- 前回の勉強内容
- 勉強のきっかけになった問題
- DNSは、ドメイン名やホスト名などとIPアドレスとを対応付けます。
- ゾーンは、特定のDNSサーバが管理するドメインの範囲のことです。
- ダイナミックDNSでは、PCのIPアドレスが変わっても、そのPCには同じホスト名でアクセスできます。
- DNSサーバに対して、IPアドレスに対応するドメイン名又はドメイン名に対応するIPアドレスを問い合わせるクライアントソフトウェアをリゾルバといいます。
- 次回の勉強内容
前回の勉強内容
勉強のきっかけになった問題
DNSに関する記述のうち,適切なものはどれか。
DNSは、ドメイン名やホスト名などとIPアドレスとを対応付けます。
TCP/IPを利用したネットワークでは、各ノードを識別するため一意のIPアドレスが割り当てられていますが、このIPアドレスは数字の羅列で人間にとって覚えにくいため、IPアドレスと対応する別名であるドメイン名が付けられています。DNS(Domain Name System)はこのドメイン名とIPアドレスを結びつけて相互変換する(名前解決する)仕組みです。
平成20年秋期問35 DNSが果たす役割はどれか|基本情報技術者試験.com
ゾーンは、特定のDNSサーバが管理するドメインの範囲のことです。
【図解】DNSゾーン転送の仕組みとシーケンス~フォワーダとの違い,AD統合ゾーン,notify,スタブゾーンのメリット/デメリット~ | SEの道標
ゾーン転送は、DNSサーバのゾーン情報全体を別のDNSサーバに転送することです。
【図解】DNSゾーン転送の仕組みとシーケンス~フォワーダとの違い,AD統合ゾーン,notify,スタブゾーンのメリット/デメリット~ | SEの道標
ゾーン情報が設定された大元のサーバをプライマリサーバといいます。
プライマリサーバでは、無駄に情報を公開しないために設定でゾーン転送を許可するDNSサーバを限定できます。
DNSサーバに格納されるネットワーク情報のうち,第三者に公開する必要のない情報が攻撃に利用されることを防止するための,プライマリDNSサーバの設定はどれか。
- 答. ゾーン転送を許可するDNSサーバを限定する。
定期的に実行される「プライマリ」から「セカンダリ」へのゾーン情報のコピー(同期処理)は、ゾーン転送(53/TCP)という機能を使用して行われますが、特に制限をしていない場合「セカンダリサーバ」以外のホストからの要求でも実行可能になっています。したがって攻撃者がこれを用いた場合「プライマリサーバ」からゾーン情報やサーバ/ネットワーク構成を不正に取得されてしまう可能性があります。
これを防ぐためには、ゾーン転送を行うホストをセカンダリサーバのみに制限し、ゾーン転送する情報の範囲を最小とする対策が有効です。
平成23年秋期問8 プライマリDNSサーバの設定|情報処理安全確保支援士.com
セカンダリサーバは、プライマリサーバからゾーン転送を受けてゾーン情報の複製を保持します。
ダイナミックDNSでは、PCのIPアドレスが変わっても、そのPCには同じホスト名でアクセスできます。
ダイナミックDNS(DNS UPDATE)の説明として,適切なものはどれか。
- 答. PCのIPアドレスが変わっても,そのPCには同じホスト名でアクセスできる。
ダイナミックDNSは、インターネット接続の度に動的に割り振られるIPアドレスとそのホスト名の対応を動的に管理する仕組みです。
常時接続環境ではインターネット接続の度にDHCPからグローバルIPアドレスが割り振られるため、個人が自宅サーバを公開するときにホスト名とIPアドレスの対応をとることができないという問題が生じます。ダイナミックDNSでは、この問題に対応するために接続がある度(IPアドレスが割り振られる度)にIPアドレス・ホスト名対応情報の登録・更新をDNSサーバへ行います。これによって固定IPアドレスがない環境でも常に同じホスト名でアクセスさせることができるようになります。
平成19年秋期問35 ダイナミックDNS|応用情報技術者試験.com
DNSサーバに対して、IPアドレスに対応するドメイン名又はドメイン名に対応するIPアドレスを問い合わせるクライアントソフトウェアをリゾルバといいます。
種類 | 問合せ方 | 機能 |
---|---|---|
スタブリゾルバ | 再帰的問合せ 代理で他のDNSサーバに問い合わせをしてもらって最終結果をもらうこと |
自分で名前解決できないからDNSリクエストを送信するだけのクライアント |
フルサービスリゾルバ | 反復問合せ 名前解決できるまで繰り返して他のDNSサーバにお問合わせすること |
自分で持っているキャッシュ情報か権威DNSサーバへの合わせで名前解決ができるサーバ |
キャッシュポイズニング攻撃対策として、再帰的な問合せに対しては内部ネットワークからのものだけに応答するように設定します。
攻撃者がDNSキャッシュサーバに偽のキャッシュ情報を登録させる手順を追ってみます。
- 攻撃者は、キャッシュサーバに対して偽の再帰的な問合せを行い反復問合せを強制的に生じさせる。
- キャッシュサーバは、コンテンツサーバに対して反復問合せを行う。
- 攻撃者は、コンテンツサーバが正規の応答を返すよりも先にキャッシュサーバへ偽の応答を送りつける。
- キャッシュサーバは、攻撃者から送られた偽の応答を正規のものと判断しキャッシュに登録する。この時点でDNSクエリは解決済なのでコンテンツサーバから送られた正規の応答は破棄される。
(省略)再帰的問合せの役割は、内部ネットワークのホストが外部ネットワークに接続する際の名前解決であり、原則として外部からの再帰的な問合せに応じる必要はないはずですから、再帰的な問合せを受け付けるホストを内部ネットワークだけに限定することがキャッシュポイズニング攻撃への対策となります。
平成29年春期問41 キャッシュポイズニング攻撃への対策|応用情報技術者試験.com