイズニング攻撃の対策のために、キャッシュ時間を短くしているのだと思います。

 ルータの DNS はキャシュ時間の調節はできません。むかしは、DNS の名前解決のトラフィックも負荷となるのでキャッシュ時間は長いほうが良かったのですが、DNS キャッシュポイズニング攻撃のようなものがあるとすれば、逆にキャッシュ時間は短いほうがいいのかもしtれません。

 こういった新しい攻撃があったりすると、古いルータを使い続けるのは危険なのかもしれません。しかし、貧乏性なので使えるものを捨てるのももったいないです。

 もともと、自宅内ではルータとは別に DNS のキャッシュサーバを動かしていました。ただ、自宅内の DNS はフォワーダとしてルータを指定してあります。あまりプロバイダの DNS に負荷をかけたくなかったのでルータを使っていたのです。

 結論としては、自宅内の DNS キャッシュサーバのフォワーダは、プロバイダの DNS に変えました。そのうちに別に DNS キャッシュサーバを立てることにします。

サーバ設定

Posted by sirius