このトピックでは、Alibaba Cloud DNS の基本概念を紹介し、基礎を理解して製品機能をより効果的に使用できるようにします。
DNS
DNS ( ドメインネームシステム ) は、インターネットの基本システムの 1 つであり、企業イントラネットの重要な基本サービスシステムです。インターネットドメイン名と企業イントラネットドメイン名を IP アドレスに変換する役割を担っています。この変換プロセスは「名前解決」と呼ばれ、DNS はネットワークアクセスの道標として「名前解決システム」とも呼ばれます。 DNS は、ドメイン名を IP アドレスにマッピングする分散データベースであり、ユーザーはマシンが直接読み取ることができる IP アドレス文字列を記憶することなく、ネットワークリソースとサービスに便利にアクセスできます。 DNS プロトコルは UDP プロトコル上で動作し、ポート 53 を使用します。サービスを提供するネットワーク環境に基づいて、DNS はパブリック DNS と内部 DNS に分類できます。解決チェーンにおける機能的役割に基づいて、DNS は権威 DNS と再帰 DNS に分類できます。
ドメイン階層
ドメイン名は、名前付けに階層ツリー構造を使用します。インターネットに接続されている各ホストまたはルーターには、一意の階層名があります。ドメイン名は、ドット (ピリオド) で区切られた一連のラベルで構成されます。ドメイン階層は次の図のようになります。
例
.comは トップレベルドメイン名です。aliyun.comは プライマリドメイン名 ( 第 2 レベルドメインとも呼ばれます ) です。example.aliyun.com、www.aliyun.comは サブドメイン ( 第 3 レベルドメインとも呼ばれます ) です。test.example.aliyun.comは サブドメインのサブドメイン ( 第 4 レベルドメインとも呼ばれます ) です。
DNS サーバー階層
DNS 解決プロセスには、次の 4 つのレベルの DNS サーバーが関係します。
サーバータイプ | 機能 |
ルートサーバ | 正式名称:ルートネームサーバー。略称:ルートサーバー。ローカル DNS サーバーがローカルで解決結果を見つけられない場合、最初にルートネームサーバーにクエリを実行し、TLD ネームサーバーの IP アドレスを取得します。 |
TLD 管理サーバ | その配下に登録されているプライマリドメイン名を管理します。たとえば、「example.com」の場合、.com TLD 管理サーバはプライマリドメイン名「example.com」の権威 DNS サーバのアドレスを返すことができます。 |
権威 DNS サーバ | 特定のゾーン内で一意であり、そのゾーン内のドメイン名と IP アドレス間のマッピングを維持します。たとえば、Alibaba Cloud DNS のパブリック権威解決を使用すると、DNS レコードを追加できます。その後、サーバは設定された IP レコードをユーザーに返します。 |
ローカル DNS リゾルバ | 正式名称:ローカル DNS サーバー。略称:ローカル DNS。ローカル DNS サーバーは、クライアントからの再帰リクエストに応答し、最終的に解決結果が得られるまで追跡します。例としては、ユーザーのマシンに自動的に割り当てられた DNS、ISP が割り当てた DNS、Google DNS や 223.5.5.5 などのパブリック DNS サービスなどがあります。 |
各レベルのドメインには専用のドメインネームサーバーがあり、最上位にはルートネームサーバーがあります。ドメインネームサーバーの各層には、下位レベルのドメインネームサーバーの IP アドレスが格納されており、段階的なクエリが可能になります。
DNS 解決プロセス
ドメイン名 example.com を使用して Web サイトにアクセスする場合のドメイン名解決プロセスは次のとおりです。
ユーザーが Web ブラウザに
example.comを入力し、ローカル DNS リゾルバへのクエリリクエストを開始します。ローカル DNS リゾルバに解決データがキャッシュされている場合、ドメイン名example.comに対応する IP アドレスを Web ブラウザに直接返し、手順 9 にジャンプします。ローカル DNS リゾルバがキャッシュされた解決データを見つけられない場合は、手順 2 に進みます。ローカル DNS リゾルバは、ルートネームサーバーにクエリを実行します。
ルートネームサーバーは、
.comTLD ネームサーバーのアドレスをローカル DNS リゾルバに返します。ローカル DNS リゾルバは、
example.comのクエリリクエストを.comTLD ネームサーバーに送信します。.com TLD ネームサーバーは、
example.comの権威ある解決を提供する権威ネームサーバーのアドレスをローカル DNS リゾルバに返します。ローカル DNS リゾルバは、権威ネームサーバーにクエリリクエストを送信します。
権威ネームサーバーは、ドメイン名
example.comに対応する IP アドレスをローカル DNS リゾルバに返します。DNS リゾルバは、IP アドレスをブラウザにフィードします。
Web ブラウザは、IP アドレスを使用して Web サイトサーバーにアクセスします。
Web サイトサーバーは、Web ページ情報を返します。
再帰的解決 ( 再帰クエリ )
DNS サーバーは、クエリプロセス全体を完了します。各ステップはこのサーバーによって処理され、最終結果が直接返されます。次に例を示します。
クライアントは、「www.example.com の IP を見つけてください」をローカル DNS ( 再帰サーバー ) に送信します。
