DNS の履歴(No.15)

• 履歴一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• DNS へ行く。
  • 1 (2021-11-14 (日) 21:01:56)
  • 2 (2021-11-15 (月) 10:55:16)
  • 3 (2021-12-03 (金) 10:36:43)
  • 4 (2021-12-17 (金) 15:56:50)
  • 5 (2021-12-20 (月) 22:33:39)
  • 6 (2022-02-14 (月) 14:31:36)
  • 7 (2022-12-26 (月) 09:41:35)
  • 8 (2023-01-16 (月) 18:14:51)
  • 9 (2023-01-19 (木) 16:19:01)
  • 10 (2023-01-19 (木) 16:57:10)
  • 11 (2023-01-23 (月) 17:48:48)
  • 12 (2023-01-26 (木) 15:42:24)
  • 13 (2023-01-26 (木) 18:00:30)
  • 14 (2023-01-30 (月) 14:38:15)
  • 15 (2023-01-31 (火) 18:16:26)
  • 16 (2023-02-01 (水) 23:04:32)
  • 17 (2023-02-03 (金) 14:33:01)
  • 18 (2023-02-03 (金) 16:59:02)
  • 19 (2023-02-11 (土) 17:31:21)
  • 20 (2023-02-11 (土) 21:36:14)
  • 21 (2023-02-11 (土) 22:35:22)
  • 22 (2023-02-12 (日) 14:56:27)
  • 23 (2023-02-26 (日) 10:07:29)
  • 24 (2023-04-24 (月) 08:49:10)

---

DNS とは†

名称†

• Domain Name System

概要†

• IPアドレスとドメイン名（ホスト名）の対応表を管理して、利用者から提示されるドメイン名に対応するIPアドレスを応答する仕組み

DNSの利用†

• WebにおけるURL
• 電子メールにおけるメールアドレス

DNSの仕様†

通信プロトコル（トランスポート層）†

• UDP
  • 一般的なDNSサーバへの接続はUDPが使われている。
  • 最大512B
  • 1往復

• TCP
  • TCPフォールバック
    • UDPのサイズ(512B)に収まらない場合に限り、TCP fallbackされる仕様（RFC1123）
  • 3往復（3 say handshake）

• EDNS0
  • Extension mechanism for DNS version 0
  • DNSの拡張機構
  • UDPのパケットサイズを最大65,535Bまで拡張することを可能とする
  • OPTリソースレコードでUDPパケットサイズを識別する

ポート番号†

• 53/UDP　※サイズが512B以下の場合、またはサイズが512Bを超過してEDNS0を使う場合
• 53/TCP　※サイズが512Bを超過してTCPフォールバックを使う場合

DNSリクエストの暗号化方式（クライアントとフルリゾルバ間）†

• UDPの代わりにHTTPSまたはTLSを使う。
  • DoH -DNS over HTTPS
  • DoT -DNS over TLS

• ソフトウェア
  • DNSCrypt
    https://www.dnscrypt.org/

DNSリクエストの暗号化方式（フルリゾルバと権威リゾルバ間）†

• DNSSEC

DNSの構成要素†

リゾルバ†

• Resolver
• 名前解決を行う
  • ホスト名とIPアドレスを紐づけ、ホスト名をIPアドレスに変換する機能。
  • メールアドレスとメールサーバを紐づける機能。
• リゾルバには、スタブリゾルバとフルサービスリゾルバの2種類ある。

スタブリゾルバ†

• Stub Resolver
• 別称
  • DNSクライアント
• パソコンやスマホなどの端末上に搭載されている機能
• フルサービスリゾルバに対して名前解決を要求する(再帰的要求)

フルサービスリゾルバ†

• Full-Service Resolver
• 別称
  • フルリゾルバ
  • キャッシュサーバ、DNSキャッシュサーバ、キャッシュDNSサーバ
  • 参照サーバ
  • ネームサーバ、DNSサーバ
• スタブリゾルバからの名前解決要求（再起的要求）を受けて、権威サーバに対して名前解決の為の問い合わせ(非再帰的要求)を行う
  • 権威サーバへの問い合わせはルートサーバから始まり、名前解決するまで権威サーバの階層をたどって問い合わせを行う
  • ルートサーバのIPアドレスが記載された一覧（ヒントファイル）を保持する
  • ヒントファイルの情報を使ってルートサーバから最新のルートサーバのIPアドレスを得る仕組み（プライミング）
• 名前解決した内容はキャッシュに保存し、次回の同じ名前解決要求があった場合は、キャッシュに保存されている内容を応答する
  • 名前解決の結果、目的のリソースレコードが見つからなかった場合は、見つからなかったことをキャッシュに保存する（ネガティブキャッシュ）
• 個人と企業
  • 個人の場合は、契約しているISPが管理しているフルサービスリゾルバを利用する。
  • 企業の場合は、情報システム部門が管理しているフルサービスリゾルバを利用する。
• フルリゾルバの設定（Linux）
  • /etc/resolv.conf の「nameserver」で指定する。

