DNS の履歴(No.10)

• 履歴一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• DNS へ行く。
  • 1 (2021-11-14 (日) 21:01:56)
  • 2 (2021-11-15 (月) 10:55:16)
  • 3 (2021-12-03 (金) 10:36:43)
  • 4 (2021-12-17 (金) 15:56:50)
  • 5 (2021-12-20 (月) 22:33:39)
  • 6 (2022-02-14 (月) 14:31:36)
  • 7 (2022-12-26 (月) 09:41:35)
  • 8 (2023-01-16 (月) 18:14:51)
  • 9 (2023-01-19 (木) 16:19:01)
  • 10 (2023-01-19 (木) 16:57:10)
  • 11 (2023-01-23 (月) 17:48:48)
  • 12 (2023-01-26 (木) 15:42:24)
  • 13 (2023-01-26 (木) 18:00:30)
  • 14 (2023-01-30 (月) 14:38:15)
  • 15 (2023-01-31 (火) 18:16:26)
  • 16 (2023-02-01 (水) 23:04:32)
  • 17 (2023-02-03 (金) 14:33:01)
  • 18 (2023-02-03 (金) 16:59:02)
  • 19 (2023-02-11 (土) 17:31:21)
  • 20 (2023-02-11 (土) 21:36:14)
  • 21 (2023-02-11 (土) 22:35:22)
  • 22 (2023-02-12 (日) 14:56:27)
  • 23 (2023-02-26 (日) 10:07:29)
  • 24 (2023-04-24 (月) 08:49:10)

---

DNS とは†

名称†

• Domain Name System

概要†

• IPアドレスとドメイン名（ホスト名）の対応表を管理して、利用者から提示されるドメイン名に対応するIPアドレスを応答する仕組み

DNSの利用†

• WebにおけるURL
• 電子メールにおけるメールアドレス

ゾーン†

• 委任により管理を任された範囲のこと

ネームサーバ†

DNSの仕様†

通信プロトコル（トランスポート層）†

• UDP
  • 一般的なDNSサーバへの接続はUDPが使われている。
  • 最大512B
  • 1往復

• TCP
  • TCPフォールバック
    • UDPのサイズ(512B)に収まらない場合に限り、TCP fallbackされる仕様（RFC1123）
  • 3往復（3 say handshake）

• EDNS0
  • Extension mechanism for DNS version 0
  • DNSの拡張機構
  • UDPのパケットサイズを最大65,535Bまで拡張することを可能とする
  • OPTリソースレコードでUDPパケットサイズを識別する

ポート番号†

• 53/UDP　※サイズが512B以下の場合、またはサイズが512Bを超過してEDNS0を使う場合
• 53/TCP　※サイズが512Bを超過してTCPフォールバックを使う場合

DNSリクエストの暗号化方式（クライアントとフルリゾルバ間）†

• UDPの代わりにHTTPSまたはTLSを使う。
  • DoH -DNS over HTTPS
  • DoT -DNS over TLS

• ソフトウェア
  • DNSCrypt
    https://www.dnscrypt.org/

DNSリクエストの暗号化方式（フルリゾルバと権威リゾルバ間）†

• DNSSEC

DNSの構成要素†

リゾルバ†

• Resolver
• 名前解決を行う
  • ホスト名とIPアドレスを紐づけ、ホスト名をIPアドレスに変換する機能。
  • メールアドレスとメールサーバを紐づける機能。
• リゾルバには、スタブリゾルバとフルサービスリゾルバの2種類ある。

スタブリゾルバ†

• Stub Resolver
• 別称
  • DNSクライアント
• パソコンやスマホなどの端末上に搭載されている機能
• フルサービスリゾルバに対して名前解決を要求する(再帰的要求)

