DNSの基本を学ぼう

前回の勉強内容

ponsuke-tarou.hatenablog.com

勉強のきっかけになった問題

DNSに関する記述のうち,適切なものはどれか。

  1. DNSサーバに対して,IPアドレスに対応するドメイン名,又はドメイン名に対応するIPアドレスを問い合わせるクライアントソフトウェアを,ゾルという。
  2. 問合せを受けたDNSサーバが要求されたデータをもっていない場合に,他のDNSサーバを参照先として回答することを,ゾーン転送という。
  3. ドメイン名に対応するIPアドレスを求めることを,逆引きという。
  4. ドメイン名を管理するDNSサーバを指定する資源レコードのことを,CNAMEという。

平成28年秋期問18 DNSに関する記述|情報処理安全確保支援士.com

DNSは、ドメイン名やホスト名などとIPアドレスとを対応付けます。

TCP/IPネットワークでDNSが果たす役割はどれか。

TCP/IPを利用したネットワークでは、各ノードを識別するため一意のIPアドレスが割り当てられていますが、このIPアドレスは数字の羅列で人間にとって覚えにくいため、IPアドレスと対応する別名であるドメイン名が付けられています。DNS(Domain Name System)はこのドメイン名とIPアドレスを結びつけて相互変換する(名前解決する)仕組みです。
平成20年秋期問35 DNSが果たす役割はどれか|基本情報技術者試験.com

インターネット上のDNSサーバは階層化されており、ある名前の問合せが解決できない場合は、上位のDNSサーバに問い合わせて結果を得ることができます。

DNSに関する記述のうち,適切なものはどれか。

  • 答. インターネット上のDNSサーバは階層化されており,ある名前の問合せが解決できない場合は,上位のDNSサーバに問い合わせて結果を得ることができる。

DNSサーバは対応関係を階層構造で記憶していて、必要に応じてトップレベルのルートDNSサーバから下位に向かって順に問合せを行い、目的の対応を得ます。DNSサーバは通常2系統以上で構成されており、主系を「プライマリサーバ」、副系を「セカンダリサーバ」といいます。
平成20年春期問54 DNSに関する記述|応用情報技術者試験.com

f:id:ponsuke_tarou:20201015234037j:plain
月岡温泉したしみの宿東栄館の松風の半露天風呂

ゾーンは、特定のDNSサーバが管理するドメインの範囲のことです。

https://milestone-of-se.nesuke.com/wp-content/uploads/2018/09/transfer-zone-1.png.webp
【図解】DNSゾーン転送の仕組みとシーケンス~フォワーダとの違い,AD統合ゾーン,notify,スタブゾーンのメリット/デメリット~ | SEの道標

ゾーン情報が設定された大元のサーバをプライマリサーバといいます。

https://www.atmarkit.co.jp/icd/root/images/89124686.gif
Insider's Computer Dictionary:プライマリDNSサーバ とは? - @IT

プライマリサーバでは、無駄に情報を公開しないために設定でゾーン転送を許可するDNSサーバを限定できます。

DNSサーバに格納されるネットワーク情報のうち,第三者に公開する必要のない情報が攻撃に利用されることを防止するための,プライマリDNSサーバの設定はどれか。

  • 答. ゾーン転送を許可するDNSサーバを限定する。

定期的に実行される「プライマリ」から「セカンダリ」へのゾーン情報のコピー(同期処理)は、ゾーン転送(53/TCP)という機能を使用して行われますが、特に制限をしていない場合「セカンダリサーバ」以外のホストからの要求でも実行可能になっています。したがって攻撃者がこれを用いた場合「プライマリサーバ」からゾーン情報やサーバ/ネットワーク構成を不正に取得されてしまう可能性があります。
これを防ぐためには、ゾーン転送を行うホストをセカンダリサーバのみに制限し、ゾーン転送する情報の範囲を最小とする対策が有効です。
平成23年秋期問8 プライマリDNSサーバの設定|情報処理安全確保支援士.com

セカンダリサーバは、プライマリサーバからゾーン転送を受けてゾーン情報の複製を保持します。

https://image.itmedia.co.jp/ait/articles/1512/22/dnstips_pri_sec.gif
プライマリ、セカンダリの使い方を教えてください:DNS Tips - @IT

