「Domain Name System」の版間の差分
m Category:ドメイン名を除去; Category:Domain Name Systemを追加 (HotCat使用) |
編集の要約なし |
||
48行目: | 48行目: | ||
== DNS over HTTPS (DoH) == |
== DNS over HTTPS (DoH) == |
||
[[HTTPS]]上でやりとりすることで、セキュリティとプライバシーを向上させる。これはRFC 8484で定義され、 |
[[HTTPS]]上でやりとりすることで、セキュリティとプライバシーを向上させる。これは RFC 8484 で定義され、 |
||
[[Multipurpose Internet Mail Extensions|MIMEタイプ]]として<code>application/dns-message</code>を使う。 |
[[Multipurpose Internet Mail Extensions|MIMEタイプ]]として<code>application/dns-message</code>を使う。 |
||
* RFC 8484 |
|||
== 存在意義 == |
== 存在意義 == |
||
74行目: | 72行目: | ||
** [[DNSラウンドロビン]] |
** [[DNSラウンドロビン]] |
||
** {{仮リンク|EDNS0|en|Extension mechanisms for DNS}} (extension mechanisms for DNS version 0) |
** {{仮リンク|EDNS0|en|Extension mechanisms for DNS}} (extension mechanisms for DNS version 0) |
||
* [[ドメイン名]] |
* [[ドメイン名]] |
||
** [[トップレベルドメイン]] (TLD) |
** [[トップレベルドメイン]] (TLD) |
||
** [[国際化ドメイン名]] |
** [[国際化ドメイン名]] |
||
** [[Fully Qualified Domain Name]](FQDN) |
** [[Fully Qualified Domain Name]](FQDN) |
||
* [[地域インターネットレジストリ]] |
* [[地域インターネットレジストリ]] |
||
** [[レジストラ]] |
** [[レジストラ]] |
||
* [[インターネット・プロトコル・スイート|TCP/IP]] |
* [[インターネット・プロトコル・スイート|TCP/IP]] |
||
* [[名前解決]] |
* [[名前解決]] |
||
** [[正引き]] |
** [[正引き]] |
||
** [[逆引き#逆引き(DNS)|逆引き]] |
** [[逆引き#逆引き(DNS)|逆引き]] |
||
* [[ディレクトリ・サービス]] |
* [[ディレクトリ・サービス]] |
||
* [[DNS偽装]] |
* [[DNS偽装]] |
||
* [[誕生日攻撃]] |
* [[誕生日攻撃]] |
||
* [[DNS-Pinning]] ([[DNSリバインディング]]{{enlink|DNS rebinding}}) |
* [[DNS-Pinning]] ([[DNSリバインディング]]{{enlink|DNS rebinding}}) |
||
* [[DNS Security Extensions]] (DNSSEC) |
* [[DNS Security Extensions]] (DNSSEC) |
||
* [[エニーキャスト]] |
* [[エニーキャスト]] |
||
2019年3月19日 (火) 10:58時点における版
TCP/IP群 |
---|
アプリケーション層 |
|
トランスポート層 |
カテゴリ |
インターネット層 |
カテゴリ |
リンク層 |
カテゴリ |
Domain Name System(ドメイン・ネーム・システム、DNS)とは、インターネットを使った階層的な分散型データベースシステムである。1983年にInformation Sciences Institute (ISI) のポール・モカペトリスとジョン・ポステルにより開発された。
現在では主にインターネット上のホスト名や電子メールに使われるドメイン名と、IPアドレスとの対応づけ(正引き、逆引き)を管理するために使用されている。
概要