フルサービスリゾルバ†

• Full-Service Resolver
• 別称
  • フルリゾルバ
  • キャッシュサーバ、DNSキャッシュサーバ、キャッシュDNSサーバ
  • 参照サーバ
  • ネームサーバ、DNSサーバ
• スタブリゾルバからの名前解決要求を受けて、権威サーバに対して名前解決の為の問い合わせ(非再帰的要求)を行う
  • 権威サーバへの問い合わせはルートサーバから始まり、名前解決するまで権威サーバの階層をたどって問い合わせを行う
  • ルートサーバのIPアドレスが記載された一覧（ヒントファイル）を保持する
• 名前解決した内容はキャッシュに保存し、次回の同じ名前解決要求があった場合は、キャッシュに保存されている内容を応答する
  • 名前解決の結果、目的のリソースレコードが見つからなかった場合は、見つからなかったことをキャッシュに保存する（ネガティブキャッシュ）

権威サーバ†

• 別称
  • 権威DNSサーバ
  • ゾーンサーバ
  • コンテンツサーバ、DNSコンテンツサーバ
  • ネームサーバ、DNSサーバ
• 権威サーバは、ルートサーバを頂点とした階層構造で構成される。
• 自身が委任を受けたゾーンの情報と、自身が委任しているゾーンの委任情報を保持する。
• フルサービスリゾルバからの名前解決要求を受けて（非再帰的要求）、保持している情報を応答する。
• ゾーンの情報（ゾーンデータ）は、リソースレコードという形式で保持する。

ルートサーバ†

• 別称
  • ルートネームサーバ、DNSルートサーバ
• ドメイン名空間の頂点（TLS）に位置するサーバ。
• ドメイン名の名前解決において、TLDの名前解決を行う。

プライマリとセカンダリ†

• 権威サーバはプライマリとセカンダリの2台構成で運用する必要がある。
  • プライマリサーバ（プライマリDNSサーバ）
  • セカンダリサーバ（セカンダリDNSサーバ）
• ゾーンデータを持つ権威サーバ（プライマリサーバ）のゾーンデータは、ゾーンデータを持たない権威サーバ（セカンダリサーバ）にコピーされる（ゾーン転送）
• 一般的に、自社の権威サーバをプライマリサーバ、上位プロバイダの権威サーバをセカンダリサーバにする
• ゾーン転送
  • 権威サーバのプライマリとセカンダリが登録情報を同期させるために行う登録情報の転送機能のこと
  • ゾーン転送要求は、セカンダリサーバからプライマリサーバに対して行われる。
    • 53ポート/TCPで行われる

DNSサーバ†

• DNSサーバには、コンテンツ機能とキャッシュ機能がある。

コンテンツサーバ†

キャッシュサーバ(フルサービスリゾルバ)†

• リゾルバからの再帰的な名前解決の要求に対して、他のDNSサーバに問い合わせをして取得した結果(IPアドレス)を応答する。
• 調べたドメイン名とIPアドレスの紐付け情報は、一定期間キャッシュされる。

• Webブラウザはフルサービスリゾルバに対して問い合わせをする。

• 個人と企業
  • 個人の場合は、契約しているISPが管理しているフルサービスリゾルバを利用する。
  • 企業の場合は、情報システム部門が管理しているフルサービスリゾルバを利用する。

• フルリゾルバの設定（Linux）
  • /etc/resolv.conf の「nameserver」で指定する。

• オープンリゾルバ
  • 問い合わせ元のアドレスや、問い合わせ対象のドメインに制限なく名前解決の要求に応じるDNSサーバ
  • DNSキャッシュポイズニングやDNSリフレクション攻撃に対して脆弱。
  • Public DNS（パブリックDNS）

名前解決について†

名前解決の手順†

1. クライアントは自ドメインのDNSサーバに問い合わせをする。
2. 自ドメインのDNSサーバは、ルートサーバから下位のDNSサーバに向かって問い合わせを繰り返す。
3. 自ドメインのDNSサーバは、目的のホスト名のDNSサーバからIPアドレスを取得し、クライアントに応答する。

