DNS Summer Days 2014 チュートリアル DNS 再 入 門 株式会社ハートビーツ滝澤隆史

Transcription

1 DNS Summer Days 2014 チュートリアル DNS 再 入 門 株式会社ハートビーツ滝澤隆史

2 2 私は誰 氏名 : 所属 : 株式会社ハートビーツ サーバの構築 運 用や 24 時間 365 日の有 人監視をやっている会社 いわゆる MSP( マネージドサービスプロバイダ ) DNS との関わり システム管理理者として 1997 年年から 2006 年年までネームサーバの運 用 BIND4, BIND8, djbdns, BIND9 現在は個 人サーバでネームサーバを運 用 NSD, Unbound 日本 Unbound ユーザー会 Unbound/NSD の 文書の翻訳 何となく DNS で遊んでいる 人

3 3 アジェンダ イントロダクション DNS の背景 DNS の概要 本編 ドメイン名 ドメイン名の管理理 リソースレコード マスターファイル DNS メッセージ リゾルバとネームサーバ 午後のセッションと被るため 時間に余裕があれば話します

4 4 注意 DNS の基本仕様を中 心に話します 拡張機能については原則として話しません EDNS0, DNS UPDATE, DNSSEC など

5 5 ホスト名と IP アドレスの関係 リゾルバの役割

6 6 コンピュータ間で通信するには 互いに識識別できるユニークな識識別 子が必要??

7 7 ネットワークアドレス コンピュータに割り当てられたユニークな番号 ネットワーク上ではこのアドレスを使ってコンピュータ間の通信を 行行う 1 4

8 8 IP アドレス TCP/IP におけるネットワークアドレス IP アドレスの記述例例 IPv IPv6 2001:db8:dead:beef:123:4567:89ab:cdef IPv IPv6 2001:db8:dead:beef: 123:4567:89ab:cdee IPv IPv6 2001:db8:dead:beef: 123:4567:89ab:cdef

9 9 IP アドレス 数字の羅羅列列であるため覚えにくい 人に優しくない 特に IPv6 のアドレスなんて覚えられない ホスト名を使う IPv IPv6 2001:db8:dead:beef: 123:4567:89ab:cdee IPv IPv6 2001:db8:dead:beef: 123:4567:89ab:cdef

10 10 ホスト名 コンピュータを識識別するための名前 ホスト名の例例 mars IP アドレスの代わりにホスト名を使ってコンピュータにアクセスすることができる ( ) mars ( )

11 11 名前解決 IP アドレスの代わりにホスト名を使ってコンピュータにアクセスする ホスト名 mars に接続したい ホスト名 mars の IP アドレスを教えて リゾルバと呼ぶ ソフトウェア ホスト名を IP アドレスに変換する ( 名前を解決する ) 仕組み IP アドレス に接続する ホスト名 mars の IP アドレスは である 実際はネットワーク上のコンピュータにアクセスするには IP アドレスを使う

12 12 リゾルバ 名前を解決する仕組み ホスト名に対する IP アドレスを 見見つける OS の機能あるいはライブラリやソフトウェアとして 用意されている OS 上で動作するソフトウェアの要求に応じてホスト名に対する IP アドレスを調べてくれる

13 13 リゾルバの検索索 方法 hosts ファイル /etc/hosts C:\Windows\System32\drivers\etc\hosts DNS 今回のテーマ

14 14 リゾルバ ホスト名 mars に接続したい ホスト名 mars の IP アドレスを教えて hosts ファイルによる名前解決 ソフトウェア リゾルバ hosts ファイル ネームサーバ IP アドレス に接続する ホスト名 mars の IP アドレスは である DNS による名前解決

15 15 このセクションのまとめ リゾルバがホスト名に対応する IP アドレスを 見見つけてくれる ( 名前の解決 ) hosts ファイルや DNS を使う ネットワーク上のコンピュータにアクセスするために 覚えにくい IP アドレスの代わりにホスト名を使うことができる

16 16

17 17 DNS(Domain Name System) とは ドメイン名を 用いた階層構造を持つ のような形式 分散型データベース データベースサーバ ( 権威ネームサーバ ) が分散して存在している example com jp example co ns www

18 18 DNS で扱うデータ コンピュータやネットワークに関するリソースの情報 ( ホスト名や IP アドレスなど ) ホスト名の名前解決ができる ホスト名と IP アドレス以外のリソースも扱う リソースレコードという

19 19 DNS で扱うデータ 主要なリソースレコード ゾーンの権威の開始を 示す SOA レコード 権威ネームサーバを 示す NS レコード IPv4 アドレスを 示す A レコード IPv6 アドレスを 示す AAAA レコード IP アドレスに対する名前を 示す PTR レコード 別名に対する正式名を 示す CNAME レコード 任意の 文字列列を記述できる TXT レコード

20 20 DNS のプレイヤー スタブリゾルバ (Stub Resolver) *1 フルサービスリゾルバ (Full-Service Resolver) *2 Recursive Server *3, Recursive Name Server *2 キャッシュネームサーバ キャッシュ DNS サーバ DNS キャッシュサーバ キャッシュサーバ 権威ネームサーバ (Authoritative Name Server) *1 権威 DNS サーバ DNS 権威サーバ コンテンツサーバ 権威サーバ いろいろな 人がいろいろな呼び 方をしている *1 RFC 1034, RFC 1035 による *2 RFC 1123 による *3 RFC 1034 による

21 21 DNS のプレイヤー やりとりされるリソースの情報をリソースレコードという の IP アドレスを教えて? DNS メッセージ 反復復的に問い合わせを 行行う 分散型データベース ルートゾーンの権威サーバ jp ゾーンの権威サーバ スタブリゾルバ ( クライアント ) の IP アドレスは フルサービスリゾルバ ( キャッシュネームサーバ ) 権威ネームサーバ example.jp ゾーンの権威サーバ

22 22 本セッションで学んでもらうことは DNS の名前空間として ドメイン名の仕組み DNS で扱うデータとして リソースレコード ゾーンのリソースレコードの集まりを記述するマスターファイル DNS の問い合わせや応答で運ばれる DNS メッセージ DNS をハンドリングするリゾルバとネームサーバ