インターネットに接続されているすべてのコンピュータは、固有のIPアドレスを持っている。たとえば、ウィキペディア日本語版のwebサーバの持つIPアドレスは2012年10月現在では "208.80.154.225" である。インターネット上のどのコンピュータにアクセスする際にも最終的にはそのコンピュータの IPアドレスを知る必要がある。しかし、IPアドレスは3桁までの4つの数値の組み合わせ(IPv4の場合)で表現され、最大12桁の数字の羅列となり覚えにくい。このため、IPアドレスを人間が覚えやすい名前で扱うことができるような機構が考案された。これがインターネットドメイン名である。このドメイン名からIPアドレスを引き出す機能(正引き)が、DNSの代表的な機能である。このほか、ドメイン名に関連するメールサーバ情報なども取り扱っている。
動作
DNSは、ホスト名(例えば"ja.wikipedia.org")の入力があるとDNSサーバ と呼ばれるコンピュータを参照し、そのホストのもつ IP アドレス(例えば"130.94.122.197")を検索するシステムである。例えるなら、DNSは氏名から電話番号を自動で調べる電話帳のようなものである。
たとえば ウェブブラウザ に URI を入力してネットワークにアクセスする際、ブラウザはURIを解析して、アクセスすべきWebサーバのホスト名を取り出し、後述のリゾルバAPIに渡す。リゾルバAPI(通常はOS内部での働き)は、Webサーバのホスト名をDNSサーバに問い合わせて返ってきたIPアドレスにより、ホスト名をIPアドレスに変換してブラウザに返す。ブラウザは、得られたIPアドレスを使用して、Webサーバとの通信を開始する。このようにしてブラウザはインターネットにアクセスする。
ホスト名から、そのホストにアクセスするためのIPアドレスを得ることを、(ホスト名の)「解決」 (resolve) と呼び、これを行うためのクライアント側のしくみやプログラムを「リゾルバ」(resolver)または「ネームリゾルバ」という。
DNSに格納されている情報を「レコード」(DNSレコード、リソースレコード)と呼ぶ。レコードは格納する情報によって種類が分類分けされている。レコードの種類は「DNSレコードタイプの一覧」を参照。
ただし現実の電話帳との違いは、この情報がインターネット上のいくつものコンピュータ(DNSサーバ)に分散して格納されているところにある。 インターネットには莫大な数のコンピュータが接続されており、これらのホスト名と IPアドレスは日々更新されつづけているため、インターネット上のすべてのホスト名を一台のコンピュータで集中管理することは現実的ではなかった。 そのためインターネット上のコンピュータをある単位で区分けして、それぞれのグループがもつデータをグループごとのコンピュータに別々に管理させるようにした。これが DNS の基本的なアイデアである。このグループをドメインと呼ぶ。各グループには英数字とハイフン ( - ) からなるラベル(ドメイン名)がつけられており、異なるドメインの情報は異なるコンピュータに格納される。
今でこそ DNS はホスト名とIPアドレスの対応づけに使用されるのがほとんどだが、もともとは電子メールの配送方法やコンピュータの機種名を登録するなどといった用途も考えられていた。
ドメイン名は階層的な構造をもっている。たとえば"ja.wikipedia.org" というホスト名は"ja"、 "wikipedia"、 "org"という 3つの階層に区切ることができる。ja.wikipedia.org というホストは"wikipedia.org" ドメインに所属しており、このドメインはさらに "org" ドメインに所属している、といった具合である。ドメイン名は一個の巨大な木構造をなしているといっていい。この構造をドメイン名前空間 (Domain Name Space) と呼ぶ。ドメイン名前空間は頂点に "."(root) ノードをもち、そこから .com, .org, .jp などの各トップレベルドメイン (TLD) が分かれている。
各ドメインはゾーンと呼ばれる管轄に分けて管理されている。ゾーンはドメイン名前空間上のある一部分に相当し、それぞれのゾーンは独立したDNSコンテンツサーバと呼ばれるコンピュータによって管理されている(ドメイン名の委譲)。DNSコンテンツサーバは、管理しているゾーンのホスト名とIPアドレスの組を記述したデータベースをもっており、クライアントマシン(あるいはDNSキャッシュサーバ)からの要求に応じて、あるホスト名に対応するIPアドレスを返す。DNSクライアントはルートサーバからいくつものDNSサーバをたどっていき、最終的なホスト名のIPアドレスを得る(DNSの再帰検索)。
