DNS について知っておくべきこと

DNS ルックアップとは

ドメイン ネーム システム ルックアップ (略して DNS) は、誰かが検索バーに URL を入力してからページが読み込まれるまでの間に起こることです。技術的に言えば、これは URL (www.google.com など) を IP アドレスに変換するプロセスです。

IP アドレスは自宅の住所に似ています。アドレスを使用してメールを送信するのと同じように、コンピュータは IP アドレスを使用して特定の場所にデータを送信します。 IP アドレスは覚えにくい (数字の長い文字列) ため、コンピューターは DNS を使用して IP アドレスと URL を変換します (覚えやすい)。インターネットに接続されたすべてのデバイスには IP アドレスがあります。

DNS はどのように機能しますか?

インターネットの規模を考えると、コンピュータはすべての IP アドレスをメモリに保存することはできません。代わりに、ブラウザに www.google.com と入力すると、コンピュータはウェブサイトの IP アドレスを検索するように指示されます。

まず、コンピュータはキャッシュと呼ばれるローカル メモリをチェックします。これは、コンピューターが最近アクセスしたサイトの IP アドレスを保存する場所であるため、検索することなく高速に読み込むことができます。ただし、ここには最近アクセスしたサイトがいくつかあるだけなので、コンピュータが IP アドレスを見つけられない可能性があります。

ステップ 1 (ステップは上記の図の番号に対応しています): 次に、コンピューターは ISP のローカル再帰ネームサーバーに問い合わせます。 ISP はインターネット サービス プロバイダーです。Time Warner Cable、Spectrum、Verizon などと同様です。ネームサーバーは複雑に聞こえますが、DNS 要求 (「www.google.コム？」）。

どのネームサーバーも、IP アドレスで応答する (知っている場合) か、知らないと応答して要求側サーバーに別のサーバーに問い合わせるように指示することで、この質問に答えることができます。質問に対する答えがわからない場合、再帰ネームサーバーは異なります。単にクエリをリダイレクトするのではなく、答えを見つける作業を行います。すべてのネームサーバーが再帰的というわけではありません。

ステップ 2: 再帰ネームサーバーは最初にキャッシュをチェックします。 IP アドレスがそこにない場合、ルート ネームサーバーに問い合わせます (ルート ネームサーバーは IP アドレスを知りませんが、要求を読み取り、再帰ネームサーバーに次の移動先を伝えることができます)。すべての再帰ネームサーバーには、13 個のルートネームサーバーの IP アドレスが事前設定されています。再帰ネームサーバーは 1 つを選択し、同じ質問をします (「www.google.com の IP アドレスは?」)。

ステップ 3: ルート ネームサーバーはトップレベル ドメイン (リクエストの末尾)、この場合は .com (www.google.com) を読み取り、グローバル トップ レベル ドメイン サーバー (GTLD) に問い合わせるように再帰ネームサーバーに指示します。 GTLD は基本的に、.com、.net、.edu などの各タイプのドメインの参照リストです。彼らはウェブサイトの IP アドレスを知りませんが、どのネームサーバーがその情報を持っているかを知っています.

ステップ 4: 再帰ネームサーバーは、GTLD ネームサーバーに www.google.com の IP アドレスを要求します。

ステップ 5: GTLD ネームサーバーは、リクエストの次の部分を右から左に読み取り (この場合は www.google.com の「google」)、信頼できるネームサーバーに連絡するメッセージを返信します。権威ネームサーバーは、ドメインを担当するネームサーバーです (そして、主要な情報源です)。

ステップ 6: 再帰ネームサーバーは、権威ネームサーバーに同じ質問をします (「www.google.com の IP アドレスは?」)。技術的には、サーバーはアドレス レコード (A) を要求しています。これは、サーバーが IP アドレスを参照する方法です。

ステップ 7: このサーバーには答えがあります。 IP アドレスを再帰ネームサーバーに返し、再帰ネームサーバーに回答が信頼できることを知らせるフラグを付けます。再帰ネームサーバーは、誰かが同じ Web サイトにすぐにアクセスしようとした場合に備えて、IP アドレスをキャッシュに記録します。キャッシュ内の各アイテムには、情報を削除するまでの保持期間をサーバーに通知する「存続時間」のタグが付けられます。

ステップ 8: 再帰ネームサーバーは、あなたのコンピュータに IP アドレスが何であるかを伝えます (これは情報の主要なソースではないため、今回は信頼できるものとしてタグ付けされていません。それは単に情報を渡しているだけです.

