https://yoshihiroshu.com/tags/dns/Recent content in Dns on Yossy's NotesHugojaSun, 30 Jul 2023 12:00:00 +0900https://yoshihiroshu.com/blog/dns-basic-knowledge/Sun, 30 Jul 2023 12:00:00 +0900https://yoshihiroshu.com/blog/dns-basic-knowledge/<div><a id="td-block-0" class="td-offset-anchor"></a></div> <section class="row td-box td-box--white td-box--height-auto"> <div class="col"> <div class="container"> <h2 id="はじめに">はじめに<a class="td-heading-self-link" href="#%e3%81%af%e3%81%98%e3%82%81%e3%81%ab" aria-label="Heading self-link"></a></h2><p>DNSについて、最低限知っておきたいポイントを整理しました。誰かのお役に立てれば幸いです。</p> <h2 id="登場人物">登場人物<a class="td-heading-self-link" href="#%e7%99%bb%e5%a0%b4%e4%ba%ba%e7%89%a9" aria-label="Heading self-link"></a></h2><h2 id="dnsを動かすために必要なこと">DNSを動かすために必要なこと<a class="td-heading-self-link" href="#dns%e3%82%92%e5%8b%95%e3%81%8b%e3%81%99%e3%81%9f%e3%82%81%e3%81%ab%e5%bf%85%e8%a6%81%e3%81%aa%e3%81%93%e3%81%a8" aria-label="Heading self-link"></a></h2><ul> <li>自分のドメイン名をインターネットでつけるようにする 　- 権威サーバーを動かすことで自分のドメイン名をインターネットで使えるようにする</li> <li>インターネットで使われているドメイン名を自分が使えるようにする <ul> <li>フルリゾルバー、スタブリゾルバー、特にフルリゾルバーを動かすことでインターネットで使われているドメインを自分で使えるようにする</li> </ul> </li> <li>DNSを動かし続け、可用性を高める <ul> <li>問題なく動作していることを確認すること、外部攻撃に備え動かし続ける必要がある</li> </ul> </li> </ul> <h2 id="dns設計">DNS設計<a class="td-heading-self-link" href="#dns%e8%a8%ad%e8%a8%88" aria-label="Heading self-link"></a></h2><h3 id="ユースケース">ユースケース<a class="td-heading-self-link" href="#%e3%83%a6%e3%83%bc%e3%82%b9%e3%82%b1%e3%83%bc%e3%82%b9" aria-label="Heading self-link"></a></h3><ul> <li> <p>運用しているサービスやサーバーが少ない場合 サブドメインを作成せず、階層構造を持たないフラットな管理をする。</p> </li> <li> <p>部門別のシステムをサブドメインを作成し、システム部門が全体の管理する場合 1つのゾーンで運用する</p> </li> <li> <p>他部門が独自サブドメインを使ってサービスサイトを運用し、そのサブドメインもその部門が管理する場合 サブドメインを作成し、ゾーンの管理をその部門委任する</p> </li> </ul> <h2 id="権威サーバーの可用性">権威サーバーの可用性<a class="td-heading-self-link" href="#%e6%a8%a9%e5%a8%81%e3%82%b5%e3%83%bc%e3%83%90%e3%83%bc%e3%81%ae%e5%8f%af%e7%94%a8%e6%80%a7" aria-label="Heading self-link"></a></h2><h3 id="プライマリサーバーとセカンダリサーバーの設置">プライマリサーバーとセカンダリサーバーの設置<a class="td-heading-self-link" href="#%e3%83%97%e3%83%a9%e3%82%a4%e3%83%9e%e3%83%aa%e3%82%b5%e3%83%bc%e3%83%90%e3%83%bc%e3%81%a8%e3%82%bb%e3%82%ab%e3%83%b3%e3%83%80%e3%83%aa%e3%82%b5%e3%83%bc%e3%83%90%e3%83%bc%e3%81%ae%e8%a8%ad%e7%bd%ae" aria-label="Heading self-link"></a></h3><p><strong>役割</strong> プライマリサーバーがセカンダリサーバーからのゾーン転送の要求を受け、要求されたゾーンデータを送る</p> <p><strong>考慮すること</strong></p> <p>プライマリサーバーをセカンダリサーバーへのゾーン転送のコピー元としてだけ使う。