DNS のバックアップ(No.8)
- バックアップ一覧
- 差分 を表示
- 現在との差分 を表示
- ソース を表示
- DNS へ行く。
- 1 (2021-11-14 (日) 21:01:56)
- 2 (2021-11-15 (月) 10:55:16)
- 3 (2021-12-03 (金) 10:36:43)
- 4 (2021-12-17 (金) 15:56:50)
- 5 (2021-12-20 (月) 22:33:39)
- 6 (2022-02-14 (月) 14:31:36)
- 7 (2022-12-26 (月) 09:41:35)
- 8 (2023-01-16 (月) 18:14:51)
- 9 (2023-01-19 (木) 16:19:01)
- 10 (2023-01-19 (木) 16:57:10)
- 11 (2023-01-23 (月) 17:48:48)
- 12 (2023-01-26 (木) 15:42:24)
- 13 (2023-01-26 (木) 18:00:30)
- 14 (2023-01-30 (月) 14:38:15)
- 15 (2023-01-31 (火) 18:16:26)
- 16 (2023-02-01 (水) 23:04:32)
- 17 (2023-02-03 (金) 14:33:01)
- 18 (2023-02-03 (金) 16:59:02)
- 19 (2023-02-11 (土) 17:31:21)
- 20 (2023-02-11 (土) 21:36:14)
- 21 (2023-02-11 (土) 22:35:22)
- 22 (2023-02-12 (日) 14:56:27)
- 23 (2023-02-26 (日) 10:07:29)
- 24 (2023-04-24 (月) 08:49:10)
DNS とは †
名称 †
- Domain Name System
概要 †
- ポート番号:
- 53/UDP ※サイズが512B以下の場合、またはサイズが512Bを超過してEDNS0を使う場合
- 53/TCP ※サイズが512Bを超過してTCPフォールバックを使う場合
DNSの利用 †
ゾーン †
- 委任により管理を任された範囲のこと
ネームサーバ †
DNSの仕様 †
通信プロトコル(トランスポート層) †
- UDP
- 一般的なDNSサーバへの接続はUDPが使われている。
- 最大512B
- 1往復
- EDNS0
- Extension mechanism for DNS version 0
- DNSの拡張機構
- UDPのパケットサイズを最大65,535Bまで拡張することを可能とする
- OPTリソースレコードでUDPパケットサイズを識別する
ポート番号 †
- ポート番号:53
DNSリクエストの暗号化方式(クライアントとフルリゾルバ間) †
DNSリクエストの暗号化方式(フルリゾルバと権威リゾルバ間) †
ゾーン転送 †
- 権威DNSサーバのプライマリとセカンダリが登録情報を同期させるために行う登録情報の転送機能のこと。
- ゾーン転送要求
- セカンダリからプライマリに対して行われる。
- TCP(53ポート)で行われる。
再帰的問い合わせと非再帰的問い合わせ †
再帰的問い合わせ †
- スタブリゾルバからフルサービスリゾルバに対して行われる問い合わせ
- 再帰的問い合わせを受けたフルサービスリゾルバは、名前解決が完結するまで権威DNSサーバをたどって問い合わせをした結果を応答する
非再帰的問い合わせ †
- フルサービスリゾルバから権威DNSサーバに対して行われる問い合わせ
- 非再帰的問い合わせを受けたフルサービスリゾルバは、自身が応答できる情報のみを応答する(他のDNSサーバへの問い合わせは行わない)
DNSの機能 †
リゾルバ †
- Resolver
- 名前解決
- ホスト名とIPアドレスを紐づけ、ホスト名をIPアドレスに変換する機能。
- メールアドレスとメールサーバを紐づける機能。
- リゾルバには、スタブリゾルバとフルサービスリゾルバの2種類ある。
スタブリゾルバ †
- Stub Resolver
- パソコンやスマホなどの端末上に搭載されている機能
- フルサービスリゾルバに対して名前解決を要求する(再帰的要求)
フルサービスリゾルバ †
- Full-Service Resolver
- キャッシュサーバのこと
- スタブリゾルバからの名前解決要求を受けて、権威DNSサーバに対して名前解決を要求し(非再帰的要求)、名前解決するまで他の権威DNSサーバをたどって問い合わせを行う
- 名前解決した内容はキャッシュに保存し、次回の同じ名前解決要求があった場合は、キャッシュに保存されている内容を応答する
DNSサーバ †
- DNSサーバには、コンテンツ機能とキャッシュ機能がある。
- 機能ごとにサーバを分けた場合、各機能ごとのサーバの呼称は下記の通り(いろいろある)
- コンテンツ機能
- コンテンツサーバ
- DNSコンテンツサーバ
- 権威サーバ
- 権威DNSサーバ
- ネームサーバ
- ゾーンサーバ
- コンテンツ機能
- キャッシュ機能
- キャッシュサーバ
- DNSキャッシュサーバ
- キャッシュDNSサーバ
- フルサービスリゾルバ
- フルリゾルバ
- 参照サーバ
DNSサーバ:コンテンツサーバ †
ルートサーバ †
プライマリとセカンダリ †
- DNSサーバ(コンテンツサーバ)はプライマリとセカンダリの2台構成で運用する必要がある。
- プライマリDNSサーバ
- セカンダリDNSサーバ
- 自社のプライマリDNSサーバに対して、上位プロバイダのDNSサーバをセカンダリDNSサーバにするのが一般的。
DNSサーバ:キャッシュサーバ(フルサービスリゾルバ) †
- Webブラウザはフルサービスリゾルバに対して問い合わせをする。
- 個人と企業
- 個人の場合は、契約しているISPが管理しているフルサービスリゾルバを利用する。
- 企業の場合は、情報システム部門が管理しているフルサービスリゾルバを利用する。
