DNSサーバーとは

ドメイン・ネーム・システム（DNS）を使用すると、ユーザーは複雑で数値的なインターネット・プロトコル（IP）アドレスではなく、ドメイン名とURLを使用してWebサイトに接続できるようになります。DNSは、再帰DNSサーバー、ルート・ネーム・サーバー、トップ・レベル・ドメイン・ネーム・サーバー、権威サーバーの4種類の統合DNSサーバーによって動作します。

ユーザーは、www.example.comなどのホスト名を検索ブラウザーのアドレスバーに入力してDNSクエリを開始します。この場合、DNSルックアップと呼ばれる一連の機能が、ドメイン名と指定されたIPアドレスの照合を開始します。IPアドレスは、インターネットに接続するすべてのデバイスとネットワークを識別するために使用される数値識別番号です。IPアドレスは93.184.216.34のようなIPv4または2001:db8:3333:4444:5555:6666:7777:8888のようなIPv6アドレスです。

このような複雑な数値はドメインを整理するのに役立ちますが、ユーザーがこれらの数値を追跡したり、それらを使用してインターネットを簡単に検索したりすることは期待できません。DNSを使用すると、ブランド化やユーザー・エクスペリエンスの簡素化などの機能的な目的に合わせてドメイン名をカスタマイズできます。DNSサーバーは大量のトラフィックに対応し、ドメイン名とIPアドレスを変更しながら、このプロセスをユーザーにとってシームレスにするように設計されています。DNS解決のプロセスは、ロード・バランシング、サーバーとユーザーの場所、インターネット接続の強度によって異なります。

ユーザー検索をIPアドレスに変換するプロセスに関わるDNSサーバーは4種類あります。サーバーは相互に依存して動作し、それぞれが異なる機能を引き受けることで、プロセスの高速性と安全性を維持することを目的としています。

DNSクエリは、リストに従って、以下の4つのサーバーを通過します。

これは、DNSリカーサーまたは再帰DNSリゾルバーとも呼ばれ、再帰クエリ（あるDNSサーバーが他のDNSサーバーと通信してIPアドレスを見つけて返すプロセス）の最初の停止点です。このサーバーはDNSクエリを受信し、キャッシュされたデータを使ってユーザーを目的のサイトに接続したり、サイトデータがキャッシュされていない場合はDNSネーム・サーバーにフォローアップリクエストを送信したりします。

ネーム・サーバーから情報を受け取ると、再帰リゾルバーはユーザーを正しいサイトに誘導します。検索のたびに、サーバーはデータを保存するDNSキャッシュを作成します。これにより、検索と戻りのプロセスが高速化され、ユーザーは正しいWebページにすばやくアクセスできるようになります。ほとんどのDNSリカーサーは、インターネット・サービス・プロバイダー（ISP）によって提供されます。

再帰DNSサーバーにキャッシュされたデータがない場合、DNSクエリをDNSルート・サーバーに送信します。ルート・サーバーはクエリを受け入れ、それをトップ・レベル・ドメイン（TLD）ネーム・サーバーに転送します。クエリがどのTLDサーバーに転送されるかは、目的のサイト拡張子（.com、.orgまたは.net、など）によって異なります。Internet Corporation for Assigned Names and Numbers（ICANN）が運用する主要なDNSルート・サーバーは13台あります。

TLDネーム・サーバーには、同じ拡張子を持つドメイン名に関連するデータが含まれています。これは、拡張子が.com、.orgそして.netのWebサイト用に指定されたTLDサーバーがあることを意味します。クエリが正しいTLDネーム・サーバーに到達すると、権威ネーム・サーバーに転送されます。

通常、IPアドレスを取得するプロセスの最終ステップは、特定のドメイン名に関連する情報のDNSレコードを取得し、権威サーバーに保管することです。これらのDNSレコードには、特定のドメインとそれに対応するIPアドレスに関する情報が含まれています。正しいIPアドレスが見つかると、それが再帰リゾルバーに送り返されます。見つからない場合、ユーザーにエラー・メッセージが表示されます。

それぞれの機能は複雑ですが、適切に機能しているDNSサービスはユーザーに認識されず、取得プロセスにかかる時間は数秒です。4種類のサーバーを使用することで、負荷分散のプロセス、つまりネットワーク・トラフィックを複数のサーバーに分散し、どのサーバーも過負荷にならないようにします。