23 23 ここからが本番

24 24 DNS の構成要素 ネームサーバ ( 権威サーバ ) ゾーン転送 ネームサーバ ( 権威サーバ ) ロード マスターファイル メッセージ メッセージ ゾーン内のリソースレコードを記述 ネームサーバ ( フルサービスリゾルバ ) ドメイン名空間 example.jp. リソースレコード IN SOA ns.exampele.jp... メッセージ com jp example.jp. IN NS ns.example.jp. スタブリゾルバ ( クライアント ) example example co ゾーン ns.example.jp. IN A ドメイン名 タイプ ns www

25 25 参考資料料 : 主要な DNS RFC の 一部 RFC 1034 / STD 13 DOMAIN NAMES - CONCEPTS AND FACILITIES RFC 1035 / STD 13 DOMAIN NAMES - IMPLEMENTATION AND SPECIFICATION RFC 1123 / STD 3 Requirements for Internet Hosts -- Application and Support アップデート RFC 1982 / PS Serial Number Arithmetic RFC 1995 / PS Incremental Zone Transfer in DNS RFC 1996 / PS A Mechanism for Prompt Notification of Zone Changes (DNS NOTIFY) RFC 2181 / PS Clarifications to the DNS Specification RFC 2308 / PS Negative Caching of DNS Queries (DNS NCACHE) RFC 3425 / PS Obsoleting IQUERY RFC 4343 / PS Domain Name System (DNS) Case Insensitivity Clarification RFC 4592 / PS The Role of Wildcards in the Domain Name System RFC 5452 / PS Measures for Making DNS More Resilient against Forged Answers RFC 5936 / PS DNS Zone Transfer Protocol (AXFR) RFC 5966 / PS DNS Transport over TCP - Implementation Requirements RFC 6891 / STD 75 Extension Mechanisms for DNS (EDNS(0))

26 26 ドメイン名についてもう少し詳しく 見見ていこう

27 27 DNS の構成要素 ネームサーバ ( 権威サーバ ) ゾーン転送 ネームサーバ ( 権威サーバ ) ロード マスターファイル メッセージ メッセージ ゾーン内のリソースレコードを記述 ネームサーバ ( フルサービスリゾルバ ) ドメイン名空間 example.jp. リソースレコード IN SOA ns.exampele.jp... メッセージ com jp example.jp. IN NS ns.example.jp. スタブリゾルバ ( クライアント ) example example co ゾーン ns.example.jp. IN A ドメイン名 タイプ ns www

28 28 ドメイン名空間の構造 ドメイン名空間はツリー構造 各ノードとリーフはリソースの集まりに対応している 内部ノードとリーフノードを区別しない 両 方とも ノード と呼ぶ ノード com example jp example ルートノード co リーフノード ns www リソース リソース リソース

29 29 ラベル 各ノードはラベルを持つ ルートのために null ラベル ( 長さ 0) が予約されている ラベル "com" ルートノード com jp example example co ns www

30 30 ドメイン名 ノードのドメイン名はそのノードからルートノードまでのパス上のラベルのリスト 例例 ) "www", "example", "jp", "" com jp example example co ns www

31 31 ドメイン名の内部表現 ラベルはオクテットの 長さと 文字列列で表される "www" の内部表現を 16 進数で表すと

32 32 ドメイン名の内部表現 ドメイン名はラベルをつなげたもの すべてのドメイン名はルートで終わり ルートのラベルはnull 文字であるため 内部表現はドメイン名の終わりに0バイトの 長さを使う の内部表現 d 70 6c a 70 0 com example ns jp example www co

33 33 ドメイン名のテキスト表現 ラベルの 長さを省省き ラベルを "." で分ける 例例 ) ドメイン名はルート ( 空の ) ラベルで終わるため ドットで終わる形式になる 例例 ) 空のラベル ( 非表 示 )" com example ns jp example ルートノード www co

34 34 絶対ドメイン名と相対ドメイン名 絶対ドメイン名 " のようにドットで終わるドメイン名 相対ドメイン名 親のドメイン名に対して相対的に表したドメイン名 "www" は親ドメイン名 "example.jp." に対する相対ドメイン名 絶対ドメイン名 com example ns jp example www 相対ドメイン名 www co

35 35 絶対ドメイン名 DNS 関連の設定では原則として絶対ドメイン名を使う マスターファイル example.jp. IN NS ns.example.jp. 相対ドメイン名の 方がわかりやすい場合もある $ORIGIN example.jp. www IN A

36 36 絶対ドメイン名 最後に "." が付いていないと相対ドメイン名として扱われてしまう 最後に "." を付け忘れると $ORIGIN example.jp. www IN NS ns.example.jp 次のように解釈される $ORIGIN example.jp. IN NS ns.example.jp.example.jp.

37 37 絶対ドメイン名 dig などの DNS 関連のツールの場合も絶対ドメイン名を使う dig A

38 38 相対ドメイン名 ping を実 行行したときに 相対ドメイン名だけで名前解決をしてくれる場合がある リゾルバで検索索リストにより親ドメインを補完してくれるから ゾーンファイルを記述するときもオリジンに対する相対ドメイン名で記述できる $ORIGIN example.jp. www IN A

39 39 検索索リスト リゾルバの機能で 相対ドメイン名に対する親ドメイン名を補完するためのドメイン名のリスト /etc/resolv.conf の "domain" と "search" domain example.jp nameserver nameserver

40 40 検索索リスト ルート "." は暗黙の検索索リストのメンバー "example.jp" は最終的には "example.jp." と解釈される そのため 実際にはアプリケーションに対して "example.jp" のように記述して使うことができる FQDN( 後述します )

41 41 ルートドメイン TLD SLD 各ノードはノードの階層の深さによって呼び名が付く ルートドメイン org net com jp kr トップレベルドメイン (TLD) example example co セカンドレベルドメイン (SLD) ns www

42 42 完全修飾ドメイン名 (FQDN) トップレベルドメインまでのすべてのラベルを含んだドメイン名を完全修飾ドメイン名 (Fully Qualified Domain Name 略略称 FQDN) と呼ぶ 例例 : " com jp example example co ns www