(補足) フォワーダ†

• スタブリゾルバとフルサービスリゾルバの間に配置される
• スタブリゾルバからの名前解決要求を受けて、フルサービスリゾルバに転送する
• 家庭用のルータなどが備えている機能

権威サーバ†

• 別称
  • 権威DNSサーバ
  • ゾーンサーバ
  • コンテンツサーバ、DNSコンテンツサーバ
  • ネームサーバ、DNSサーバ
• 権威サーバは、ルートサーバを頂点とした階層構造で構成される。
• 自身が委任を受けたゾーンの情報と、自身が委任しているゾーンの委任情報を保持する。
• フルサービスリゾルバからの名前解決要求を受けて（非再帰的要求）、保持している情報を応答する。
• ゾーンの情報（ゾーンデータ）は、リソースレコードという形式で保持する。

ルートサーバ†

• 別称
  • ルートネームサーバ、DNSルートサーバ
• ドメイン名空間の頂点（TLS）に位置するサーバ。
• ドメイン名の名前解決において、TLDの名前解決を行う。

可用性の向上†

• プライマリとセカンダリ
• 権威サーバはプライマリとセカンダリの2台構成で運用する必要がある。
  • プライマリサーバ（プライマリDNSサーバ）
  • セカンダリサーバ（セカンダリDNSサーバ）

• ゾーンデータを持つ権威サーバ（プライマリサーバ）のゾーンデータは、ゾーンデータを持たない権威サーバ（セカンダリサーバ）にコピーされる（ゾーン転送）
• 一般的に、自社の権威サーバをプライマリサーバ、上位プロバイダの権威サーバをセカンダリサーバにする

• ゾーン転送
  • 権威サーバのプライマリとセカンダリが登録情報を同期させるために行う登録情報の転送機能のこと
  • ゾーン転送要求は、セカンダリサーバからプライマリサーバに対して行われる。
    • 53ポート/TCPで行われる
  • 転送方法の種類
    • AXFR(Authoritative Transfer)：ゾーンの全ての情報を転送する
    • IXFR(Incremental Transfer)：差分の情報を転送する
  • DNS NOTIFY
    • プライマリサーバでゾーンデータに更新があったことをセカンダリサーバに通知する仕組み

DNSサーバ†

オープンリゾルバ†

• 問い合わせ元のアドレスや、問い合わせ対象のドメインに制限なく名前解決の要求に応じるフルサービスリゾルバ
• DNSキャッシュポイズニングやDNSリフレクション攻撃に対して脆弱。
• Public DNS（パブリックDNS）

名前解決について†

名前解決の手順†

1. クライアントは自ドメインのDNSサーバに問い合わせをする。
2. 自ドメインのDNSサーバは、ルートサーバから下位のDNSサーバに向かって問い合わせを繰り返す。
3. 自ドメインのDNSサーバは、目的のホスト名のDNSサーバからIPアドレスを取得し、クライアントに応答する。

再帰的問い合わせと非再帰的問い合わせ†

再帰的問い合わせ†

• recursive query
• スタブリゾルバからフルサービスリゾルバに対して行われる問い合わせ
• 再帰的問い合わせを受けたフルサービスリゾルバは、名前解決が完結するまで権威サーバをたどって問い合わせをした結果を応答する

非再帰的問い合わせ†

• non-recursive query
• 反復問い合わせ (iterative query)
• フルサービスリゾルバから権威サーバに対して行われる問い合わせ
• 非再帰的問い合わせを受けたフルサービスリゾルバは、自身が応答できる情報のみを応答する(他のDNSサーバへの問い合わせは行わない)

正引きと逆引き†

• 正引き
  • ドメイン名に対応するIPアドレスを検索すること
• 逆引き
  • IPアドレスに対応するドメイン名を検索すること

ゾーン†

• 委任により管理を任された範囲のこと

• ゾーンデータ
  • 対象のゾーンに設定されている情報のこと

• ゾーンファイル
  • ゾーンデータを記述するファイル。プライマリサーバに設定される
  • RFC1035

リソースレコード†

• 権威サーバに登録するゾーンの情報のこと
• 「リソースレコード」参照

グルーレコード†

• DNSサーバのドメイン名に対応するIPアドレスを、問い合わせ対象のドメインの上位のDNSサーバに登録することで、上位のDNSサーバから問い合わせ対象のDNSサーバに繋がるようにすることで、名前解決できるようにすること。

DNSメッセージ†

DNSメッセージの構造†

• 問い合わせと応答のメッセージは構造が同じ
• 応答情報はデータがない場合はセクション自体が作成されない
• メッセージ内のドメイン名の表現
  • <ラベルの長さ(16進数)><ラベル(16進数)>...<"00"(16進数)>

