ホーム topics DNSサーバーとは DNSサーバーとは
DNSソリューションはこちら AI関連の最新情報を購読する
ギア、ロボット アーム、携帯電話の絵文字のコラージュの図

公開日:2024年1月30日
寄稿者:Camilo Quiroz Vazquez, Michael Goodwin

DNSサーバーとは

DNSサーバーは、ユーザーがWebブラウザで検索したWebサイトのドメイン名を、対応する数値のIPアドレスに変換します。このプロセスはDNS解決と呼ばれます。 

ドメイン・ネーム・システム(DNS)を使用すると、ユーザーは複雑で数値的なインターネット・プロトコル(IP)アドレスではなく、ドメイン名とURLを使用してWebサイトに接続できるようになります。DNSは、再帰DNSサーバー、ルート・ネーム・サーバー、トップ・レベル・ドメイン・ネーム・サーバー、権威ネーム・サーバーの4種類の統合DNSサーバーによって動作します。

ユーザーは、www.example.comなどのホスト名を検索ブラウザのアドレスバーに入力してDNSクエリを開始します。この場合、DNSルックアップと呼ばれる一連の機能が、ドメイン名と指定されたIPアドレスの照合を開始します。IPアドレスは、インターネットに接続するすべてのデバイスとネットワークを識別するために使用される数値識別番号です。IPアドレスは93.184.216.34などのIPv4か、2001:db8:3333:4444:5555:6666:7777:8888などのIPv6アドレスのいずれかです。

このような複雑な数値はドメインを整理するのに役立ちますが、ユーザーがこれらの数値を追跡したり、それらを使用してインターネットを簡単に検索したりすることは期待できません。DNSを使用すると、ブランド化やユーザーエクスペリエンスの簡素化などの機能的な目的に合わせてドメイン名をカスタマイズできます。DNSサーバーは大量のトラフィックに対応し、ドメイン名とIPアドレスを変更しながら、このプロセスをユーザーにとってシームレスにするように設計されています。DNS解決のプロセスは、ロード・バランシング、サーバーとユーザーの場所、インターネット接続の強度などの変数によって異なります。

グローバル・サーバー・ロード・バランシングによるパフォーマンスの向上

DNSとリアル・ユーザー・モニタリング(RUM)データが低コストで優れた機能をどのように提供するかをご紹介します。

関連コンテンツ

可観測性の俗説に関する電子ブックに登録する

DNSサーバーの種類

ユーザー検索をIPアドレスに変換するプロセスに関与するDNS サーバーは4種類あります。サーバーは相互に依存して動作し、それぞれが異なる機能を引き受けることで、プロセスの高速性と安全性を維持することを目的としています。

DNSクエリは、リストされている順に次の4つのサーバーを通過します。

再帰DNSサーバー

これは、DNSリカーサーまたは再帰DNSリゾルバーとも呼ばれ、再帰クエリ(あるDNSサーバーが他のDNSサーバーと通信してIPアドレスを見つけて返すプロセス)の最初の停止点です。このサーバーはDNSクエリを受信し、キャッシュされたデータを使ってユーザーを目的のサイトに接続したり、サイトデータがキャッシュされていない場合はDNSネームサーバーにフォローアップリクエストを送信したりします。

ネームサーバーから情報を受け取ると、再帰リゾルバーはユーザーを正しいサイトに誘導します。検索のたびに、サーバーはデータを保存するDNSキャッシュを作成します。これにより、検索と戻りのプロセスが高速化され、ユーザーは正しいWebページにすばやくアクセスできるようになります。ほとんどのDNSリカーサーは、インターネット・サービス・プロバイダー(ISP)によって提供されます。

ルート・ネーム・サーバー

再帰DNSサーバーにキャッシュされたデータがない場合、DNSクエリをDNSルート・ネーム・サーバーに送信します。ルート・ネーム・サーバーはクエリを受け入れ、それをトップ・レベル・ドメイン(TLD)ネーム・サーバーに転送します。クエリがどのTLDサーバーに転送されるかは、目的のサイト拡張子(.com、.orgまたは .net、など)によって異なります。Internet Corporation for Assigned Names and Numbers(ICANN)が運用する主要なDNSルート・サーバーは13台あります。

