DNSについて

サーバ技術

DNS

DNS (Domain Name System) とは?

IPアドレスとホスト名をマッピングして相互解決するための、分散協調型データベース・システム。

DNSの特徴
DNSの意義

DNSの意義

ゾル

ゾルバの種類と機能
フルサービス・リゾルバ	←	スタブ・リゾルバ
(自ら再起検索を行い、		(要求を転送するのみ)
完全にDNS解決を行える)
ゾルバの実装
フォワーダ≫			≪スレーブ・サーバ≫		≪クライアント≫

DNSサーバ		←	DNSサーバ		←	PC・メールサーバ
┗フルサービス・リゾルバ	┗スタブ・リゾルバ		┗スタブ・リゾル

DNSサーバ

DNSサーバの種類
DNSコンテンツサーバ	←	DNSキャッシュサーバ
・プライマリ			・フルサービス・リゾルバ
・セカンダリ
DNSサーバの機能
キャッシュサーバ
一度問い合わせ受けて、解決した情報を一定期間キャッシュする。
  • キャッシュされたデータを返答する場合は”ノン・オーソリティ”であることを明示する。
    cf. オーソリティ
  • キャッシュされたデータは有効期間を過ぎたら削除する。
コンテンツサーバ

検索要求の種類と処理の流れ

イテレイティブ (Iterative: 反復検索) 要求
ゾルバがDNSコンテンツサーバに対して行う要求で、イテレイディブ要求を受けたDNSコンテンツサーバは、自身の管理するゾーン情報を返答する。
リカーシブ (Recursive: 再起検索) 要求
フルサービス・リゾルバ機能を実装したDNSサーバは、クライアントからリカーシブ要求を受けると、まず、ルートサーバに対して、イテレイティブ要求を行い、名前解決すべきホストの属するドメインを管理するDNSサーバのアドレスを取得する。
そして、返されたアドレスのDNSサーバに対して、イテレイティブ要求を行い、さらに下位のドメインを管理するDNSサーバのアドレスを問い合わせる。
この手順を繰り返していき、最終的に目的とするホストの名前解決を行う。

DNS情報管理の実際

  • DNS情報は、BINDなどにおいて定義ファイルとして示される、”ゾーン”という単位で管理される。
  • ”ゾーン”に含まれるデータの単位を”レコード”という。
  • SOAレコード”には、ゾーンの基本設定情報が記される。(有効時間、更新設定など)
  • NSレコード”に、DNSサーバが管理するサブドメインの情報が記される。
  • 名前解決には”正引き”と”逆引き”があり、それぞれのデータ取得にはそれぞれ異なるレコードが用いられる。
    正引き
    ホスト名からIPアドレスなどを取得するDNS解決方法。
    Aレコード”にホスト名とIPアドレスの対応が示される。
    逆引き
    IPアドレスからホスト名を取得する方法。
    PTRレコード”を参照する。
  • MTAが転送先ドメインのメールサーバ名を取得するとき、”MXレコード”を参照する。

参考: 主なDNSレコードの種類 - @IT

DNSのセキュリティ対策

用語解説

DNS関連用語の解説
名前解決
IPアドレスとホスト名をマッピングして相互解決すること。
ドメインツリー
名前解決を分散協調して行うための、DNSサーバによって構成される概念。
ドメインを管轄するDNSサーバは、リゾルバの問い合わせに対して、自身の管理するドメインの情報やサブドメインDNSサーバ名を返答し、リゾルバはそれらの情報を元にドメインツリーを下位方向に向かって問い合わせを再帰的に繰り返すことで、目的の名前を解決することができる。
名前空間 (ネームスペース)
ある実体を一意に決定付けるための、構造化された名前によるデータ構造。
DNS名 (ドメイン名)
各ノードの管轄するドメイン(領域)を示す名前空間の名前。
上位ドメインドメイン名を、ピリオドで区切られた階層構造をなして含む。
また、”.”(ルートノード)を起点として右から左に記述される。
”.”(ルートノード)から記述されたものを、絶対パス形式といい、これが無い場合は、相対パス形式であるとみなされる。
(ただし、Webブラウザなどではデフォルトでルートノードがスタートポイントとみなされるので、通常は省略される。)
ホスト名
ドメインツリーに属する各ノードが持つ名前。また、各ホストを示すDNS名
ホスト名は各ノードのドメイン内でのユニーク性さえ保証されれば、DNS全体でのユニーク性も保証される。
FQDN (Fully Qualified Domain Name)
ドメインツリー上のTLDからの位置を完全な形で示すDNS名。
ex)
   ┏サードレベル・ドメイン
   ┃	┏セカンドレベル・ドメイン(SLD)
   ┃	┃	 ┏トップレベル・ドメインTLD)
   ┃	┃	 ┃ ┏ルートノード
   www . example . com .  
   │    ↓   └─┬─┘
   │   ホスト名 + DNS名 = FQDN(ホスト名)
   ↓  └────┬────┘
  ホスト名  +  DNS名	 = FQDN(ホスト名)
  └──────┬──────┘
		 DNS

※ ホスト名とDNS名(FQDN)の扱いの違い
→ ホスト名は対応するホスト(アクセス可能な実体)が存在すること前提で用いられる呼称であり、DNS名は必ずしも対応するホストが存在する必要はなく、あくまでDNS上の管理領域区分を示すための呼称である。

