□大手ISPのDNSは、DNS情報のTTLを無視するという都市伝説

以前より「新しいDNS情報が浸透しねぇ」という話に関連して「大手ISPのDNSは、DNS情報のTTLを無視する」という都市伝説があった。

昔ならそんなことでマシンの負荷とかトラフィックを抑えていたかも？なんてことも考えたりしていたが、このご時勢にそんなことあるの？というのが正直なところ。

で、たまたまずっと前から「ASIAとLAの回線がいまいち」と感じていたところに、年末になって5ドルなRasPiのせいでやる気がリセットされたので、先日からこれらの拠点のVPSのお引越し準備をしていた。

ASIAは同じシンガポールにあのConoHaがリージョンを開設していたので、ひとまずPaypalで500円チャージしていろいろとテストしていたが、一通り問題なさそうなので、実は昨日こっそりとasia.www.mydns.jpのIPアドレスを変更しておいた。

で、一晩経って旧サーバーのログを見ていると、いまだにIPアドレスの通知をしているユーザーがいるので、
いったいどこのプロバイダーだよ、というか通知先のホスト名を固定していないか？ということで通知するために調査してみた。

で、以下が一時間くらい見ていたときに通知してきたユーザーのデータ。

同じユーザーが何度も通知してきているだけなので、この人たちに「大丈夫ですかー？」と通知をすればいいことになる。

mydnsXXXX01 180.14.7.XXX .nagano.ocn.ne.jp
mydnsXXXX02 14.3.196.XXX .ppp.asahi-net.or.jp
mydnsXXXX03 60.146.127.XXX .bbtec.net
mydnsXXXX04 153.179.101.XXX .okayama.ocn.ne.jp
mydnsXXXX05 219.102.253.XXX .kagoshima.nttpc.ne.jp
mydnsXXXX06 153.232.233.XXX .ap.dti.ne.jp
mydnsXXXX07 110.233.249.XXX .isk.mesh.ad.jp
mydnsXXXX08 60.146.127.XXX .bbtec.net
mydnsXXXX09 124.103.1.XXX .fukuoka.ocn.ne.jp
mydnsXXXX10 153.169.123.XXX .ibaraki.ocn.ne.jp
mydnsXXXX11 110.3.242.XXX .ap.yournet.ne.jp
mydnsXXXX12 58.90.49.XXX .ehime.ocn.ne.jp
mydnsXXXX13 211.132.63.XXX .ppp.asahi-net.or.jp
mydnsXXXX14 218.227.83.XXX .osk.mesh.ad.jp
mydnsXXXX15 202.247.56.XXX .osk.mesh.ad.jp
mydnsXXXX16 153.179.101.XXX .okayama.ocn.ne.jp
mydnsXXXX17 61.207.148.XXX .ibaraki.ocn.ne.jp
mydnsXXXX18 153.212.96.XXX .chiba.ocn.ne.jp

この中で、毎分のようにIPアドレスの通知をしてきている「mydnsXXXX17」というユーザーについて、もしかして通知先のホスト名を固定しているのかな？と思って、他の拠点に通知が来ているかどうかを調べてみた。

ちなみに通知先は「http://www.mydns.jp/login.html」とか「mail.mydns.jp」とか「ftp.mydns.jp」にしてください、とアナウンスしているけど、何らかの理由で拠点のホスト名を指定(もしくはIPアドレスで指定)にしている場合があるので。

で、現地時間だけど、ここ数時間のログをみると各地のサーバーに通知に来ていることが確認できた。

NY
/var/log/logwatch_ftp.log:2015/12/21 15:16:44 mydnsXXXX17 from 61.207.148.XXX at Mon Dec 21 15:16:40 2015 [0.69372916221619]
/var/log/logwatch_ftp.log:2015/12/21 16:03:08 mydnsXXXX17 from 61.207.148.XXX at Mon Dec 21 16:03:07 2015 [0.67179083824158]
/var/log/logwatch_ftp.log:2015/12/21 18:37:15 mydnsXXXX17 from 61.207.148.XXX at Mon Dec 21 18:37:14 2015 [0.68178796768188]

EU
/var/log/logwatch_ftp.log:2015/12/22 00:06:25 mydnsXXXX17 from 61.207.148.XXX at Tue Dec 22 00:06:24 2015 [0.47931599617004]
/var/log/logwatch_ftp.log:2015/12/22 00:52:40 mydnsXXXX17 from 61.207.148.XXX at Tue Dec 22 00:52:38 2015 [0.48257493972778]
/var/log/logwatch_ftp.log:2015/12/22 02:25:49 mydnsXXXX17 from 61.207.148.XXX at Tue Dec 22 02:25:10 2015 [0.47908091545105]