43 43 完全修飾ドメイン名 (FQDN) ソフトウェアがドメイン名を扱うときには FQDN を 用いる ソフトウェアにドメイン名を設定 / 入 力力するときには FQDN を 入 力力する ルートドメインに対する相対ドメイン名と考えるとよい 検索索リストのメンバーとしてルート "." が解釈されるため

44 44 サブドメイン あるドメインに所属しているドメインをサブドメインと呼ぶ ルートドメインのサブドメイン com jp "jp" ドメインのサブドメイン co.jp example.jp com jp example example co ns www

45 45 サブドメイン サブドメインの側から 見見ると " は次のドメインのサブドメイン example.jp jp ルートドメイン com jp example example co ns www

46 46 ドメイン名のラベルの規則 ホスト名の規則 (RFC 952, RFC 1123) に従う 英 文字あるいは数字で始まる 英 文字あるいは数字で終わる 間の 文字は英 文字 数字 ハイフンが使える 参考 RFC 952 DOD INTERNET HOST TABLE SPECIFICATION RFC 1123 Requirements for Internet Hosts -- Application and Support 2.1 Host Names and Numbers

47 47 ドメイン名のラベルの規則 0 オクテット以上 63 オクテット以下の 文字列列である 0 オクテットはルートドメインの空ラベルとして予約 兄弟ノードでは同じラベルを使 用できない ルートドメインは次の規則に従う 0 オクテットの空のラベルである "." と表すことがある

48 48 ドメイン名のラベルの規則 ホスト名の規則に従わないケース プロトコル上はどの 8bit コードも許容されている ホスト名のラベルとの衝突を防ぐために "_" で始まるものがある SRV レコード _ldap._tcp.example.com. DKIM foo.bar._domainkey.example.com. 参考 RFC 2782 "A DNS RR for specifying the location of services (DNS SRV)" RFC 6376 DomainKeys Identified Mail (DKIM) Signatures

49 49 ドメイン名とホスト名の 長さ 絶対ドメイン名は 255 オクテット以下に制限されている FQDN として扱える 文字数はルートドメインの空ラベル分を除いて 253 文字以下になる ソフトウェアによる扱い (RFC 1123) ソフトウェアは 63 文字までのホスト名を扱えなければならない (MUST) 255 文字までのホスト名を扱うべき (SHOULD) ネットワーク関連のソフトウェアの開発者はこの点に注意を払う必要がある 参考 RFC 1123 Requirements for Internet Hosts -- Application and Support 2.1 Host Names and Numbers

50 50 大 文字 小 文字の取り扱い 大 文字 小 文字の区別 ラベルやドメイン名などの 比較の際には 大 文字 小 文字を区別しない 大 文字 小 文字の維持 可能な限り 大 文字 小 文字を維持する 参考 RFC 4343 "Domain Name System (DNS) Case Insensitivity Clarification"

51 51 このセクションのまとめ ドメインの階層構造 ルートドメイン TLD SLD 絶対ドメイン名 相対ドメイン名 完全修飾ドメイン名 (FQDN) ドメイン名のラベルの規則 ドメイン名とホスト名の 長さ

52 52

53 53 DNS の構成要素 ネームサーバ ( 権威サーバ ) ゾーン転送 ネームサーバ ( 権威サーバ ) ロード マスターファイル メッセージ メッセージ ゾーン内のリソースレコードを記述 ネームサーバ ( フルサービスリゾルバ ) ドメイン名空間 example.jp. リソースレコード IN SOA ns.exampele.jp... メッセージ com jp example.jp. IN NS ns.example.jp. スタブリゾルバ ( クライアント ) example example co ゾーン ns.example.jp. IN A ドメイン名 タイプ ns www

54 54 ゾーン ドメインを管理理する単位をゾーンと呼ぶ "example.jp" ゾーンは example.jp をゾーンの頂点とするツリーを管理理する com jp example example co ゾーンの頂点 (zone apex) ns www

55 55 ゾーンと権威 ネームサーバがそのゾーンを管理理できる正式な権限を持っているときには ネームサーバはそのゾーンに対する権威 (authority) となる 権威を持つネームサーバを権威ネームサーバ (authoritative name server) と呼ぶ example.jp. ゾーン com example ns example.jp. ゾーンの権威ネームサーバ jp example www ns.example.jp. は example.jp. ゾーンに対して権威を持っている co

56 56 ゾーンの分割 各ドメインのゾーンはサブドメインのゾーンを分割することができる "example.jp" ドメインのサブドメインである "sub.example.jp" を別のゾーン ( サブゾーン ) として分割することができる example.jp. ゾーン ゾーンの分割 sub.example.jp. ゾーン com example ns sub www jp example ns co www

57 57 権威の委任 この分割されたゾーンを管理理する正式な権限を他のネームサーバに譲ることを権威の委任と呼ぶ example.jp. ゾーン ゾーンの分割 sub.example.jp. ゾーン com example ns sub www jp example ns co www 権威の委任 example.jp. ゾーンの権威サーバ sub.example.jp. ゾーンの権威サーバ

58 58 権威の委任 権威を委任する側を親ゾーン 委任される側を 子ゾーン ゾーンを分割している場所をゾーン分割場所 (zone cut) と呼ぶ 親ゾーン example.jp. ゾーン ゾーンの分割 子ゾーン sub.example.jp. ゾーン com example ns sub www jp example ns co www ゾーン分割場所 (zone cut)

59 59 権威の委任 ゾーン分割場所 (zone cut) のドメイン名に対して NS RRs とグルー (glue)rrs を登録する 親ゾーンは 子ゾーンの権威ネームサーバの NS レコードと A レコードあるいは AAAA レコードを登録する 子ゾーンは 自 身のゾーンの SOA レコードと NS レコードと A レコードあるいは AAAA レコードを登録する

60 60 権威の委任のための RRs の記述例例 親ゾーン example.jp. sub.example.jp. IN NS ns.sub.example.jp. ns.sub.example.jp. IN A 子ゾーン sub.example.jp. $ORIGIN IN SOA ns.sub.example.jp. ( hostmaster.sub.example.jp IN NS ns.sub.example.jp. ns IN A グルー RR