再帰的問い合わせと非再帰的問い合わせ†

再帰的問い合わせ†

• スタブリゾルバからフルサービスリゾルバに対して行われる問い合わせ
• 再帰的問い合わせを受けたフルサービスリゾルバは、名前解決が完結するまで権威サーバをたどって問い合わせをした結果を応答する

非再帰的問い合わせ†

• フルサービスリゾルバから権威サーバに対して行われる問い合わせ
• 非再帰的問い合わせを受けたフルサービスリゾルバは、自身が応答できる情報のみを応答する(他のDNSサーバへの問い合わせは行わない)

正引きと逆引き†

• 正引き
  • ドメイン名に対応するIPアドレスを検索すること
• 逆引き
  • IPアドレスに対応するドメイン名を検索すること

リソースレコード†

• 権威サーバに登録するゾーンの情報のこと
• 「リソースレコード」参照

グルーレコード†

• DNSサーバのドメイン名に対応するIPアドレスを、問い合わせ対象のドメインの上位のDNSサーバに登録することで、上位のDNSサーバから問い合わせ対象のDNSサーバに繋がるようにすることで、名前解決できるようにすること。

DNSのサービス†

• Route53 -AWS（Amazon）

DNSサーバソフトウェア†

• BIND
• Unbound

• OpenDNS
• OpenNIC

• Knot DNS
  https://www.knot-dns.cz/

DNSサーバを使ったセキュリティ上の攻撃手法†

• DNSキャッシュポイズニング

• カミンスキー型攻撃
  • 「DNSキャッシュポイズニング」参照

• DNS Changer
  • DNS設定を書き換えるマルウェア

• DNSリフレクション攻撃
  • 「DDoS攻撃」参照

• DNS水責め攻撃

• サブドメインテイクオーバー

• DNSトンネリング

• タイポスクワッティング

• NXNSAttack
  https://cyber-security-group.cs.tau.ac.il/
  https://www.nxnsattack.com/shafir2020-nxnsattack-paper.pdf

DNSリクエストの暗号化†

暗号化アプリ†

• Intra - Google

DNS関連のコマンド†

• Linuxコマンド
  • dig
  • whois
  • nslookup

bind-util†

• yum -y install bind-utils

kdig†

• https://www.knot-dns.cz/docs/2.6/html/man_kdig.html
• Advance DNS lookup utility

mDNS†

• マルチキャストDNS

関連サイト†

• DNS Record Types - Nslookup.io
  https://www.nslookup.io/learning/dns-record-types/

• （緊急）米国国土安全保障省によるDNS設定の改ざんに関する緊急指令の公開について(2019.1.28)
  • https://jprs.jp/tech/security/2019-01-28-cisa-emergency-directive.html

• ハッカーによる「DNSハイジャック」の急増が、インターネットの信頼性を破壊する (2019.4.18)
  • https://wired.jp/2019/04/18/sea-turtle-dns-hijacking/

• root-servers.org
  https://root-servers.org/

• DNS Benchmark
  https://www.grc.com/dns/benchmark.htm

• DNS設定チェックツール
  https://dnscheck.jp/

• SecurityTrails
  https://securitytrails.com/

• mess with dns
  https://messwithdns.net/

• 「512の壁」を越える ～EDNS0の概要と運用上の注意～ - JPRS
  https://jprs.jp/related-info/guide/topics-column/no8.html

• 「DNSの浸透待ち」は回避できる――ウェブ担当者のためのDNS基礎知識 (2012.2.27) -Impress
  https://internet.watch.impress.co.jp/docs/special/514853.html

関連用語†

• DKIM
• DNSBL -DNS BlackList
• DNS Rebinding
• DNSSEC
• DNSハイジャック
• DNSラウンドロビン
• FQDN -Fully Qualified Domain Name
• GSLB -Global Server Load Balancing
• SIP
• SPF
• TLD -Top Level Domain
• Whois
• DNDPerf -DNSストレスツール
• ディレクトリサービス
• ダイナミックDNS
• データベース
• ソースポートランダマイゼーション