- フルリゾルバの設定(Linux)
- /etc/resolv.conf の「nameserver」で指定する。
- オープンリゾルバ
- 問い合わせ元のアドレスや、問い合わせ対象のドメインに制限なく名前解決の要求に応じるDNSサーバ
- DNSキャッシュポイズニングやDNSリフレクション攻撃に対して脆弱。
- Public DNS(パブリックDNS)
名前解決の手順 †
- クライアントは自ドメインのDNSサーバに問い合わせをする。
- 自ドメインのDNSサーバは、ルートサーバから下位のDNSサーバに向かって問い合わせを繰り返す。
- 自ドメインのDNSサーバは、目的のホスト名のDNSサーバからIPアドレスを取得し、クライアントに応答する。
リソースレコード †
- DNSサーバに登録する情報のこと
- ゾーン
- 委任
リソースレコードの種類 †
- NS
- DNSサーバのホスト名。ドメインのゾーンを管理するネームサーバを指定するレコード。
- Zone Apexに必ず設定する。
- SOA
- プライマリDNSサーバのホスト名。
- 権威ドメイン。ゾーン権限を持っているDNSサーバを指定するレコード。
- Zone Apexに必ず設定する。
- MX
- Mail Exchange
- メールサーバのホスト名
- メールサーバ(メールアドレスで利用するドメイン名)を指定するレコード
- MXレコードが設定されていない場合、メールはAレコードで指定したIPアドレスに送られる。
- メールを明示的に受信しない(Null MX)ことを設定することができる。(プリファレンス値:0、メールサーバ名:.)
- TXT(SPF)
- ホスト名に対するテキスト情報。
- SPFレコードの記述にも使われる。
- メール送信元サーバを指定するレコード
- CNAME
- ホスト名の別名。別名に対する正式名を指定するレコード
- エイリアス
- 他のリソースレコードと一緒に設定することができない。(設定した場合は動作保障されない)
- Zone Apexは、CNAMEを設定することができない。
- PTR
- Pointer record
- ホスト名の別名逆引き
- IPアドレスからドメイン名を逆引きするためのレコード。
- PTRレコードは、IPアドレスの所有者側のサーバに設定する。
- OPT
- EDNS0に関する情報など
- CAA
- サーバ証明書の発行を承認した認証局のコモンネームを指定するレコード
- 第三者による不正な証明書の発行や誤発行を防止する
グルーレコード †
- DNSサーバのドメイン名に対応するIPアドレスを、問い合わせ対象のドメインの上位のDNSサーバに登録することで、上位のDNSサーバから問い合わせ対象のDNSサーバに繋がるようにすることで、名前解決できるようにすること。
DNSのサービス †
DNSサーバソフトウェア †
- OpenDNS
- OpenNIC
- Knot DNS
https://www.knot-dns.cz/
DNSサーバを使ったセキュリティ上の攻撃手法 †
- カミンスキー型攻撃
- 「DNSキャッシュポイズニング」参照
- DNS Changer
- DNS設定を書き換えるマルウェア
- DNSリフレクション攻撃
- 「DDoS攻撃」参照
- NXNSAttack
https://cyber-security-group.cs.tau.ac.il/
https://www.nxnsattack.com/shafir2020-nxnsattack-paper.pdf
DNSリクエストの暗号化 †
暗号化アプリ †
- Intra - Google
DNS関連のコマンド †
bind-util †
- yum -y install bind-utils
kdig †
- https://www.knot-dns.cz/docs/2.6/html/man_kdig.html
- Advance DNS lookup utility
mDNS †
- マルチキャストDNS
関連サイト †
- DNS Record Types - Nslookup.io
https://www.nslookup.io/learning/dns-record-types/
- (緊急)米国国土安全保障省によるDNS設定の改ざんに関する緊急指令の公開について(2019.1.28)
- ハッカーによる「DNSハイジャック」の急増が、インターネットの信頼性を破壊する (2019.4.18)
- root-servers.org
https://root-servers.org/
- DNS Benchmark
https://www.grc.com/dns/benchmark.htm
- DNS設定チェックツール
https://dnscheck.jp/
- mess with dns
https://messwithdns.net/
- 「512の壁」を越える ~EDNS0の概要と運用上の注意~ - JPRS
https://jprs.jp/related-info/guide/topics-column/no8.html
- 「DNSの浸透待ち」は回避できる――ウェブ担当者のためのDNS基礎知識 (2012.2.27) -Impress
https://internet.watch.impress.co.jp/docs/special/514853.html
関連用語 †
- DKIM
- DNSBL -DNS BlackList
- DNS Rebinding
- DNSSEC
- DNSハイジャック
- DNSラウンドロビン
- FQDN -Fully Qualified Domain Name
- GSLB -Global Server Load Balancing
- SIP
- SPF
- TLD -Top Level Domain
- Whois
- DNDPerf -DNSストレスツール
- ディレクトリサービス
- ダイナミックDNS
- データベース
- ソースポートランダマイゼーション