</p> <ul> <li>利用者からの問い合わせは受け付けないように構成する プライマリサーバーのIPアドレスをプライベートにすることで、サイバー攻撃のリスクを減らすことができる</li> </ul> <h3 id="ゾーン転送の仕組み">ゾーン転送の仕組み<a class="td-heading-self-link" href="#%e3%82%be%e3%83%bc%e3%83%b3%e8%bb%a2%e9%80%81%e3%81%ae%e4%bb%95%e7%b5%84%e3%81%bf" aria-label="Heading self-link"></a></h3><ul> <li>AXFR 全てのゾーン情報を転送する</li> <li>IXFR 前回のゾーン転送情報をジャーナルファイルに記録しておき、ゾーン転送時にはジャーナルファイルを参照して差分情報のみを転送する</li> </ul> <h2 id="権威サーバーが応答する情報">権威サーバーが応答する情報<a class="td-heading-self-link" href="#%e6%a8%a9%e5%a8%81%e3%82%b5%e3%83%bc%e3%83%90%e3%83%bc%e3%81%8c%e5%bf%9c%e7%ad%94%e3%81%99%e3%82%8b%e6%83%85%e5%a0%b1" aria-label="Heading self-link"></a></h2><ul> <li>リソースレコードの表記フォーマット <ul> <li>TTLとクラスは省略できる</li> <li>同じドメイン名に複数のリソースレコードを設定する場合、二行目以降はドメイン名を省略できる</li> </ul> </li> </ul> <div class="highlight"><pre tabindex="0" class="chroma"><code class="language-jsx" data-lang="jsx"><span class="line"><span class="cl"><span class="p">&lt;</span><span class="nt">name</span><span class="p">&gt;</span> <span class="p">&lt;</span><span class="nt">TTL</span><span class="p">&gt;</span> <span class="p">&lt;</span><span class="nt">class</span><span class="p">&gt;</span> <span class="p">&lt;</span><span class="nt">type</span><span class="p">&gt;</span> <span class="p">&lt;</span><span class="nt">data</span><span class="p">&gt;</span> </span></span></code></pre></div><h2 id="フルリゾルバー">フルリゾルバー<a class="td-heading-self-link" href="#%e3%83%95%e3%83%ab%e3%83%aa%e3%82%be%e3%83%ab%e3%83%90%e3%83%bc" aria-label="Heading self-link"></a></h2><p><strong>役割</strong></p> <p>利用者の機器で動作するスタブリゾルバーから名前解決要求を受け付け、名前解決を行い結果を返す</p> <p><strong>考慮すること</strong></p> <ul> <li>ネット上に設置された権威サーバー群に問い合わせを送るため、一般的にグローバルIPを割り当てる</li> <li>利用者のネットワークからアクセスしやすい場所に設置することが望ましい</li> </ul> <h2 id="代表的に攻撃手法">代表的に攻撃手法<a class="td-heading-self-link" href="#%e4%bb%a3%e8%a1%a8%e7%9a%84%e3%81%ab%e6%94%bb%e6%92%83%e6%89%8b%e6%b3%95" aria-label="Heading self-link"></a></h2><h3 id="dnsリフレクター攻撃">DNSリフレクター攻撃<a class="td-heading-self-link" href="#dns%e3%83%aa%e3%83%95%e3%83%ac%e3%82%af%e3%82%bf%e3%83%bc%e6%94%bb%e6%92%83" aria-label="Heading self-link"></a></h3><p>DNSを利用したDoS攻撃の一つ</p> <p>送信元IPアドレスを偽った問い合わせをフルリゾルバーや権威サーバーに送ることでそれらのサーバーが応答を攻撃対象に送りサービス不能の状態に陥らせる</p> <p><strong>対策</strong></p> <p>RRL(Response Rate Limiting)の導入</p>