DNSサーバの役割
具体的な例として、ja.wikipedia.org というホスト名の IPアドレスを検索することを考えると、再帰検索は、トップレベルドメインをルートサーバに問い合わせることからはじまる。ja.wikipedia.org というホスト名は wikipedia.org ドメインに属し、またwikipedia.orgドメインはorgドメインに属するため、クライアントは最初にorgドメインのDNSサーバ(ネームサーバ)のIPアドレスを得なければならない。
まず、クライアントは適当なルートサーバをひとつ選ぶ。ここでは A.ROOT-SERVERS.NET (198.41.0.4) としよう。現在 ルートサーバ に登録されている org ドメインのネームサーバは 9つあり、そのうちのひとつはa7.nstld.com (192.5.6.36) である。
つぎにクライアントは、このネームサーバに wikipedia.org ドメインのネームサーバの IPアドレスを問い合わせる。するとそのネームサーバのホスト名は dns34.register.com (216.21.226.87) であることがわかる。
最後に、このネームサーバにja.wikipedia.orgのIPアドレスを問い合わせる。するとこのサーバは最終的な答130.94.122.197を返す。こうして目的とするホスト名のIPアドレスを検索できる。
DNS over HTTPS (DoH)
HTTPS上でやりとりすることで、セキュリティとプライバシーを向上させる。これは RFC 8484 で定義され、
MIMEタイプとしてapplication/dns-message
を使う。
存在意義
DNSは、ほとんどのインターネット利用者が普段意識していない透過的なシステムだが、その役割は非常に重要である。あるドメインを管理しているDNSサーバが停止してしまうと、そのドメイン内のホストを示す URL やメールアドレス の名前解決などができなくなり、ネットワークが利用者とつながっていてもそのドメイン内のサーバ類には事実上アクセスできなくなる。そのため、重要なDNSサーバは二重化されていることが多い。
またDNS偽装を行うと、情報を容易に盗聴・偽装することができてしまう。情報レコードの不正な書き換えを防止するため、コンテンツサーバのマスタ(プライマリ)はインターネット(外部)から隠匿し、インターネットには特定のマスタのコピー(ゾーン転送)を受け取るスレーブ(セカンダリ)を公開するなどの構成を組んで、防衛手段を講じる。
関連語句
- DNSサーバ
- Dynamic Domain Name System(ダイナミックDNS、DDNS)
- リゾルバ
- djbdns - DNSサーバ用ソフトウェア。
- BIND
- unbound - オープンソースのDNSキャッシュサーバ
- DNSルートゾーン
- DNSゾーン転送
- DNSレコードタイプの一覧
- DNSBL(DNSブラックリスト)
- DNSラウンドロビン
- EDNS0 (extension mechanisms for DNS version 0)
- ドメイン名
- トップレベルドメイン (TLD)
- 国際化ドメイン名
- Fully Qualified Domain Name(FQDN)
- 地域インターネットレジストリ
- TCP/IP
- 名前解決
- ディレクトリ・サービス
- DNS偽装
- 誕生日攻撃
- DNS-Pinning (DNSリバインディング (DNS rebinding) )
- DNS Security Extensions (DNSSEC)
- エニーキャスト
関連プロトコル
- STD0013
- RFC 8310: Usage Profiles for DNS over TLS and DNS over DTLS - TLS(TCPを使用)およびDTLS(UDPを使用)上でDNSメッセージのやり取りを行うプロトコルの規定。セキュリティやプライバシー保護の向上を意図している。
- RFC 8484: DNS Queries over HTTPS - HTTPS上でDNSメッセージのやり取りを行うプロトコルの規定。使用するHTTPのバージョンとしてはHTTP/2が推奨されている。こちらも、セキュリティやプライバシー保護の向上を意図している。
- マルチキャストDNS - mDNS とも表現される
- LLMNR - Link Local Multicast Name Resolution