DNSは、ドメイン名とそれに関連するIPアドレスの記録を保持するため、「インターネットの電話帳」と見なされることがよくあります。DNSサーバーは、DNSクライアントのIPアドレス取得を駆動するエンジンです。DNSクライアントは、スマートフォンやデスクトップ・デバイスのルーターやオペレーティング・システムに組み込まれており、ローカル・デバイスとサーバー間のパイプとして機能します。ほとんどのルーターには、障害から保護するために、インターネットプロバイダーを通じてプライマリDNSサーバーとセカンダリDNSサーバーが設定されています。

ユーザーがドメインを検索すると、DNS要求によってDNSクエリが開始され、DNSサーバーに送られます。ここから、2つのことが起こります。1つ目は、DNSキャッシュからのクエリの戻り値です。DNSキャッシュは、DNSサーバーまたは他のデバイスでの過去の検索のDNSレコードを一時的に保存します。DNSキャッシュを使用すると、クエリにかかる長いDNSルックアップをスキップし、一時DNSキャッシュにすでに保存されているDNSレコードを返すことで、より高速な応答を提供できます。DNS設定に基づき、Webサーバーは、Time-to-Live（TTL）と呼ばれる特定の時間にかかるこの情報をキャッシュします。

キャッシュされていない場合、DNSクエリは4種類のサーバーを通過し、正しいIPアドレスを見つけて返します（上記セクションで説明しています）。

DNSはパブリックまたはプライベートにすることができます。パブリックDNSサーバーは、インターネットを使用する誰でも利用でき、通常はインターネット・サービス・プロバイダーによって設定されます。パブリックDNSサービスは、ネットワーク・パフォーマンスを向上させるトラフィック・ステアリングとロード・バランシングをサポートすることで、権威ネーム・サーバーの管理を支援します。

プライベートDNSはファイアウォールの内側に設定され、内部Webサイトの記録を維持します。これらは多くの場合、内部IPアドレスのみを保存する仮想プライベート・ネットワーク（VPN）を介して接続されます。プライベートDNSは組織の承認されたメンバーのみがアクセスできるため、外部の脅威にさらされる可能性は制限されますが、組織またはプライベートDNSプロバイダーが管理する必要があります。

DNSサーバーは、ドメインへのアクセスを拒否したり、サーバーをトラフィックで過負荷状態にしたり、DNSインフラの乗っ取り攻撃を受ける可能性があります。IBM NS1 ConnectなどのDNSプロバイダーは、この種の攻撃から保護するためのマネージドDNS Servicesを提供しています。

一般的なDNS攻撃には、次のような種類があります。

分散型サービス拒否（DDoS）攻撃は、大量のトラフィックによって権威サーバーを過負荷状態にします。権威サーバーに悪意のあるトラフィックが殺到することで、正規のDNSクエリを実行できない状態です。

これは、NXDomain攻撃とも呼ばれるサービス拒否攻撃です。この攻撃は、権威サーバーに存在しないサブドメインに対するリクエストを送信し、実際のクエリに応答できなくします。

DDoS攻撃を増幅するツールであるDNSフラッドは、DNSサーバーがクエリを完了するために実行しなければならないワークロードを人為的に膨らませることで、混乱を引き起こす可能性があります。

この攻撃では、偽造されたDNSデータがDNSリゾルバーのキャッシュに侵入し、ドメインに誤ったIPアドレスを作成し、ユーザーを予期しないWebサイトに誘導します。これらのWebサイトは、ユーザーをマルウェアやフィッシング攻撃の対象にする可能性があります。

DNSサーバーをターゲットにして、不正なパケットを処理させる攻撃です。これにより、正当なクエリの処理ができなくなります。

この攻撃は、ボーダー・ゲートウェイ・プロトコル（BGP）を経由して、通常悪意ある目的で設定されるドメインへユーザーを転送しています。

この攻撃では、DNSインフラストラクチャがマルウェアや盗まれたデータをファイアウォールを通過させる経路になります。

これは、DNSサーバーの管理に不正にアクセスしてDNSゾーン・データを変更または破壊する攻撃です。

ドメイン盗難では、不正アクセスを通じてドメインレジストラにアクセスする攻撃者が、ドメイン名の所有権を奪います。