トップ・レベル・ドメイン(TLD)ネーム・サーバー

TLDネーム・サーバーには、同じ拡張子を持つドメイン名に関連するデータが含まれています。これは、拡張子が.com、.orgそして.netのWebサイト用に指定されたTLDサーバーがあることを意味します。クエリが正しいTLDネーム・サーバーに到達すると、権威ネーム・サーバーに転送されます。

権威ネーム・サーバー

通常、IPアドレスを取得するプロセスの最終ステップは、特定のドメイン名に関連する情報のDNSレコードを取得し、権威DNSサーバーに保管することです。これらのDNSレコードには、特定のドメインとそれに対応するIPアドレスに関する情報が含まれています。正しいIPアドレスが見つかると、それが再帰リゾルバーに送り返されます。もし見つからない場合は、エラーメッセージが表示されます。 

それぞれの機能は複雑ですが、適切に機能しているDNSサービスはユーザーに認識されず、取得プロセスにかかる時間は数秒です。4種類のサーバーを使用することで、ロード・バランシングのプロセス、つまりネットワーク・トラフィックを複数のサーバーに分散し、どのサーバーも過負荷にならないようにします。

DNSサーバーはどのように機能しますか?

DNSは、ドメイン名とそれに関連するIPアドレスの記録を保持するため、「インターネットの電話帳」と見なされることがよくあります。DNSサーバーは、DNSクライアントのIPアドレス取得を駆動するエンジンです。DNSクライアントは、スマートフォンやデスクトップデバイスのルーターやオペレーティングシステムに組み込まれており、ローカルデバイスとサーバー間のパイプとして機能します。ほとんどのルーターには、障害から保護するために、インターネットプロバイダーを通じてプライマリDNSサーバーとセカンダリDNSサーバーが設定されています。

ユーザーがドメインを検索すると、DNS要求によってDNSクエリが開始され、DNSサーバーに送られます。ここから、2つのことが起こります。1つ目は、DNSキャッシュからのクエリの戻り値です。DNSキャッシュは、DNSサーバーまたは他のデバイスでの過去の検索のDNSレコードを一時的に保存します。DNSキャッシュを使用すると、クエリにかかる長いDNSルックアップをスキップし、一時DNSキャッシュにすでに保存されているDNSレコードを返すことで、より高速な応答を提供できます。DNS設定に基づき、Webサーバーは、Time-to-Live(TTL)と呼ばれる特定の時間にかかるこの情報をキャッシュします。

キャッシュされた情報がない場合、DNSクエリは4種類のサーバー(上のセクションで述べたプロセス)を通過して正しいIPアドレスを見つけ、返します。  

パブリックDNSとプライベートDNS

DNSはパブリックまたはプライベートにすることができます。パブリックDNSサーバーは、インターネットを使用する誰でも利用でき、通常はインターネット・サービス・プロバイダーによって設定されます。パブリックDNSサービスは、ネットワーク・パフォーマンスを向上させるトラフィック・ステアリングとロード・バランシングをサポートすることで、権威ネーム・サーバーの管理を支援します。

プライベートDNSはファイアウォールの内側に設定され、内部Webサイトの記録を維持します。これらは多くの場合、内部IPアドレスのみを保存する仮想プライベート・ネットワーク(VPN) を介して接続されます。プライベートDNSは組織の承認されたメンバーのみがアクセスできるため、外部の脅威にさらされる可能性は制限されますが、組織またはプライベートDNSプロバイダーが管理する必要があります。

DNSセキュリティー

DNSサーバーは、ドメインへのアクセスを拒否したり、サーバーをトラフィックで過負荷状態にしたり、DNSインフラの乗っ取り攻撃を受ける可能性があります。IBM NS1 ConnectなどのDNSプロバイダーは、この種の攻撃から保護するためのマネージドDNSサービスを提供しています。