61 61 分散管理理 DNS はルートゾーンから下位のゾーンに対して権威を委任することにより 分散管理理が成り 立立っている ルートゾーン TLD のゾーン TLD のゾーン SLD のゾーン TLD,SLD のゾーン 各組織のドメインのゾーン この分散管理理を 行行う主要な組織について説明する

62 62 ドメイン名の管理理組織 IANA と ICANN レジストリ レジストラ 個 人や組織

63 63 IANA IANA Internet Assigned Numbers Authority " アイアナ " と読む DNS のルートゾーンの管理理を 行行っている組織 DNS のルートドメインの管理理 IP アドレスや AS 番号の調整 プロトコルの名前や番号の管理理などを 行行っている INT ドメインと ARPA ドメインのゾーンの管理理も 行行っている

64 64 IANA と ICANN IANA 自体は ARPANET 時代から運 用されていた 1998 年年に ICANN(Internet Corporation for Assigned Names and Numbers 読みは " アイキャン ") が 民間の 非営利利法 人として設 立立 IANA の業務は ICANN に移管され IANA は ICANN の実 行行部 門として組み込まれた

65 65 レジストリ 各トップレベルドメインのゾーンの管理理はレジストリと呼ばれる組織により 行行われている 各レジストリは ICANN との契約に基づき 委任されたトップレベルドメインのゾーンを 一元的に管理理する

66 66 レジストラ 個 人や組織などからのドメインの登録申請の依頼に対して レジストリに登録申請する仲介業者

67 67 個 人や組織 個 人や組織がドメインの登録申請を 行行うときには レジストラに登録申請の仲介を依頼する ドメインの登録が 行行われたら 運 用管理理しているネームサーバにそのドメインのゾーンの登録を 行行い ドメインの運 用を 行行う

68 68 ドメイン名を管理理する組織 ICANN/IANA org com jp レジストリ co レジストラ example example www ns www 個 人 組織

69 69 トップレベルドメイン トップレベルドメインの分類 ジェネリックトップレベルドメイン generic top-level domain 略略称 gtld 国コードトップレベルドメイン country-code top-level domain 略略称 cctld 予約済みトップレベルドメイン

70 70 ジェネリックトップレベルドメイン (gtld) ドメイン名 用途 タイプ ARPA インターネットのインフラのためのドメイン名空間 インフラストラクチャ BIZ ビジネス 制限あり COM 商 用の組織向け 現在は制限なし 制限なし INFO 情報提供 現在は制限なし 制限なし NAME 個 人名 制限あり NET ネットワーク プロバイダ向け 現在は制限なし 制限なし ORG その他の組織向け 現在は制限なし 制限なし PRO 有資格の専 門職 ( 弁護 士 公認会計 士 医師等 ) 制限あり

71 71 ジェネリックトップレベルドメイン (gtld) ドメイン名 用途 タイプ AERO 航空運輸業界 スポンサー付き ASIA アジア太平洋地域 スポンサー付き CAT カタルーニャ 言語 文化圏 スポンサー付き COOP 協同組合 スポンサー付き EDU アメリカ合衆国の4 年年制 大学 スポンサー付き GOV アメリカ合衆国の ( 連邦 ) 政府機関 スポンサー付き INT 国際条約に基づいて設 立立された組織 スポンサー付き JOBS 人的資源 スポンサー付き MIL アメリカ合衆国軍 スポンサー付き MOBI モバイル機器 サービス スポンサー付き MUSEUM 博物館 美術館 スポンサー付き TEL テレコミュニケーション スポンサー付き TRAVEL 旅 行行業界 スポンサー付き XXX アダルト スポンサー付き

72 72 国コードトップレベルドメイン (cctld) ドメイン名 BR CA CN DE EU FR IN IT JP KR RU UK US 国名 / 地域 ブラジル カナダ 中国 ドイツ 欧州連合 フランス インド イタリア 日本 韓国 ロシア イギリス アメリカ合衆国

73 73 国コードトップレベルドメイン (cctld) ドメイン名 国名 / 地域 中国, 中國 中国 (CN) 香港 香港 (HK) 台湾, 台灣 台湾 (TW) 韓国 (KR) ไทย タイ (TH) ভ রত,!ర#, ભ રત, भ रत,,بھارت ਭ ਰਤ, இந த ய インド (IN) ச ங கப ப ர, 新加坡 シンガポール (SG) РФ ロシア連邦 (RU) ල ක スリランカ (LK) УКР ウクライナ (UA) السعودية サウジアラビア (SA)

74 74 予約済みトップレベルドメイン ドメイン名 test example invalid localhost local 用途 DNS 関連のコードのテスト 用 例例 示 用 不不正なドメイン名の例例 示 用 ループバック 用 リンクローカル 用 参考 RFC 2606 Reserved Top Level DNS Names RFC 6761 Special-Use Domain Names RFC 6762 Multicast DNS

75 75 ARPA ドメイン "ARPA" の経緯 "ARPA" というドメイン名は "ARPANET" を由来とする HOSTS.TXT から DNS への移 行行時に ARPANET の各ホストを 一時的に格納するドメイン名空間 IP アドレスからホスト名を逆引きするときに使うドメイン名空間 "IN-ADDR.ARPA"

76 76 ARPA ドメイン 現在 インターネットのインフラのためのドメイン名空間 IN-ADDR.ARPA, IP6.ARPA,,, "ARPA" は "Address and Routing Parameter Area" の略略語に再定義 (RFC 3172) 参考 RFC 3172 Management Guidelines & Operational Requirements for the Address and Routing Parameter Area Domain ("arpa")

77 77 ARPA ドメイン ドメイン名 用途 RFC e164.arpa E.164 用 RFC 6116 in-addr-servers.arpa in-addr.arpa の権威ネームサーバ 用 RFC 5855 in-addr.arpa IPv4 アドレスの逆引きゾーン 用 RFC 1035 ip6-servers.arpa ip6.arpa の権威ネームサーバ 用 RFC 5855 ip6.arpa IPv6アドレスの逆引きゾーン 用 RFC 3152 RFC 3596 ipv4only.arpa DNS64 用 RFC 7050 iris.arpa インターネットレジストリ情報サービス 用 RFC 4698 uri.arpa 動的委任発 見見システムの URI 用 RFC 3405 urn.arpa 動的委任発 見見システムの URN 用 RFC 3405 参考 RFC 3152 Delegation of IP6.ARPA RFC 3596 DNS Extensions to Support IP Version 6 RFC 5855 Nameservers for IPv4 and IPv6 Reverse Zones