制御情報†

• Header セクション
  • 0〜15bit
    • ID(16)　※トランザクションID(応答は問い合わせと同じ)
  • 16〜31bit
    • QR(1) ※メッセージの種類[0:問い合わせ、1:応答]
    • OPCODE(4) ※問い合わせの種類[0:通常、4:NOTIFY、5:UPDATE]
    • AA(1)
    • TC(1)
    • RD(1) ※問い合わせ先[0:権威サーバ、1:フルサービスリゾルバ]
    • RA(1) ※名前解決の可否[0:非サポート、1:サポート]
    • Z(1) ※予備("0")
    • AD(1)
    • CD(1)
    • RCODE(4)　※応答コード
  • 32〜47bit
    • QDCOUNT(16)　※Question セクションの数("1")
  • 48〜63bit
    • ANCOUNT(16)　※Answer セクションのリソースレコード数
  • 64〜79bit
    • NSCOUNT(16)　※Authority セクションのリソースレコード数
  • 80〜95bit
    • ARCOUNT(16)　※Additional セクションのリソースレコード数

問い合わせ情報†

• Question セクション

応答情報†

• Anser セクション
• Authority セクション
• Additional セクション

DNSのサービス†

• Route53 -AWS（Amazon）

DNSサーバソフトウェア†

• BIND
• Unbound

• OpenDNS
• OpenNIC

• Knot DNS
  https://www.knot-dns.cz/

DNS関連の攻撃手法†

DNSを狙った攻撃†

• DNS水責め攻撃

DNSの仕組みを悪用した他者への攻撃†

• DNSキャッシュポイズニング

• カミンスキー型攻撃
  • 「DNSキャッシュポイズニング」参照

• DNS Changer
  • DNS設定を書き換えるマルウェア

• DNSリフレクション攻撃
  • 「DDoS攻撃」参照

• サブドメインテイクオーバー

その他†

• DNSトンネリング

• タイポスクワッティング

• NXNSAttack
  https://cyber-security-group.cs.tau.ac.il/
  https://www.nxnsattack.com/shafir2020-nxnsattack-paper.pdf

• ランダムサブドメイン攻撃

DNSリクエストの暗号化†

暗号化アプリ†

• Intra - Google

DNS関連のコマンド†

• Linuxコマンド
  • dig
  • drill
  • kdig
  • nslookup
  • whois

bind-util†

• yum -y install bind-utils

kdig†

• https://www.knot-dns.cz/docs/2.6/html/man_kdig.html
• Advance DNS lookup utility

mDNS†

• マルチキャストDNS

関連サイト†

• DNS Record Types - Nslookup.io
  https://www.nslookup.io/learning/dns-record-types/

• （緊急）米国国土安全保障省によるDNS設定の改ざんに関する緊急指令の公開について(2019.1.28)
  • https://jprs.jp/tech/security/2019-01-28-cisa-emergency-directive.html

• ハッカーによる「DNSハイジャック」の急増が、インターネットの信頼性を破壊する (2019.4.18)
  • https://wired.jp/2019/04/18/sea-turtle-dns-hijacking/

• root-servers.org
  https://root-servers.org/

• 最新のヒントファイル
  https://www.internic.net/domain/named.root

• オープンリゾルバー確認サイト - JPCERT/CC
  https://www.v2.openresolver.jp/

• DNS Benchmark
  https://www.grc.com/dns/benchmark.htm

• DNS設定チェックツール
  https://dnscheck.jp/

• SecurityTrails
  https://securitytrails.com/

• mess with dns
  https://messwithdns.net/

• Zonemaster
  https://www.zonemaster.net/

• DNSViz
  https://dnsviz.net/

• dnscheck.jp - JPRS
  https://dnscheck.jp/

• DSC - DNS-OARC
  https://www.dns-oarc.net/tools/dsc

• 「512の壁」を越える ～EDNS0の概要と運用上の注意～ - JPRS
  https://jprs.jp/related-info/guide/topics-column/no8.html

• 「DNSの浸透待ち」は回避できる――ウェブ担当者のためのDNS基礎知識 (2012.2.27) -Impress
  https://internet.watch.impress.co.jp/docs/special/514853.html

関連用語（DNS）†

• ゾーンカット
• ゾーン頂点
• ネームサーバ

関連用語†

• DKIM
• DNSBL -DNS BlackList
• DNS Rebinding
• DNSSEC
• DNSハイジャック
• DNSラウンドロビン
• FQDN -Fully Qualified Domain Name
• GSLB -Global Server Load Balancing
• SIP
• SPF
• TLD -Top Level Domain
• Whois
• DNDPerf -DNSストレスツール
• ディレクトリサービス
• ダイナミックDNS
• データベース
• ソースポートランダマイゼーション