DNS(Domain Name System)はインターネットの基盤のひとつですが、ネットワーク関係者以外のほとんどの人は、仕事をしたり、メールをチェックしたり、スマートフォンで時間を過ごしたりする際に、毎日DNSを使っていることに気づいていません。
DNSは最も基本的なもので、数字と一致する名前のディレクトリです。この場合の数字とは、コンピュータがお互いに通信するために使用するIPアドレスのことです。
例えるなら、DNSはスマートフォンの連絡先リストのように考えてください。
Contents
DNSの簡単な歴史
インターネットの黎明期は、特定のIPアドレスを特定のコンピュータに対応させることが容易でしたが、ネットワークに参加するデバイスや人々が増えるにつれ、それも長くは続きませんでした。今でも、特定のIPアドレスをブラウザに入力して IPアドレスをブラウザに入力してウェブサイトにアクセスすることは可能ですが、当時も今も、人々は覚えやすい単語で構成されたアドレスを求めていました。つまり、現在ではドメイン(networkworld.comなど)として認識されているようなアドレスです。
DNSサーバーの仕組み
名前と数字を照合するDNSディレクトリは、インターネットの片隅に一箇所だけあるわけではありません。現在は4億以上のドメインが登録されているため、1つのディレクトリは非常に大きくなります。インターネットのように インターネット同様、ディレクトリは世界中に分散しており、ドメインネームサーバー(一般にDNSサーバーと呼ばれます)に保存されています。
権威DNSサーバーと再帰的DNSサーバー
コンピューターがドメインに関連するIPアドレスを見つけようとするとき、まず、再帰的リゾルバとして知られる再帰的DNSサーバーに要求を出します。再帰的リゾルバとは、通常、ISPやその他のサードパーティのプロバイダによって運営されているサーバーです。 このサーバーは、サイトの名前とそのIPアドレスを解決するために、どの他のDNSサーバーに問い合わせる必要があるかを知っています。実際に必要な情報を持っているサーバーは、権威DNSサーバーと呼ばれています。
DNSサーバーとIPアドレス
1つのドメインは、複数のIPアドレスに対応することができます。実際、1つのドメインに対応するIPアドレスが数百以上もあるサイトもあります。例えば、コンピュータが「www.google.com」と入力して到達するサーバーと、他の国の人が同じサイト名をブラウザに入力して到達するサーバーは、全く異なる可能性があります。
ディレクトリが分散型であるもうひとつの理由は、もしディレクトリが1つの場所にしかなく、何百万人、おそらく何十億人もの人々の間で共有されていたとしたら、サイトを探しているときにレスポンスを得るのに非常に長い時間がかかるでしょう。
DNSキャッシングとは?
この問題を解決するために、DNSの情報を多くのサーバーで共有しています。しかし、最近訪れたサイトの情報は、クライアントのコンピュータにローカルにキャッシュされます。例えば、あなたは1日に何度もgoogle.comを利用していると思います。コンピュータがDNSネームサーバーにIPアドレスを問い合わせる代わりに DNSネームサーバーにgoogle.comのIPアドレスを問い合わせる代わりに、その情報がコンピュータに保存されるので、名前とIPアドレスを解決するためにDNSサーバーにアクセスする必要はありません。さらに、クライアントをインターネットに接続するために使用されるルーターにもキャッシングが行われます。
また、クライアントをインターネットに接続するためのルーターや、ユーザーのインターネットサービスプロバイダー(ISP)のサーバーでもキャッシュが行われます。このように多くのキャッシングが行われているため、実際にDNSネームサーバーに到達するクエリの数は、見た目よりもずっと少ないのです。
どのようにしてDNSサーバーを見つけることができますか?
一般的に、使用しているDNSサーバーは、インターネットに接続したときに、ネットワークプロバイダーによって自動的に確立されます。どのサーバーがプライマリ・ネームサーバーであるかを確認したい場合、一般的には上述のように再帰的リゾルバーですが、現在のネットワーク接続に関する多くの情報を提供するウェブユーティリティがあります。 現在のネットワーク接続に関するさまざまな情報を提供するウェブユーティリティがあります。
DNSによる効率化の仕組み
DNSは、物事を迅速かつ円滑に進めるのに役立つ階層構造で構成されています。例えば、networkworld.comにアクセスしたいと仮定してみましょう。
IPアドレスへの最初のリクエストは、上述のように再帰的リゾルバに行われます。再帰的リゾルバは、サイトの名前(networkworld.com)をIPアドレスで解決するために、どの他のDNSサーバに問い合わせる必要があるかを知っています。この検索は ルートサーバーは、.com、.net、.orgなどのトップレベルドメインや、.cn(中国)、.uk(イギリス)などの国別ドメインの情報をすべて把握しています。ルートサーバーは世界中にあるので、システムは通常、最も近いルートサーバーにアクセスします。
リクエストが世界中のルートサーバーに到達すると、システムは通常、地理的に最も近いルートサーバーに誘導します。
リクエストが正しいルートサーバーに到達すると、トップレベルドメイン(TLD)ネームサーバーに行きます。ネームサーバーには、第2レベルドメインの情報が保存されています。これは、.com、.org、.netに到達する前に使用される単語です(例えば、networkworld.comの情報は「networkworld」となります)。 の情報は「networkworld」です)。次にリクエストは、サイトの情報とそのIPアドレスを保持しているドメインネームサーバーに送られます。IPアドレスが発見されると、そのIPアドレスがクライアントに送り返され、クライアントはそのIPアドレスを使ってWebサイトを閲覧することができるようになります。