78 78 このセクションのまとめ ゾーン ゾーンの分割と権威の委任 ドメイン名の管理理組織 トップレベルドメイン ARPA ドメイン

79 79 リソースレコードの意味と記述 方法について理理解してもらう

80 80 DNS の構成要素 ネームサーバ ( 権威サーバ ) ゾーン転送 ネームサーバ ( 権威サーバ ) ロード マスターファイル メッセージ メッセージ ゾーン内のリソースレコードを記述 ネームサーバ ( フルサービスリゾルバ ) ドメイン名空間 example.jp. リソースレコード IN SOA ns.exampele.jp... メッセージ com jp example.jp. IN NS ns.example.jp. スタブリゾルバ ( クライアント ) example example co ゾーン ns.example.jp. IN A ドメイン名 タイプ ns www

81 81 リソースレコードとは ホスト名や IP アドレスといった資源に関するデータをリソースレコードという RR と略略す 同じドメイン名とリソースタイプの集まりをリソースレコードセットと呼び RRset と略略す

82 82 リソースレコードの形式 形式 OWNER TTL CLASS TYPE RDATA 例例 IN A

83 83 ORNER( オーナー ) OWNER TTL CLASS TYPE RDATA IN A ドメイン名空間 説明 このリソースレコードがあるドメイン名 com jp example example co ゾーン ns www

84 84 TTL( 生存期間 ) OWNER TTL CLASS TYPE RDATA IN A 説明 リソースレコードの 生存期間 秒単位の 32 ビット整数 リゾルバがキャッシュするときに使う TTL は RR が破棄されるまでにキャッシュしてよい期間を 示す 値の定義 符号無し整数 最 小値 : 0 (0 はキャッシュ禁 止を表す ) 最 大値 : (2^31 ー 1) 最上位ビットが 1 であるときには TTL を 0 と扱うべき 参考 RFC 2181 Clarifications to the DNS Specification - "8. Time to Live (TTL)"

85 85 CLASS( クラス ) OWNER TTL CLASS TYPE RDATA IN A 説明 プロトコルファミリーを識識別する符号化された 16 ビットの数 テキスト表現としてはニーモニックが使われる ニーモニック値 説明 IN 1 Internet CH 3 Chaos HS 4 Hesiod 本来の 用途とは異異なり 現在はネームサーバの情報の取得に使われている $ dig version.bind. TXT CH

86 86 TYPE( タイプ ) OWNER TTL CLASS TYPE RDATA IN A 説明 このリソースレコードのリソースのタイプを識識別する符号化された 16 ビットの値 テキスト表現としてはニーモニックが使われる A, CNAME, MX, NS, PTR, SOA, TXT

87 87 主要なタイプとニーモニック ニーモニック 値 説明 A 1 IPv4のIPアドレス NS 2 ゾーンの権威ネームサーバ CNAME 5 別名に対する正式名 SOA 6 ゾーンの権威の開始 PTR 12 IPアドレスに対するホスト名を 示すポインタ MX 15 メールの送信先 TXT 16 テキスト AAAA 28 IPv6のIPアドレス

88 88 RDATA( 資源データ ) OWNER TTL CLASS TYPE RDATA IN A 説明 タイプとクラスに依存するデータ

89 89 主要なタイプ ( 再掲 ) ニーモニック 値 説明 A 1 IPv4のIPアドレス NS 2 ゾーンの権威ネームサーバ CNAME 5 別名に対する正式名 SOA 6 ゾーンの権威の開始 PTR 12 IPアドレスに対するホスト名を 示すポインタ MX 15 メールの送信先 TXT 16 テキスト AAAA 28 IPv6のIPアドレス

90 90 SOA (Start Of Authority) ゾーンの権威の開始 ゾーンそのものについての情報を記載する セカンダリネームサーバへのゾーン転送はこの RR で設定した値に基づいて動作する

91 91 SOA の記述 方法 OWNER TTL IN SOA MNAME RNAME ( SERIAL REFRESH RETRY EXPIRE MINIMUM ) OWNER ゾーン名

92 92 SOA の記述 方法 MNAME このゾーンのデータのオリジナルあるいはプライマリ ( プライマリマスター ) であるネームサーバーのドメイン名 プライマリマスター ゾーン転送における NOTIFY の送信元 DNS UPDATE のリクエスト先 RFC 2181 Clarifications to the DNS Specification "7.3. The SOA.MNAME field" SOA レコードの MNAME フィールドはゾーンのマスターサーバの名前を設定する ゾーン 自体の名前を書くべきではない

93 93 SOA の記述 方法 RNAME このゾーンの責任者のメールアドレス メールアドレスの を "." に置き換える 例例 は "foo.example.com." に

94 94 SOA の記述 方法 SERIAL( シリアル値 ) ゾーンのオリジナルコピーの符号無し 32 ビットバージョン番号 ゾーン転送はこの値を維持する この値は周回し sequence space arithmetic を使って 比較する (RFC 1982 に詳細な説明あり ) REFRESH( 更更新 ) セカンダリネームサーバがプライマリネームサーバに更更新を確認する間隔 RETRY( 再試 行行 ) セカンダリネームサーバが更更新に失敗した後に再試 行行する間隔 参考 RFC 1982 Serial Number Arithmetic

95 95 SOA の記述 方法 EXPIRE( 満期 ) セカンダリネームサーバが更更新できないときに データを期限切切れにするまでの上限値 MINIMUM( 最 小 ) 元々の意味はこのゾーンの RR に適応される最 小の TTL RFC 2308 により再定義され 現在はネガティブキャッシュ ( 存在しないことのキャッシュ ) の TTL として使われている 参考 RFC 2308 Negative Caching of DNS Queries (DNS NCACHE)