再帰サーバーが答えを知らない場合、最終的な答えが得られるまで、ルート DNS、TLD、および権威 DNS に継続的にクエリを実行し、各ステップに従います。
ユーザーは、再帰サーバーが最終的な解決結果を提供するのを待つだけです。
特徴
ユーザーは 1 回だけ質問し、1 回だけ待つ必要があります。
再帰サーバーはクエリプロセス全体を完了する必要があるため、負荷が比較的高くなります。
これは、クライアントとローカル DNS 間の最も一般的な方法です。
一般的なアプリケーション
通常のユーザー /PC/ ブラウザ:再帰クエリのみを使用し、反復クエリは処理しません。
ローカル DNS サーバー ( ブロードバンドキャリア、パブリック 8.8.8.8、または企業イントラネット DNS など ):通常は再帰的解決の役割を担い、外部 ( ルート、TLD、権威 DNS ) に反復クエリを開始します。
パブリック DNS サーバー:ユーザーに対しては再帰的、上位レベルの DNS に対しては反復的。
反復的解決 ( 反復クエリ )
DNS サーバーは、「次に知っている手がかり」を見つけることだけを支援します。それ自体に答えがない場合は、次にどこで質問するかを教えてくれます。クエリプロセス全体を自分で完了する必要があります。次に例を示します。
クライアントはローカル DNS に「www.example.com の IP は何ですか?」と尋ねます。
ローカル DNS は認識せず、ルート DNS にクエリを実行します。ルート DNS は IP で直接応答するのではなく、「TLD サーバーに問い合わせる必要があります」と応答します。ここで、ルート DNS は反復解決を実行しています。
ローカル DNS は TLD サーバーに問い合わせ、TLD は「この権威 DNS を見つけてください」と指示します。ここで、TLD サーバーは反復解決を実行しています。
これは、権威サーバーが見つかり、最終結果が得られるまで続きます。
特徴
クライアントは各ステップで質問する必要があります。
サーバーの負荷は比較的低いですが、クライアントの負担は高くなります ( 通常はこの方法では使用されません )。
一般的なアプリケーション
ルート DNS サーバー、TLD サーバー、権威 DNS サーバー。
企業、学校などのための自作 DNS サーバー。
パブリック DNS サーバー:ユーザーに対しては再帰的、上位レベルの DNS に対しては反復的。
DNS キャッシュ
DNS キャッシュは、リクエストを行ったクライアントに地理的に近い場所に名前解決データを保存します。DNS データは、クエリ階層のどのレベルでもキャッシュできます。キャッシュの目的は、クエリのレイテンシーを短縮し、再帰クエリの数を減らすことです。
TTL
Time to Live (TTL) は DNS レコード内の値で、再帰リゾルバにレコードをキャッシュする期間を伝えます。TTL の有効期限が切れると、リゾルバはそのキャッシュからレコードを削除します。ユーザーが同じドメイン名を再度リクエストした場合、リゾルバは新しいクエリを実行してレコードを取得する必要があります。
IPv4/IPv6 デュアルスタック
デュアル IP スタック、またはデュアルスタックは、システムが IPv4 と IPv6 の両方のプロトコルスタックを同時に使用できるようにするものです。2 つのプロトコルスタックは並行して実行されます。
DNS クエリフラッド攻撃
DNS クエリフラッド攻撃は DoS (Denial of Service) 攻撃の一種で、攻撃者が複数の侵害されたマシンを使用して、標的の DNS サーバに大量のドメイン名クエリを送信します。1 秒あたりのクエリ数 (クエリ/秒) がサーバの処理能力を超えると、正当な名前解決リクエストがタイムアウトし、サービスの可用性に影響を与える可能性があります。
URL 転送
URL 転送は URL リダイレクトとも呼ばれ、特別なサーバ設定を使用して、あるドメイン名へのリクエストを別の Web サイトにリダイレクトする技術です。
edns-client-subnet
edns-client-subnet は DNS 拡張プロトコルであり、再帰 DNS リゾルバがクライアントの IP アドレス情報を権威 DNS サーバに渡すことを可能にします。
DNSSEC
Domain Name System Security Extensions (DNSSEC) は DNS の機能であり、デジタル署名を使用して DNS 応答の信頼性と完全性を保証します。DNSSEC は、DNS 偽装やキャッシュ汚染などの攻撃を効果的に防ぐことができます。これにより、ユーザーが悪意のあるサイトにリダイレクトされるのを防ぎ、インターネットへの信頼を高めます。
HTTPDNS モバイル解決の概念
アプリケーション端末
モバイル端末、IoT デバイス、APP アプリケーションなどを含むがこれらに限定されない、ネットワークアクセス専用の端末デバイスとアプリケーションサービスを指します。
DNS over HTTPS (DoH)
DNS リクエストトラフィックを暗号化するために使用されます。 Alibaba Cloud パブリック DNS は、RFC 8484 で指定されている TLS で暗号化された HTTP 接続を介して DNS 解決を提供します。
DNS over TLS (DoT)
DNS リクエストトラフィックを暗号化するために使用されます。 Alibaba Cloud パブリック DNS は、RFC 7858 で指定されている TLS で暗号化された TCP 接続を介して DNS 解決を提供します。