JPN
/var/log/logwatch_ftp.log:2015/12/22 05:47:37 mydnsXXXX17 from 61.207.148.XXX at Tue Dec 22 05:47:37 2015 [0.0027580261230469]
/var/log/logwatch_ftp.log:2015/12/22 09:38:51 mydnsXXXX17 from 61.207.148.XXX at Tue Dec 22 09:38:51 2015 [0.0026271343231201]
/var/log/logwatch_ftp.log:2015/12/22 10:09:39 mydnsXXXX17 from 61.207.148.XXX at Tue Dec 22 10:09:39 2015 [0.002701997756958]

ASIA
/var/log/logwatch_ftp.log:2015/12/22 06:35:34 mydnsXXXX17 from 61.207.148.XXX at Tue Dec 22 06:35:34 2015 [0.17046022415161]
/var/log/logwatch_ftp.log:2015/12/22 07:21:48 mydnsXXXX17 from 61.207.148.XXX at Tue Dec 22 07:21:47 2015 [0.17041301727295]
/var/log/logwatch_ftp.log:2015/12/22 08:23:27 mydnsXXXX17 from 61.207.148.XXX at Tue Dec 22 08:23:27 2015 [0.17048907279968]

…ということはこの人(の通知しているマシン)は普通にDNS参照している!?ってことになると思う。

まずこの時点での疑問が

・なぜ古いサーバーに毎分のように来るのか？
・とはいいながらも他の拠点のサーバーにもたまに通知に来ているし？
・さらになぜ新しいASIAサーバーにも通知に来てるのか？(旧サーバーへの通知マシンと他の拠点へのそれは違う？)

このユーザーにどのような頻度で何台のマシンからIPアドレスの通知をしているのか確認をしないとはっきりとしないが、ここまでの状況から推測できてしまうのは、まさに「大手ISPのDNSは、DNS情報のTTLを無視する」のではないか？ということになる。

だってMyDNS.JPのTTLは300秒(5分)なんだもん。

;; QUESTION SECTION:
;www.mydns.jp. IN A

;; ANSWER SECTION:
www.mydns.jp. 300 IN A 46.19.34.8
www.mydns.jp. 300 IN A 199.180.255.198
www.mydns.jp. 300 IN A 107.191.111.61
www.mydns.jp. 300 IN A 163.44.155.44
www.mydns.jp. 300 IN A 210.197.74.203

もちろん、このユーザーがアクセスしていると思われる「ftp.mydns.jp」だって

;; QUESTION SECTION:
;ftp.mydns.jp. IN A

;; ANSWER SECTION:
ftp.mydns.jp. 300 IN A 107.191.111.61
ftp.mydns.jp. 300 IN A 163.44.155.44
ftp.mydns.jp. 300 IN A 199.180.255.198
ftp.mydns.jp. 300 IN A 210.197.74.203
ftp.mydns.jp. 300 IN A 46.19.34.8

ですからねぇ。

これだけみると、少なくともOCNユーザーについては参照先DNSを他にした方が、いろいろな意味でいいのではないかなと思ってしまう。それこそ8.8.8.8とかね。

ただ、この通知の間隔から行くと、

・さらになぜ新しいASIAサーバーにも通知に来てるのか？(旧サーバーへの通知マシンと他の拠点へのそれは違う？)

が気になってしまう。

もしかして、毎分のごとく通知に来ているマシンの実装自体がDNS情報のTTLを無視するのではないか？(古いIPアドレスを握ったまま、とか)という方が推測としては正しいのではないか？

というわけで、いずれにしてもやっぱり「一度通知をしているマシンを再起動してくださいね」と連絡する必要はあるわけで、その際にどんな構成で通知をしているのかも合わせて聞いてみようと思う。

教えてくれるかどうかはともかく、たぶんに今で言うIoT的な、別な言い方をすると、組み込み系でたぶんいろいろ機能をはしょってあるマシンが古い方に通知し続けているんじゃないかなー？と思う。

そういうものがある、と認識していないと「何で新しいDNS情報を参照してくれないんだ」となって、何年も前の情報とかヒットしちゃって都市伝説とか生まれちゃうんだろうなー、みたいな話でした。 🙂

さて、メール書こうっと。