96 96 SOA の記述例例 記述例例 example.jp. IN SOA ns.example.jp. hostmaster.example.jp. ( ;serial 3600 ;refresh 600 ;retry ;expire 900 ) ;minimum ネガティブキャッシュの TTL であるため "86400" のような 大きな値を設定しないように 記述例例の説明 プライマリネームサーバは "ns.example.jp." 責任者のメールアドレスは "hostmaster@example.jp"

97 97 NS (Name Server) ゾーンの権威ネームサーバ NS レコードの資源データには正式名を記述する CNAME で定義される別名を使ってはいけない

98 98 NS の記述 方法 OWNER TTL IN NS NSDNAME NSDNAME( ネームサーバの名前 ) ゾーンの権威ネームサーバのドメイン名 記述例例 example.jp IN NS ns.example.jp. 記述例例の説明 ゾーン "example.jp." の権威ネームサーバは "ns.example.jp." である

99 99 A (Address) IPv4 の IP アドレス

100 100 A の記述 方法 OWNER TTL IN A ADDRESS ADDRESS( アドレス ) IPv4 の IP アドレスをドット付き 10 進記法で記述する 記述例例 IN A

101 101 AAAA IPv6 の IP アドレスを記述する クワッドエイ と読む

102 102 AAAA の記述 方法 OWNER TTL IN AAAA ADDRESS ADDRESS IPv6 の IP アドレス 記述例例 IN AAAA 2001:db8:dead:beef::1 記述例例の説明 の IPv6 アドレスは "2001:db8:dead:beef::1" である

103 103 CNAME (Canonical Name) 別名に対する正式名を指定する 別名を定義するために使われる 制限 CNAME で定義した別名を NS や MX などのデータには利利 用してはいけない

104 104 CNAME の記述例例 OWNER TTL IN CNAME CNAME CNAME 別名に対する正式名を記述する 記述例例 foo.example.jp. IN A IN CNAME foo.example.jp. 記述例例の説明 "foo.example.jp." の別名として " を定義する

105 105 PTR (Pointer) IP アドレスに対するホスト名を 示すポインタ 逆引き (IP アドレスからホスト名を求める ) のために使われる

106 106 PTR (Pointer) の IP アドレスの表記 IPv4 アドレスは IP アドレスを逆の順番にして inaddr.arpa. を付ける の表記 in-addr.arpa. IPv6 アドレスは IP アドレスを逆の順番にして ip6.arap. を付ける 2001:db8:dead:beef::1 の表記 f.e.e.b.d.a.e.d. 8.b.d ip6.arpa.

107 107 PTR の記述 方法 OWNER TTL IN PTR PTRDNAME OWNER in-addr.arpa. や ip6.arpa. の名前空間での IP アドレスの表記 PTRDNAME IP アドレスに対するドメイン名

108 108 PTR の記述例例 IPv4 の場合の記述例例 in-addr.arpa. IN PTR IP アドレス " " のホスト名は " である IPv6 の場合の記述例例 f.e.e.b.d.a.e.d. 8.b.d ip6.arpa. IN PTR IPv6 アドレス "2001:db8:dead:beef::1" のホスト名は " である

109 109 PTR (Pointer) 制限 PTR レコードの値 (PTRDNAME) には CNAME で定義される別名を使ってはいけない よくある間違い 誤 : 一つの IP アドレスに対して PTR レコードは 一つだけしか記述できない 正 : 一つの IP アドレスに対して複数の PTR レコードを記述できる 参考 RFC 2181Clarifications to the DNS Specification "10.2. PTR records"

110 110 MX (Mail Exchanger) メールの送信先 制限 MX レコードの値 (EXCHANGE) には CNAME で定義される別名を使ってはいけない

111 111 MX の記述 方法 OWNER TTL IN MX PREFERENCE EXCHANGE OWNER メールの宛先メールアドレスのドメイン名 PREFERENCE 優先度度を 示す数値 小さい 方が優先度度が 高い EXCHANGE 所有者名のドメイン名に対するメールの送信先のサーバのドメイン名

112 112 MX の記述例例 記述例例 example.jp. IN MX 10 mx1.example.jp. IN MX 20 mx2.example.jp. 記述例例の説明 example.jp. ドメイン宛のメールの送信先のメールサーバは mx1.example.jp. と mx2.example.jp. である mx1.example.jp. の優先度度が 高い

113 113 TXT (Text) テキスト 任意の 文字列列を記述できる 様々な 目的で利利 用される SPF DKIM DNSBL

114 114 TXT の記述 方法 OWNER TTL IN TXT TXT-DATA TXT-DATA 一つ以上の 文字 記述例例 example.jp. IN TXT "Hello, World" example.jp. IN TXT "v=spf1 mx -all"

115 115 このセクションのまとめ リソースレコード 各タイプのリソースレコードについての説明 SOA, NS, A, AAAA, CNAME, PTR, MX, TXT

116 116

117 117 DNS の構成要素 ネームサーバ ( 権威サーバ ) ゾーン転送 ネームサーバ ( 権威サーバ ) ロード マスターファイル メッセージ メッセージ ゾーン内のリソースレコードを記述 ネームサーバ ( フルサービスリゾルバ ) ドメイン名空間 example.jp. リソースレコード IN SOA ns.exampele.jp... メッセージ com jp example.jp. IN NS ns.example.jp. スタブリゾルバ ( クライアント ) example example co ゾーン ns.example.jp. IN A ドメイン名 タイプ ns www

118 118 マスターファイル マスターファイルはゾーンのリソースレコードの集まりを記述したテキストファイル ゾーンファイルとも呼ばれる 権威ネームサーバはこのマスターファイルをロードしてサービスを提供する

119 119 マスターファイルの記述例例 $ORIGIN example.jp. $TTL IN SOA ns.example.jp. hostmaster.example.jp. ( ; Serial 3600 ; Refresh 900 ; Retry ; Expire 3600 ) ; Minimum IN NS ns.example.jp. IN MX 10 mx.example.jp. IN A ns IN A www IN A mx IN A

120 120 マスターファイルの形式 ";" はコメントの開始を意味する 空 行行は無視される

121 121 マスターファイルの形式 RR のエントリは 1 行行で 示される example.com IN NS a.iana-servers.net. 複数 行行になる場合には括弧を使う example.com IN SOA sns.dns.icann.org. ( noc.dns.icann.org ; serial 7200 ; refresh (2 hours) 3600 ; retry (1 hour) ; expire (2 weeks) 3600 ; minimum (1 hour) )

122 122 マスターファイルの形式 行行の先頭は RR のオーナー example.com IN NS a.iana-servers.net. 空 白で始まる 行行は オーナーが前の RR と同じと想定される example.com IN NS a.iana-servers.net IN NS b.iana-servers.net.