一般的なDNS攻撃には、次のような種類があります。

フラッド攻撃

分散型サービス拒否(DDoS)攻撃は、大量のトラフィックによって権威ネーム・サーバーを過負荷状態にします。権威サーバーに悪意のあるトラフィックが殺到することで、正規のDNSクエリを実行できない状態です。

ランダムなサブドメイン攻撃

これは、NXDomain攻撃とも呼ばれるサービス拒否攻撃です。この攻撃は、権威ネーム・サーバーに存在しないサブドメインに対するリクエストを送信し、実際のクエリに応答できなくします。

DNS増幅攻撃(DNSフラッド)

DDoS攻撃を増幅するツールであるDNSフラッドは、DNSサーバーがクエリを完了するために実行しなければならないワークロードを人為的に膨らませることで、混乱を引き起こす可能性があります。

キャッシュ・ポイズニング

この攻撃では、偽造されたDNSデータがDNSリゾルバーのキャッシュに侵入し、ドメインに誤ったIPアドレスを作成し、ユーザーを予期しないWebサイトに誘導します。これらのWebサイトは、ユーザーをマルウェアやフィッシング攻撃の対象にする可能性があります。

DNSプロトコル攻撃

DNSサーバーをターゲットにして、不正なパケットを処理させる攻撃です。これにより、正当なクエリの処理ができなくなります。

BGPハイジャック攻撃

この攻撃は、ボーダー・ゲートウェイ・プロトコル(BGP)を介して、正規のドメインから悪意のある目的で設定されることが多いドメインにユーザーを再ルーティングするものです。  

DNS トンネリング

この攻撃では、DNSインフラストラクチャがマルウェアや盗まれたデータをファイアウォールを通過させる経路になります。

DNSハイジャック(認証情報の盗難)

これは、DNSサーバーの管理に不正にアクセスしてDNS ゾーンデータを変更または破壊する攻撃です。  

ドメイン盗難

ドメインの盗難では、攻撃者はドメインのレジストラへの不正アクセスを通じてドメイン名の所有権を奪います。

関連ソリューション
IBM NS1 Connect

IBM NS1 Connectは、プレミアムDNSとカスタマイズ可能な高度なトラフィック・ステアリングにより、世界中のユーザーに高速で安全な接続を提供します。常にAPIファーストのアーキテクチャーを備えており、ITチームがより効率的にネットワークを監視し、デプロイを展開し、定期的なメンテナンスを実施できるようになります。

IBM NS1 Connectはこちら

IBM NS1 ConnectマネージドDNS

IBM NS1 ConnectマネージドDNSサービスは、レジリエントで高速な権威DNS接続を提供することで、ネットワークの停止を防ぐと同時に、ビジネスを常にオンライン状態に保ちます。

IBM NS1 ConnectマネージドDNSはこちら

IBM NS1 ConnectによるDNSの可観測性

DNS可観測性データに基づいてカスタマイズされたリアルタイムレポートにより、構成ミスやセキュリティー問題を迅速に特定できます。 

IBM NS1 ConnectによるDNSの可観測性はこちら
参考情報 ドメイン・ネーム・システム(DNS)とは 

DNSを使用すると、ユーザーは数値的なインターネット・プロトコル・アドレスではなく、URLを使用してWebサイトに接続できるようになります。

ネットワーキングとは

コンピューター・ネットワークの仕組み、ネットワークの設計に使われるアーキテクチャー、ネットワークの安全性を保つ方法を紹介します。

サイバー攻撃とは

サイバー攻撃とは、コンピューター・システムへの不正アクセスを通じて、他人の資産を盗んだり、暴露したり、変更したり、無効にしたり、破壊したりする試みです。

次のステップ

IBM NS1 Connectは、プレミアムDNSとカスタマイズ可能な高度なトラフィック・ステアリングにより、世界中のユーザーに高速で安全な接続を提供します。 NS1 ConnectはAPIファーストのアーキテクチャーを備えており、ITチームがより効率的にネットワークを監視し、変更を展開し、定期的なメンテナンスを実施できるようになります。

NS1 Connectの詳細はこちら デモを予約