1. DNS

DNS辞典を目指すwikiです。 /項目 右上の検索ボタン(タイトル、テキスト)を活用してください。

/NEWS /next_generation

Domain Name System (DNS) DNS/NEWS DNS入門 /基礎 /項目一覧 /難しい

1.1. 特長

DNSは「ドメイン名」空間(集まり)を「共有」統合するための仕組みです。

ドメイン名は階層構造をしています。
 ドメイン名の階層にしたがって、分割・管理されています。

とはいうものの、実態はTLD名による分割がほとんどです。

/ドメイン名, /ゾーン, /ドメイン名登録 などに分けて、説明します。

「分散」、「統合」の仕組みが「委任・委譲」です。

/分散管理 /統合 /委任・委譲

それぞれの「ゾーン」を管理しているのが権威サーバーです。

ドメイン名空間内の検索を受け持つのがリゾルバーです。

/リゾルバー, 「問い合わせ」と「返答」の/メッセージの形式も重要です。

1.2. DNSには危険がいっぱい

/攻撃 されやすい仕組みになっています。/セキュリティ

DNSの基礎DNS/RFC/1034に書かれています。-- ToshinoriMaeno 2019-07-28 02:40:07

運用に依存しています。
  脆弱性に目をむけないまま、利用は拡大してきました。
  大部分のひとはDNSの正しい知識を求めていない。目先の問題を解決する方法をさがしているだけです。

1.3. 用語: 混乱 バベル

DNSの世界ではさまざまな用語が使われています。ひとにより意味するものが違ったりします。

そして、自分はどういう意味で使っているかを説明できるようにすることです。

1.4. ドメイン名

DNS/RFC/1034/2 DNS/RFC/1034/3

分かりやすいか: https://www.kagoya.jp/howto/webhomepage/01/

1.5. 資源レコード

ドメイン名の属性

1.6. 分散管理

ドメイン名の集まりはゾーンに分けられて管理される。

DNS/RFC/1034/4 ゾーン 登録あるいは委譲

1.6.1. 統合・共有

1.7. 名前解決

名前解決は/リゾルバー が行います。 DNS/RFC/1034/5

1.8. セキュリティ

1.9. 用語

DNS Terminology https://www.ietf.org/rfc/rfc8499.txt

1.10. RFC


ドメイン名の「階層構造」と分割管理を理解すれば、DNSを少しは分かります。-- ToshinoriMaeno 2019-05-28 23:39:06

/運用 が鍵になります。

DNSSECは一部のDNSレコードの正当性だけを確認できる。運用は非常に大変だ。

「未熟」正しい説明はまだない。やさしい説明は間違いが多い。(「/浸透」など)

DNSに代わるなにかが必要だが、いつになることか。それまでどうするのか。

DNS/architecture /実装 /歴史 /メモ /security /用語

twitter:#beyondDNS


Domain Names Are Fading From User View 19 Apr, 2017 · by Karl Auerbach Cavebear

DNS Privacy, Authorization, Special Uses, Encoding, Characters,

https://tools.ietf.org/html/rfc8324

DNS Cookies, TCPを使おう。
DNSSECという複雑な仕組みはいらない。
DNSはそこそこ安全に使える。

https://tools.ietf.org/html/rfc7766

privacyを気にするなら、qname minimisationを使いましょう。

DNSサーバーの移転には時間がかかります。

2. DNS基礎

A warm welcome to DNS https://powerdns.org/hello-dns/

2.1. 定義

/定義 DNSはDNS/1/ドメイン名の集まりを統合管理する仕組みである。

周りのものには好きな名前をつけたい。
各自が好き勝手な名前を使うのでは他人との情報交換で支障がでる。

DNSは名前(DNS/1/ドメイン名)の衝突を避けるための仕組みである。

2.1.1. ゾーン

ぶつかりの生じない(統一された)DNS/1/名前空間を「分散管理」(共存させる)するための仕組みである。

/基礎 /parameters

それぞれの名前空間は「DNS/1/ゾーン」と呼ばれる。

ゾーンはDNS/1/delegationによって、関連づけされる。

RFC 1034 2 DNS design goals

The primary goal is a consistent name space which will be used
     for referring to resources.  In order to avoid the problems
     caused by ad hoc encodings, names should not be required to
     contain network identifiers, addresses, routes, or similar
     information as part of the name.