123 123 マスターファイルの形式 $ORIGIN ドメイン名 指定したドメイン名にオリジンを変更更する オリジンは相対ドメイン名を補完するドメイン名 次の 2 つは同じ意味 $ORIGIN あり $ORIGIN example.com. www IN A $ORIGIN なし IN A

124 124 マスターファイルの形式 はオリジンを意味する オリジンのデフォルトはゾーン頂点のドメイン名 example.com. ゾーンの次の 2 つのレコードは同じ意味になる example.com IN NS IN NS a.iana-servers.net.

125 125 マスターファイルの形式 $TTL TTL デフォルトの TTL を指定した値に変更更する TTL は省省略略可能 TTL を省省略略すると $TTL で定義した値になる 次の 2 つのレコードは同じ TTL になる $TTL www1.example.com. A www2.example.com A

126 126 マスターファイルの形式 クラス "IN" は省省略略可能 クラスのデフォルトは "IN" である 次の 3 つのレコードは同じ意味になる $TTL www IN A www IN A www A $INCLUDE ファイル名 この場所に指定したファイル名のファイルを挿 入する 挿 入されたファイルにより親ファイルのオリジンには影響を与えない

127 127 マスターファイルの記述例例 $ORIGIN example.jp. $TTL IN SOA ns.example.jp. hostmaster.example.jp. ( ; Serial 3600 ; Refresh 900 ; Retry ; Expire 3600 ) ; Minimum IN NS ns.example.jp. IN MX 10 mx.example.jp. IN A ns IN A www IN A mx IN A

128 128 このセクションのまとめ マスターファイルの記述 方法

129 129

130 130 DNS の構成要素 ネームサーバ ( 権威サーバ ) ゾーン転送 ネームサーバ ( 権威サーバ ) ロード マスターファイル メッセージ メッセージ ゾーン内のリソースレコードを記述 ネームサーバ ( フルサービスリゾルバ ) ドメイン名空間 example.jp. リソースレコード IN SOA ns.exampele.jp... メッセージ com jp example.jp. IN NS ns.example.jp. スタブリゾルバ ( クライアント ) example example co ゾーン ns.example.jp. IN A ドメイン名 タイプ ns www

131 131 DNS メッセージ DNS の問い合わせと応答は DNS メッセージで運ばれる DNS メッセージのサイズ UDP メッセージは 512 オクテット以下に制限される TCP では 512 オクテット以上のメッセージを送ることができる EDNS0 を使うと UDP で 512 オクテットより 大きいメッセージを送ることができる EDNS0 は DNS の拡張規格

132 132 メッセージフォーマット ヘッダセクションとリソースレコードを扱う 4 つのセクションから成り 立立つ HEADER $ example.jp. +norec 中略略 ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr aa; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2 QUESTION ANSWER AUTHORITY ADDITIONAL ;; QUESTION SECTION: ;example.jp. IN A ;; ANSWER SECTION: example.jp IN A ;; AUTHORITY SECTION: example.jp IN NS ns1.example.jp. example.jp IN NS ns2.example.jp. ;; ADDITIONAL SECTION: ns1.example.jp IN A ns2.example.jp IN A

133 133 セクション セクション HEADER QUESTION ANSWER AUTHORITY ADDITIONAL 説明 いくつかの固定フィールドと問い合わせパラメータ 問い合わせ名と他の問い合わせパラメータ 回答のRR 権威ネームサーバを 示すRR 他のセクションのRRを使う際に役に 立立つかもしれないRR

134 134 ヘッダセクションフォーマット ID QR OPCODE AA TC RD RA Z AD CD RCODE QDCOUNT ANCOUNT NSCOUNT ARCOUNT 項 目 ID QDCOUNT ANCOUNT NSCOUNT ARCOUNT 説明 16 ビットの識識別 子 トランザクション ID QUESTION セクションのエントリーの数を 示す符号無し 16 ビット整数 ANSWER セクションのリソースレコードの数を 示す符号無し 16 ビット整数 AUHTORITY レコードセクションのリソースレコードの数を 示す符号無し 16 ビット整数 ADDITIONAL レコードセクションのリソースレコードの数を 示す符号無し 16 ビット整数

135 135 項 目 QR OPCODE RCODE 説明 Query(0) か Response(1) かを 示す 1 ビット 0: Query 1: Response 問い合わせの種類を 示す 4 ビット 0: Query 2: Status 4: Notify 5: Update 応答コード 0: No error condition (NoError) 1: Format error (FormErr) 2: Server failure (ServFail) 3: Name Error (NXDomain) 4: Not Implemented (NotImp) 5: Refused

136 136 項 目 AA TC RD RA Z AD CD 説明 Authoritative Answer 対応したネームサーバが QUESTION セクションのドメイン名に対する権威を持っているかを 示す TrunCation メッセージが 大きくて切切り詰められたことを 示す Recursion Desired ネームサーバに再帰検索索要求であることを指 示する Recursion Available ネームサーバが再帰検索索要求を処理理できるかを 示す 将来のための予約 0 にする Authentic Data 問い合わせにおいては DNSSEC の検証を指 示する 応答においては DNSSEC の検証に成功したかを 示す 成功したら 1 失敗した あるいは検証していなければ 0 Checking Disabled ネームサーバに DNSSEC の検証を 行行わないことを指 示する

137 137 dig の結果におけるヘッダセクション $ example.jp. +norec 中略略 ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr aa; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: ID QR OPCODE AA TC RD RA Z AD CD RCODE QDCOUNT ANCOUNT NSCOUNT ARCOUNT