ゾーン情報はゾーンファイルに設定され、その1つ1つをレコードといいます。

https://jprs.jp/glossary/imgs/zonefile.png
JPRS用語辞典|ゾーンファイル

情報名 内容
Aレコード ドメインIPアドレスの対応が設定される
NSレコード ゾーン自身や下位ドメインに関するDNSサーバのホスト名が設定される
MXレコード ドメインへの電子メールを受け付けるメールサーバが設定される
CNAMEレコード 正規ホスト名に対する別名が設定される

https://www.nw-siken.com/kakomon/24_aki/img/09.gif
平成24年秋期問9 DNSのAレコードに関する記述|ネットワークスペシャリスト.com

ダイナミックDNSでは、PCのIPアドレスが変わっても、そのPCには同じホスト名でアクセスできます。

ダイナミックDNS(DNS UPDATE)の説明として,適切なものはどれか。

  • 答. PCのIPアドレスが変わっても,そのPCには同じホスト名でアクセスできる。

ダイナミックDNSは、インターネット接続の度に動的に割り振られるIPアドレスとそのホスト名の対応を動的に管理する仕組みです。
常時接続環境ではインターネット接続の度にDHCPからグローバルIPアドレスが割り振られるため、個人が自宅サーバを公開するときにホスト名とIPアドレスの対応をとることができないという問題が生じます。ダイナミックDNSでは、この問題に対応するために接続がある度(IPアドレスが割り振られる度)にIPアドレス・ホスト名対応情報の登録・更新をDNSサーバへ行います。これによって固定IPアドレスがない環境でも常に同じホスト名でアクセスさせることができるようになります。
平成19年秋期問35 ダイナミックDNS|応用情報技術者試験.com

インターネットプロバイダから割り当てられるIPアドレスが変わっても同じホスト名で接続できるようになります。

https://www.buffalo.jp/contents/topics/utilize/remoteaccess/setup/images/ddns_img.gif
これでできる!リモートアクセス|ダイナミックDNSの設定 | バッファロー

http://www.iobb.net/data/aboutddns.gif
ダイナミックDNSサービス - iobb.net

DNSサーバに対して、IPアドレスに対応するドメイン名又はドメイン名に対応するIPアドレスを問い合わせるクライアントソフトウェアをゾルといいます。

種類 問合せ方 機能
スタブゾル 再帰的問合せ
代理で他のDNSサーバに問い合わせをしてもらって最終結果をもらうこと
自分で名前解決できないからDNSリクエストを送信するだけのクライアント
フルサービスゾル 反復問合せ
名前解決できるまで繰り返して他のDNSサーバにお問合わせすること
自分で持っているキャッシュ情報か権威DNSサーバへの合わせで名前解決ができるサーバ

https://image.itmedia.co.jp/ait/articles/1706/23/wi-dnsfig302.png
DNSのリゾルバ/キャッシュ/フォワーダ機能:超入門DNS(1/2 ページ) - @IT

https://www.infraexpert.com/studygif/tcpip73.gif
TCP/IP - DNSとは その3

https://jprs.jp/glossary/imgs/non-recursivequery.png
JPRS用語辞典|非再帰的問い合わせ(non-recursive query)

キャッシュポイズニング攻撃対策として、再帰的な問合せに対しては内部ネットワークからのものだけに応答するように設定します。

https://www.ap-siken.com/kakomon/29_haru/img/41.gif
攻撃者がDNSキャッシュサーバに偽のキャッシュ情報を登録させる手順を追ってみます。

  1. 攻撃者は、キャッシュサーバに対して偽の再帰的な問合せを行い反復問合せを強制的に生じさせる。
  2. キャッシュサーバは、コンテンツサーバに対して反復問合せを行う。
  3. 攻撃者は、コンテンツサーバが正規の応答を返すよりも先にキャッシュサーバへ偽の応答を送りつける。
  4. キャッシュサーバは、攻撃者から送られた偽の応答を正規のものと判断しキャッシュに登録する。この時点でDNSクエリは解決済なのでコンテンツサーバから送られた正規の応答は破棄される。

(省略)再帰的問合せの役割は、内部ネットワークのホストが外部ネットワークに接続する際の名前解決であり、原則として外部からの再帰的な問合せに応じる必要はないはずですから、再帰的な問合せを受け付けるホストを内部ネットワークだけに限定することがキャッシュポイズニング攻撃への対策となります。
平成29年春期問41 キャッシュポイズニング攻撃への対策|応用情報技術者試験.com

f:id:ponsuke_tarou:20201015233841j:plain
旧古河庭園のバラ

次回の勉強内容

ponsuke-tarou.hatenablog.com