2.1.2. 属性

ドメイン名には属性(DNS資源レコードと呼ばれる)をもたせることができる。

必要なDNS/1/資源レコードを検索する仕組みがある。これを実装するのが、リゾルバーである。

/ゾーンサーバー /論文 /ネームサーバー

2.2. 課題

/課題

https://www.slideserve.com/deon/11-dns-domain-name-system

新TLDのもたらす脅威 https://twitter.com/OrangeMorishita/status/735020472207695872?lang=ja

動くかどうかさえはっきりしていなかった。セキュリティは考慮されていない。(RFC 1034)

2.3. 運用

/管理 /運用 /運用/調査

/JPRS/未熟なDNS /2016

3. DNSは脆弱である

/脆弱性を知ることが重要です。 /脆弱性入門 /歴史

/キャッシュ毒盛

DNS/返答 を分類してみます。

Kaminsky手法を使ったキャッシュ/毒盛には十分な対策があります。

30年以上使われているDNSを/JPRS/未熟なDNSと言っていていいのでしょうか。

脆弱性をすべて仕様のせいにしてしまっていいのでしょうか。

DNSに深入りしてもいいことはないのですが、 深入りせずに問題点を理解するのも難しいと思います。

すぐには代わりがないというのも状況を悪くしています。

-- ToshinoriMaeno 2016-02-09 11:17:01

重要項目の一覧は/索引を見てください。

/JP-DNS

3.1. Verisign 管理の不良

/Verisign は root-servers の運用まで任されている企業ですが、その運用はお粗末です。

日本での規制 : https://www.nic.ad.jp/ja/materials/after/20160318/20160318-kanesaka.pdf

3.2. レジストリ

DNSゾーンサーバーを移転するときに、いわゆる「浸透待ち」時間が発生するのは、


/基礎知識 /用語 /実装/未来はあるのか /JPRS/未熟なDNS (/用語/JPRS用語

DNS入門 もどうぞ。/delagation-attack

議論 https://www.ietf.org/mail-archive/web/dnsop/current/maillist.html

/draft /DNSCrypto

/2015

3.3. レジストラ

JPドメインでは/レジストラは「指定事業者」と言い換えられています。

DNSサーバを提供する業者(DNSプロバイダ)とは概念的には別ものです。

レジストラの移転についてはまずはレジストリ(JPRS)の説明から読んでください。

レジストラによるDNS情報の書き換えという事件もありました。(権利者の同意なし)

レジストラに侵入されて、DNS情報を書き換える事件も度々起きています。

-- ToshinoriMaeno 2015-07-06 01:33:26

3.4. DNS プロバイダ

DNS/プロバイダのサーバの振る舞いをまとめてみました。 DNS/旧サーバが古い返事を返す

あらためて、DNS/管理者への警告とお願いを書きます。-- ToshinoriMaeno 2010-09-12 01:49:10

レンタルサーバ/DNSサーバ引越手順をまとめてみました。

DNS/引越もどうぞ。  /非協力的事業者 には注意が必要です。

3.5. 共用DNSゾーンサービスは危険

DNS/脅威/共用ゾーンサービス/さくら などの共用DNSサービスでの脆弱性が指摘されました。 (2012年)

さくらは修正すると言っていましたが、部分的な対応でしかありません。

-- ToshinoriMaeno 2012-12-13 23:49:46

DNS/ホスティング とも呼ばれる。

3.6. DNS/TCPはmust

あなたのDNSはTCPをサポートしていますか。https://tools.ietf.org/html/rfc7766 DNS/RFC/RFC5966によって、DNSでTCPを使えるようにしなければならないとなっています。

3.7. リゾルバー

DNS/リゾルバー

3.7.1. DNSキャッシュ毒盛

DNS/毒盛再考 : 現状でのDNSキャッシュサーバには毒盛される危険があります。/毒盛/入門

 2008年に公表された手法を使ってco.jp などに毒盛可能です。(2014)

Kaminsky型攻撃に対しては簡単で有効な対策を見つけました。実装が待たれます。 -- ToshinoriMaeno 2016-05-14 23:54:20

/キャッシュサーバへの毒盛

4. DNSSECは割にあわない

DNSSECは手間がかかるわりにDNS/キャッシュ毒盛/対策としては十分な効果がのぞめません。

DNSSEC対応したキャッシュだって毒を盛られます。共用のキャッシュサーバは特に危険です。

4.1. DNSCurve を使ってみよう

DNSCurve は DNS query/response を暗号化することで、第三者による毒盛を防ぎます。

5. DNS サーバ運用の惨状

コンテンツサーバの設定を調べてみます。 /設定

いろんな設定をする人がいるものです。真似しないでくださいね。

DNS健全化タスクフォースというのがありましたが、 成果(報告)はあったのでしょうか。 http://www.nic.ad.jp/ja/newsletter/No24/063.html

visa.co.jp 乗っ取り事件やKaminsky 型攻撃などの事件がないと、 改善勧告すら無視されるのが現状のようです。

6. 関連情報

DNS/資源レコード

How GSLB Works

関連情報 -- /Faq -- /RFC

DNSアプライアンス http://thinkit.co.jp/article/1134/1


Internet -- http://risks.qmail.jp さまざまな危険 --

MoinQ: DNS (last edited 2024-03-16 06:21:33 by ToshinoriMaeno)