138 138 DNS Summer Days DNS 再 入 門 QUESTIONセクションフォーマット QNAME QTYPE QCLASS 項 目 QNAME QTYPE QCLASS 説明 ドメイン名 問い合わせのタイプを 示す 16 ビット 通常のタイプに加えて以下のものが使 用できる TSIG (250) IXFR (251) AXFR (252) ANY (255) 問い合わせのクラスを 示す 16 ビット 通常のクラスに加えて以下のものが使 用できる ANY (255)

139 139 dig の結果における QUESTION セクション $ example.jp. +norec 中略略 ;; QUESTION SECTION: ;example.jp. IN A QNAME QTYPE QCLASS

140 140 DNS Summer Days DNS 再 入 門 リソースレコードフォーマット NAME TYPE CLASS TTL RDLENGTH RDATA 項 目 説明 項 目 説明 NAME オーナー TTL TTL TYPE CLASS タイプクラス RDLENGTH RDATA RDATA の 長さ ( オクテット ) を 示す符号なし 16 ビット整数 リソースのデータ

141 141 dig による DNS メッセージの確認 $ example.jp. +norec HEADER QUESTION ANSWER AUTHORITY ADDITIONAL ; <<>> DiG P1 example.jp. ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr aa; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2 ;; QUESTION SECTION: ;example.jp. IN A ;; ANSWER SECTION: example.jp IN A ;; AUTHORITY SECTION: example.jp IN NS ns1.example.jp. example.jp IN NS ns2.example.jp. ;; ADDITIONAL SECTION: ns1.example.jp IN A ns2.example.jp IN A

142 142 このセクションのまとめ DNS メッセージのフォーマット

143 143

144 144 DNS の構成要素 ネームサーバ ( 権威サーバ ) ゾーン転送 ネームサーバ ( 権威サーバ ) ロード マスターファイル メッセージ メッセージ ゾーン内のリソースレコードを記述 ネームサーバ ( フルサービスリゾルバ ) ドメイン名空間 example.jp. リソースレコード IN SOA ns.exampele.jp... メッセージ com jp example.jp. IN NS ns.example.jp. スタブリゾルバ ( クライアント ) example example co ゾーン ns.example.jp. IN A ドメイン名 タイプ ns www

145 145 DNS のプレイヤー やりとりされるリソースの情報をリソースレコードという スタブリゾルバ ( クライアント ) の IP アドレスを教えて? の IP アドレスは 反復復的に問い合わせを 行行う フルサービスリゾルバ ( キャッシュネームサーバ ) 分散型データベース 権威ネームサーバ ルートゾーンの権威サーバ jp ドメインのゾーンの権威サーバ example.jp ドメインのゾーンの権威サーバ

146 146 スタブリゾルバ (Stub Resolver) 名前解決を要求する ( クライアント ) 側の機能 OS やライブラリの機能 ( 関数 /API) として実装されている フルサービスリゾルバに再帰検索索要求 (RD フラグあり ) リクエストを送って 名前の解決を 行行う OS のネットワーク設定の ネームサーバ 欄に利利 用するフルサービスリゾルバの IP アドレスを設定する UNIX 系 OS の場合は /etc/resolv.conf

147 147 スタブリゾルバ 同じ要求の繰り返しのリクエストを避けるために キャッシュ機能を持ってもよい (MAY)

148 148 スタブリゾルバ スタブリゾルバはフルサービスリゾルバに問い合わせるだけ フルサービスリゾルバは権威ネームサーバに対して反復復的に問い合わせをしてくれる の IP アドレスを教えて? の IP アドレスは スタブリゾルバ ( クライアント ) フルサービスリゾルバ ( キャッシュネームサーバ ) 権威ネームサーバ

149 149 フルサービスリゾルバ リゾルバサービスの完全な実装であり 自 身で名前の解決を 行行う機能 スタブリゾルバから再帰検索索要求 (RD フラグあり ) のリクエストを受け取り 権威ネームサーバに対して (RD フラグなしで ) 反復復的な問い合わせを 行行い 名前の解決を 行行う 同じ要求の繰り返しのリクエストを避けるために キャッシュ機能を持たなければならない (MUST)

150 150 フルサービスリゾルバ クライアントに対してサービスを提供するサーバである クライアントの OS のネットワーク設定の ネームサーバ 欄にこのフルサービスリゾルバの IP アドレスを設定する UNIX 系 OS の場合は /etc/resolv.conf

151 151 フルサービスリゾルバ 様々な呼び 方がある Full-Service Resolver (RFC 1123 による ) Recursive Server (RFC 1035 による ) Recursive Name Server (RFC 1123 による ) キャッシュネームサーバ キャッシュ DNS サーバ DNS キャッシュサーバ キャッシュサーバ

152 152 フルサービスリゾルバ 権威ネームサーバは 自 身のゾーンに関する回答をそれぞれ 行行う スタブリゾルバからリクエストを受け取る フルサービスリゾルバは権威ネームサーバに対して反復復的に問い合わせを 行行う ルートゾーンの権威サーバ スタブリゾルバ の IP アドレスを教えて? の IP アドレスは フルサービスリゾルバ ( キャッシュネームサーバ ) 権威ネームサーバ jp ドメインのゾーンの権威サーバ example.jp ドメインのゾーンの権威サーバ

153 153 フルサービスリゾルバ ルートゾーンの権威サーバ の A レコードは何? AUTHORITY: jp ドメインの権威サーバ の A レコードは何? jp ドメインのゾーンの権威サーバ AUTHORITY: example.jp ドメインの権威サーバ フルサービスリゾルバ ( キャッシュネームサーバ ) の A レコードは何? の A レコードは 権威ネームサーバ example.jp ドメインのゾーンの権威サーバ

154 154 権威ネームサーバ 自 身が権威を持っているゾーンの情報 ( リソースレコード ) を提供する機能 権威を持っていない情報に関しては情報を提供しない 例例外はグルー 様々な呼び 方がある Authoritative Name Server (RFC 1034, 1035 による ) 権威 DNS サーバ DNS 権威サーバ コンテンツサーバ 権威サーバ

155 155 このセクションのまとめ スタブリゾルバ フルサービスリゾルバ 権威ネームサーバ

156 156