ステップ 9: お使いのコンピュータは、受信したばかりの IP アドレスに www.google.com へのリクエストを送信します。

ステップ 10: このアドレスの Web サーバーが Google ホームページを返し、ページが読み込まれます。

このプロセス全体が完了するまでにかかる時間はわずか数ミリ秒で、毎日何兆回も発生しています。

DNS はエンド ユーザーにどのような影響を与えますか?

DNS はインターネットの機能に不可欠であるため、ハッカーの主要な標的となっています。 DNS の根本的な問題は、今日のテクノロジで発生するほとんどのセキュリティの問題と同じです。インターネットと、今日私たちが使用しているテクノロジーの多くは、少数の研究者グループ向けに設計されたものであり、時間の経過とともに世界中で使用されるシステムに拡張されました. DNS (および HTTP、および私たちが使用するほとんどのプロトコル) は、セキュリティを考慮して設計されていません。現在、さまざまなセキュリティ問題の修正を追加する必要がありました。残念ながら、最後に追加されたセキュリティは、開発に組み込まれたセキュリティほど効果的ではありません。

これが DNS にもたらす問題の 1 つは、応答を受信したときにネーム サーバーの信頼性が検証されないことです。したがって、ハッカーは、コンピューターの DNS クエリに対して悪意のある応答を送信し、それが DNS ネームサーバーからの実際の応答であるとコンピューターに思わせることができます。つまり、コンピュータが「www.chase.com の IP アドレスは?」と尋ねると、ハッカーは、(DNS サーバーが応答する前に) ハッカーの悪意のあるサイトの IP アドレスで応答します。サイトが読み込まれると、chase.com の Web サイトのように見えますが、実際にはハッカーによって制御されています。

これはフィッシングと非常によく似ています。ユーザーがだまされて悪意のあるリンクをクリックするのではなく、アクセスしようとしている Web サイトが DNS ルックアップを介して悪意のあるサイトにルーティングされている点が異なります (はるかに難しいため、はるかに危険です)。この種の攻撃を防ぐため)。これにより、ユーザーは、サイトが実際のサイトになりすましていることに注意する必要があります (リンクが正しくないように見えるか、スペルミスやロゴのコピーが不十分である可能性があります)。ただし、これは非常に困難な場合があり、ユーザーが比較的技術に精通している必要があります。

2016 年には、DNS 攻撃により、米国東海岸のほとんどの地域で、ほぼ丸 1 日にわたってインターネットのかなりの部分がダウンしました。この場合、停止は DDoS 攻撃が原因でした。 DDoS 攻撃は分散型サービス拒否攻撃であり、インターネット上の何千ものマシンが同時にシステムを攻撃します。一般に、これらは所有者の知らないうちにマルウェアに感染したマシンであり、1 人のハッカーまたはハッカーのグループがすべてのマシンを制御しています。これらのマシンを一緒に使用すると、「ボットネット」と呼ばれます。

ボットネットは被害者のサーバーに DNS 要求を送信し、送信される要求の量がシステムを圧倒し、サーバーが受信した正当なトラフィックを処理できなくなります。したがって、ハッカーが DNS サーバーを攻撃し、コンピューターが IP アドレスを要求しようとしても、サーバーは応答できません。そのため、コンピューターは、攻撃が停止するまで、サーバーが制御する (または権限のある) サイトにアクセスできません。

この攻撃は、過剰な需要を処理するためにサーバーを過剰にプロビジョニングするか、DNS ファイアウォールを使用することで軽減できます。

DNS によって提示される多くの問題を解決するためのより広範な方法は、DNSSEC です。 DNSSEC は、公開鍵暗号に基づくデジタル署名で認証を強化します。基本的に、要求されたデータの所有者は、上記の状況が発生しないようにするために、デジタル署名を行います。これにより、データの発信元認証 (リゾルバーがデータの送信元と見なした場所から実際にデータが送信された) とデータの整合性の保護 (データが転送中に変更されていない) が提供されます。

残念ながら、DNS を修正するには、DNSSEC を広範囲に展開する必要があります。これは、再帰リゾルバのネットワーク オペレータと、権限のあるサーバーのドメイン名所有者が具体的に有効にする必要があります。これはまだ実現していませんが、より多くの人々が DNS がもたらす問題に気づき、変更を提唱するようになることを願っています.