root-servers.orgがKSKロールオーバーの最終作業実施時において大量のクエリを観測と報告

root-servers.org による運用報告

2019年3月28日、ルートサーバを運用するオペレータの集まりである root-servers.org から、ルートゾーンKSKロールオーバーの運用に関する最終段階を終了したとの報告が発表されました。

Operational Statement on the final step in the KSK Rollover

これまでご報告してきましたとおり、ルートゾーンKSKロールオーバーとは、ルートゾーンに含まれる古いKSKである通称 “KSK-2010” を、新しい鍵の “KSK-2017” に更新する一連の作業です。

最近の流れとしては、実質的なロールオーバーとなる、署名鍵をKSK-2010からKSK-2017に変更する作業が2018年10月11日に行われました。また、2019年1月11日には、KSK-2010に対して「今後鍵を使用しない」という意味を表す “revoke bit” が追加されました。

さらに、2019年3月22日、最終的な作業として、ルートゾーンに残っていたKSK-2010の削除が行われ、ルートゾーンKSKロールオーバーのルートサーバ運用における最後の作業が終了しました。

ただ、特に問題なく終了したとはいかなかったようで、奇妙な現象が観測されたようです。

異常な回数のDNSKEYクエリを観測

上記root-servers.orgの報告、およびルートサーバオペレータ組織の一つである Verisign のDuane Wessels氏によれば、ロールオーバーが実施された2018年10月11日から、ルートDNSサーバへのDNSKEYの問い合わせが急増したとのことです。Wessels氏は、ルートサーバのうちA/J-Rootへは、それまでの1日平均1500万クエリから10月11日以降1日7500万クエリになったと報告しています。(AおよびJ-RootはVerisign社が運用しています)

また、KSK-2010に対して”revoke bit”が追加された2019年1月からは日ごとに増加し、最大11.5億クエリにまで達したそうです。

このDNSKEYクエリの増加傾向はKSK-2010を削除した2019年3月22日に止まり、急激にほぼ元通りにまで戻ったとのことです。

この事象によるDNSKEYのクエリ量は、A/J-rootの場合、ロールオーバー前と比較して約75倍まで増加しましたが、ルートサーバが受ける全体のクエリ量と比較すると増加は7%程度と多くなく、ルートサーバの運用には影響が無かったとのことです。

またWessels氏によれば、ブログ記事の執筆時時点ではこの現象の原因は不明であるが、今後数週間かけて調査し、結果を各コミュニティと情報共有することで、将来行われるKSKロールオーバーに役立てたい、とのことです。