ニュースレターNo.52/2012年11月発行
APNIC34カンファレンス報告
APOPSレポート
APNIC34カンファレンス内の1セッションとして開催された、APOPS (The Asia Pacific OperatorS Forum)についてご報告します。APOPSは、アジア太平洋地域のインターネット・オペレーターを対象とした技術的な話題を扱うフォーラムです。
APNIC34では、APOPS 1~3の三つのセッションで構成され、それぞれ2012年8月27日(月)、28日(火)、30日(木)に開催されました。
本稿では、APOPSで紹介されたプレゼンテーションのうち、IPv4/IPv6デュアルスタックの動向調査、およびDNSSECの普及に関して検討した、二つの講演について詳しくご報告します。
Analysing Dual Stack Behaviour
APNICのGeoff Huston氏から、最近のWebブラウザにおけるIPv4/IPv6デュアルスタック実装の挙動について紹介がありました。
IPv6への対応開始初期におけるブラウザの実装は、DNSで最初にAAAAレコードを引き、回答があったらIPv6での接続を試みるというものでした。IPv6での接続に失敗したときにはIPv4で接続しなおすフォールバックの仕組みが働きますが、クライアントOSにより異なるものの、かなりの時間を待たされてしまうといったことが起こりました(Windowsで約19秒、Mac OS Xでは75秒、Linuxでは75~180秒ほど)。
それを改善するために考え出された仕組みが、Happy Eyeballs※1です。Mac OS X 10.7以降のSafariでは、AおよびAAAAレコードのDNS問い合わせにかかった時間(RTT; Round Trip Time)を測り、IPv4とIPv6のどちらか速い方を利用するという実装だそうです。ただし、これもHuston氏によれば、プロトコルファミリ(IPv4、IPv6)の選択をどうするか、また複数のアドレスを使う環境などを考慮すると、状況が悪化する場合があるという指摘がありました。
より良いHappy Eyeballsの実装としては、Google ChromeとMozilla Firefoxが紹介されました。Chromeでは、A/AAAAレコードの問い合わせを一度に並行して行い、速く回答のあったプロトコルでまずは接続を試み、さらにその接続が300ms以上かかったら失敗したものとして接続を諦め、もう一方のプロトコルで接続するという実装でした。Firefoxでは、Chromeと同様にDNS問い合わせを同時に行って速く回答が返ってきたプロトコルで接続し、TCPのSYN-ACKが戻ってきた接続を利用する実装だという紹介がありました。
プレゼンテーションの後半では、ユーザー環境でのデュアルスタックの調査について紹介がありました。
Huston氏の調査は、ユーザー環境でのIPv4/IPv6の接続性を調べるもので、複数のWebサイトにJavaScriptを設置し、さらにGoogle社の広告サービスでFlashを配布するという方法で行われました。
それによると、接続に失敗する割合としては、IPv4が0.5%程度だったのに対して、IPv6では30~40%程度にもなるという調査結果となったそうです。IPv6での接続が多い理由として挙げられたのが、6to4※2やTeredo※3による接続失敗がかなり大きく影響しているというものでした。IPv6の接続失敗の中では、6to4による接続が10%、Teredoなどでは40%以上の割合で失敗することがわかったそうです。
また、この調査ではIPv4およびIPv6でのSYN-ACKのRTTも計測され、その調査結果も紹介されました。それによると、IPv4と比較してIPv6の速度は、Teredoによる接続が若干遅い傾向があったものの、ほぼ同等であったとのことでした。
これらの調査結果に基づき、Huston氏は、IPv6の速さはIPv4とほぼ同等、ただし、安定性は残念ながらIPv6はIPv4と比較すると低くなるということを報告されました。
DNSSEC: Where We Are (and how we get to where we want to be)
ICANNのRichard Lamb氏から、DNSSECに関する話題が紹介されました。
まずはじめに、基本的な仕組みと、キャッシュポイズニングに対する効果が大きいというDNSSECの概要説明がありました。そして、DNSSECを導入する動機として、DNSchangerやDNSサーバへの攻撃についての事例があり、それを受けていくつかの政府機関が、DNSSECの導入に前向きであるという紹介がありました。
続いて、DNSSECの普及状況について紹介がありました。そこでは315のトップレベルドメイン(TLD)のうち92TLDが署名されており、全世界に存在するドメイン名の総数のうち84%以上でDNSSEC署名が可能な状態であること、BINDやUnboundをはじめとしたソフトウェアがDNSSECに対応していること、GoDaddy社やVeriSign社などのサードパーティーの署名サービスが存在することなどが挙げられました。
ただし、TLDにおける普及は進んでいるものの、セカンドレベルドメイン(SLD)への普及は遅く、1%に満たない程度であるとの報告がありました。その理由として、企業のIT部門での認知度が十分でないこと、DNSSECは難しいものであるという評判があることなどが挙げられるのではないかとのことでした。
その解決策としてLamb氏は、ドメイン名登録者やエンドユーザー、ベンダーに対して認知度を上げること、DNSSECの実装を簡単にできるようにすること、信頼性を上げることが必要であると述べました。
その信頼性を向上させるためには、認証局のモデルが参考になるとの話でした。現在、ユーザーや企業は、認証局をセキュリティに関する重要なものであるととらえていることから、DNSSECも同様の感覚を持たれるようにすると良いとの紹介がありました。
(JPNIC 技術部 小山祐司)
- ※1 インターネット1分用語解説 Happy Eyeballsとは
- http://www.nic.ad.jp/ja/basics/terms/happy-eyeballs.html
- ※2 JPNIC用語集 6to4
- http://www.nic.ad.jp/ja/tech/glos-ah.html#01-6to4
- ※3 インターネット1分用語解説 Teredoとは
- http://www.nic.ad.jp/ja/basics/terms/teredo.html