サブドメイン
ドメインツリーにおいて、自身の下位に位置するドメイン
DNSサーバ
ドメインツリー上の各ノードに位置し、自身の管理するドメインの情報やサブドメインDNS名を返答する”コンテンツサーバ”と、クライアントからの検索要求を受けて、コンテンツサーバに対して再帰検索を行い、名前解決を行う”キャッシュサーバ”がある。
また、クライアントからの検索要求を受け付けるが、自身では検索を行わず、他のキャッシュサーバへ検索要求を転送して、その結果をクライアントに返答するのみの”スレーブサーバ”というものもある。
ゾル
DNSサーバへ問い合わせを行うDNSクライアントのこと。
ルートサーバ
TLDのネームサーバ情報を保持し、ドメインツリーの頂点に位置するDNSサーバ。
再帰検索を行う際、一番初めに問い合わせを行う場所。
*.ROOT-SERVERS.NET”のドメイン名を持ち、世界にA〜Mの13種類のホストが存在する。
プライマリ・サーバ
ゾーン情報を記した”ゾーンファイル”を起動時にローカルから読み込むコンテンツサーバ
セカンダリ・サーバ
ゾーンファイルを、プライマリサーバからゾーン転送により取得するコンテンツサーバ
権限委譲 (delegation)
各レベルのDNSサーバは、それぞれ自身が直接管理するドメインの情報(サブドメインを管理するDNSサーバ名を含む)のみを保持し、それ以下のサブドメインにどのようなホストが含まれるかについては関知せず、それぞれのレベルのDNSサーバを信頼して管理権限を任せる性質のこと。
オーソリティ (権限)
上位ドメインより、そのドメインを管理しているDNSサーバとして認められ、NSレコードにて指定されている状態であることを示す概念。
上位ドメインDNSサーバのNSレコードに指定されることを”オーソリティを付与される”という。
ゾーン転送
DNSコンテンツサーバの信頼性向上のための多重化を行う際、管理コスト低減のために、プライマリサーバが管理するゾーン情報をセカンダリサーバへ、コピーを行うことをいう。
ゾーン転送に関する更新間隔などの設定情報はSOAレコードに記されている。
関連団体
ICANN (Internet Corporation for Assigned Names and Numbers)
1998年設立のドメイン名・IPアドレス・ポート番号等の管理業務を担う非営利団体
民間の非営利団体であるが、歴史的経緯により米商務省の影響下にあるとされている。
cf. インターネットガバナンス
米国商務省電気通信情報局(NTIA:National Telecommunications and Information Administration)
DNSのルートサーバレコードの管理権を持ち、ICANNに管理監督権を付帯している。
⇒2016/10/1、IANA機能の監督権限をICANN(グローバルなマルチステークホルダーコミュニティ)に移管。
http://internet.watch.impress.co.jp/docs/news/1022940.html
IANA (Internet Assigned Numbers Authority
ICANNが設立される以前、IPアドレスドメイン名などの管理運営を行っていた組織。
ジョン・ポステルが南カリフォルニア大学のISIにおいて米国防総省との契約のもと開始した。
1999年からICANNの下部組織となり、2000年2月に機能をICANNへ移す。
http://en.wikipedia.org/wiki/Internet_Assigned_Numbers_Authority
http://www.nic.ad.jp/ja/basics/terms/iana.html
InterNIC (Internet Network Information Center)
かつてNetwork Solutions社が、唯一のドメイン登録事業者であった時に使用していた名称。
元は全米科学財団のネットワークインフォメーションセンターの機能強化プロジェクトの名称。
Network Solutions社はそこで登録サービスの担当をしていたことに由来する。
JPRS (日本レジストリサービス)
jpドメインの登録管理業を行う会社。
JPNIC (日本ネットワークインフォメーションセンター)
ICANNの日本における連絡役。
2002年3月までjpドメインの登録管理を行っていた。現在は後援。
WIDE (Widly Integrated Distributed Environment) プロジェクト
DNSのルートサーバの一つである”M.ROOT-SERVERS.NET”を管理している。
JUNET (Japan University NETwork)
TCP/IPによるインターネットの導入以前に存在した、日本国内の学術組織を結ぶ、UUCPによるコンピュータネットワーク。
JPドメイン導入以前に.junetというドメインが用いられ運用されていた。
また、このネットワークで用いられていた日本語表現のための文字エンコーディングが現在のISO-2022-JPであり、当初はJUNETコードと呼ばれていた。
インターネットリソースの管理組織
ドメイン名>

	┏ レジストリレジストラ
ICANN  ┫
	┗ IANA ─→ RIR ┬ NIR
		委託	 │ └ LIR
			 └ LIR
	<IPアドレス>

		┌ ARIN(北アメリカ担当)
		├ RIPE NCC(ヨーロッパ、中東、中央アジア担当)
	NRO ──┼ APNIC(アジア・太平洋地域担当)
		│ ├ JPNIC
		│ │ └ ISP
		│ └ ISP
		├ LACNIC(ラテンアメリカカリブ海地域担当)
		└ AfriNIC(アフリカ担当)
レジストリ
ドメイン名の登録管理を行っている団体。
TLDごとに担当する団体が存在する。
レジストラ
ドメイン名の登録を仲介する業者。
レジストラ業務を行うのは、ICANNの認可を受けた業者、または、ccTLDの場合には各ccTDLレジストリの認可を受けた業者である必要がある。
RIR (Regional Internet Registry: 地域別インターネットレジストリ
世界を5つの地域に区分し、各々の地域に属する国に対して、インターネットリソースの配分と登録を管理する組織。
NIR (National Intarnet Registry: 国別インターネットレジストリ
一部の国に置かれている、国ごとにインターネットリソースの管理を行う組織。
その国の属する地域のRIR配下に置かれている。
LIR (Local Internet Registry: ローカルインターネットレジストリ
実際にエンドユーザに対して、インターネットリソースの割り当てを行う組織。
一般的に、ISPがこの役割を担う。
NRO (Number Resource Organization)
5つのRIR間の調整と取りまとめを行う非営利団体
各RIR選出の代表およびオープンフォーラム選出の代表から構成される。

参考文献