DNSリフレクション攻撃
DNSは過去30年以上にわたって機能してきたため、ほとんどの人がそれを当然のことと考えています。また、システムを構築する際にセキュリティが考慮されていなかったため、ハッカーはこれを最大限に利用し、さまざまな攻撃を仕掛けてきました。
DNS リフレクション攻撃は、DNS リゾルバ サーバーからの大量のメッセージで被害者を圧倒します。攻撃者は、被害者になりすましたIPアドレスを使って、見つけられる限りのオープンなDNSリゾルバに大きなDNSファイルを要求します。リゾルバが応答すると レスポンダが応答すると、被害者は要求されていないDNSデータを大量に受け取りPCを圧倒します。
DNSキャッシュポイズニング
DNS キャッシュ ポイズニングは、ユーザーを悪意のある Web サイトに誘導します。攻撃者は DNS に偽のアドレス レコードを挿入することで、潜在的な被害者がポイズニングされたサイトの 1 つのアドレス解決を要求すると、DNS は別のサイトの IP アドレスを応答します。 攻撃者が管理している別のサイトのIPアドレスを返します。このような偽のサイトにアクセスすると、被害者は騙されてパスワードを教えられたり、マルウェアをダウンロードされたりします。
DNSリソースの枯渇
DNS リソース枯渇攻撃は、ISP の DNS インフラストラクチャを詰まらせ、ISP の顧客がインターネット上のサイトにアクセスできないようにします。これは、攻撃者がドメインを登録し、被害者のネーム サーバーをそのドメインの権威サーバーとして使用することで可能になります。 サーバーとして使用します。そのため、再帰的リゾルバがサイト名に関連するIPアドレスを供給できない場合、被害者のネームサーバに問い合わせることになります。攻撃者は、自分のドメインに対して大量のリクエストを生成し、さらに存在しないサブドメインを放り込みます。
攻撃者は、自分のドメインに対する大量のリクエストを生成し、さらに存在しないサブドメインを投げ込むことで、被害者のネームサーバーに解決リクエスト送り込みます。
DNSSecとは?
DNS Security Extensions は、DNS 検索に関わるさまざまなレベルのサーバー間の通信をより安全にするための取り組みです。これは、DNS システムを担当する組織である ICANN (Internet Corporation for Assigned Names and Numbers) によって考案されました。
ICANNは、DNSのトップレベル、セカンドレベル、サードレベルのディレクトリサーバー間の通信に、攻撃者がルックアップをハイジャックできるような弱点があることを認識しました。これにより、攻撃者は、正規のサイトへのルックアップの要求に対して、悪意のあるサイトのIPアドレスで応答することが可能になります。 悪意のあるサイトのIPアドレスで正規のサイトへの検索要求を応答することができます。これらのサイトは、ユーザーにマルウェアをアップロードしたり、フィッシングやファーミングの攻撃を行うことができます。
DNSSECは、各レベルのDNSサーバーにリクエストのデジタル署名をさせることで、この問題に対処します。これにより、ルックアップの各ステップで、リクエストの整合性が検証されるような信頼の連鎖が生まれます。
さらに、DNSSecはドメインが存在するかどうかを判断し、存在しない場合は、ドメインを解決しようとしている無実のリクエスターに、その不正なドメインを配信させません。
より多くのドメインが作成され、モノのインターネットデバイスやその他の「スマート」システムを介してより多くのデバイスがネットワークに参加し続け、より多くのサイトがIPv6に移行するにつれ、健全なDNSエコシステムを維持することが必要になります。ビッグデータ また、ビッグデータやアナリティクスの増加に伴い、DNS管理の必要性も高まっています。
SIGRed
先日、Windows の DNS サーバーに欠陥が発見され、DNS の弱点がどのような混乱を引き起こすかが世界に知られることになりました。SIGRedと名付けられたこの潜在的なセキュリティホールは、複雑な攻撃の連鎖を必要としますが、パッチが適用されていないWindows DNSサーバーを悪用し、クライアントに任意の悪意のあるコードをインストールして実行することができます。また、この脆弱性は「ワーム可能」であり、人の介入なしにコンピュータからコンピュータへと拡散することができます。
DNS over HTTPS
この記事を書いている時点で、DNS はその歴史の中で最も大きな変化のひとつを迎えようとしています。ブラウザ市場で圧倒的なシェアを誇る Google と Mozilla は、DNS over HTTPS (DoH) への移行を奨励しています。 これは、DNS リクエストが、すでにほとんどのウェブトラフィックを保護している HTTPS プロトコルによって暗号化されるというものです。Chrome の実装では、ブラウザは DNS サーバーが DoH をサポートしているかどうかを確認し、サポートしていない場合は
DNS リクエストを Google の 8.8.8.8 に迂回させます。
この動きには賛否両論があります。1980年代にDNSプロトコルの初期の研究を行ったPaul Vixie氏は、この動きはセキュリティにとって「災害」だと言います。 企業のIT部門は、ネットワークを通過するDoHのトラフィックを監視したり、指示したりすることが難しくなります。
しかし、Chromeは広く普及していますし、DoHはもうすぐデフォルトでオンになりますから、将来的にはどうなるかわかりません。
以下からDNS検索を利用いただけます
