DNS Summer Days 2013 チュートリアル DNS 再 入 門 株式会社ハートビーツ滝澤隆史

Transcription

1 DNS Summer Days 2013 チュートリアル DNS 再 入 門 株式会社ハートビーツ滝澤隆史

2 2 私は誰 氏名 : 所属 : 株式会社ハートビーツ サーバの構築 運 用や 24 時間 365 日の有 人監視をやっている会社 いわゆる MSP( マネージドサービスプロバイダ ) DNS との関わり システム管理理者として 1997 年年から 2006 年年までネームサーバの運 用 BIND4, BIND8, djbdns, BIND9 現在は個 人サーバでネームサーバを運 用 NSD, Unbound 日本 Unbound ユーザー会 Unbound/NSD の 文書の翻訳 DNS は趣味です ( キリッ

3 3 アジェンダ イントロダクション DNS の背景 DNS の概要 本編 ドメイン名 ドメイン名の管理理 リソースレコード マスターファイル DNS メッセージ リゾルバとネームサーバ

4 4 注意 DNS の基本仕様を中 心に話します 拡張機能については原則として話しません EDNS0, DNSSEC など

5 5 ホスト名と IP アドレスの関係 リゾルバの役割

6 6 コンピュータ間で通信するには 互いに識識別できるユニークな識識別 子が必要??

7 7 ネットワークアドレス コンピュータに割り当てられたユニークな番号 ネットワーク上ではこのアドレスを使ってコンピュータ間の通信を 行行う 1 2

8 8 ネットワークアドレスの例例 RFC 208 "ADDRESS TABLES" ARPANET 時代のネットワークアドレス表 IMP SITE HOST NETWORK SCHEDULED NUMBER NAME NUMBER HOST ADDRESS INSTALLATION UCLA 0 SIGMA IBM 360/ SRI 0 PDP-10 (NIC) 2 1 PDP-10 (Al) 66 3 UCSB 0 IBM 360/ UTAH 0 PDP-lO 4 5 BBN 0 DDP ) See Note 1 1 PDP-10 (A) 69 ) 2 PDP-1O (B) 133

9 9 IP アドレス TCP/IP におけるネットワークアドレス IP アドレスの記述例例 :db8:dead:beef:123:4567:89ab:cdef 数字の羅羅列列であるため覚えにくい 人に優しくない 特に IPv6 のアドレスなんて覚えられない ホスト名を使う

10 10 ホスト名 コンピュータを識識別するための名前 ホスト名の例例 OFFICE-1 SRI-NIC 通常は IP アドレスの代わりにホスト名を使ってコンピュータにアクセスする

11 11 名前解決 通常は IP アドレスの代わりにホスト名を使ってコンピュータにアクセスする 実際はネットワーク上のコンピュータにアクセスするには IP アドレスを使う ホスト名を IP アドレスに変換する ( 名前を解決する ) 仕組みがあればよい リゾルバ

12 12 リゾルバ 名前を解決する仕組み ホスト名に対する IP アドレスを 見見つける OS の機能あるいはライブラリやソフトウェアとして 用意されている OS 上で動作するソフトウェアの要求に応じてホスト名に対する IP アドレスを調べてくれる

13 13 リゾルバの検索索 方法 hosts ファイル /etc/hosts C:\Windows\System32\drivers\etc\hosts DNS 今回のテーマ

14 14 リゾルバ ホスト名 mars に接続したい ホスト名 mars の IP アドレスを教えて hosts ファイルによる名前解決 ソフトウェア リゾルバ hosts ファイル ネームサーバ IP アドレス に接続する ホスト名 mars の IP アドレスは である DNS による名前解決

15 15 このセクションのまとめ リゾルバがホスト名に対応する IP アドレスを 見見つけてくれる ( 名前の解決 ) hosts ファイルや DNS を使う ネットワーク上のコンピュータにアクセスするために 覚えにくい IP アドレスの代わりにホスト名を使うことができる

16 16

17 17 DNS(Domain Name System) とは ドメイン名を 用いた階層構造を持つ のような形式 分散型データベース データベースサーバ ( 権威ネームサーバ ) が分散して存在している example com jp example co ns www

18 18 DNS で扱うデータ コンピュータやネットワークに関するリソースの情報 ( ホスト名や IP アドレスなど ) ホスト名の名前解決ができる ホスト名と IP アドレス以外のリソースも扱う リソースレコードという

19 19 DNS で扱うデータ 主要なリソースレコード ゾーンの権威の開始を 示す SOA レコード 権威ネームサーバを 示す NS レコード IP アドレスを 示す A レコード IP アドレスに対する名前を 示す PTR レコード 別名に対する正式名を 示す CNAME レコード

20 20 DNS のプレイヤー スタブリゾルバ フルサービスリゾルバ キャッシュネームサーバ キャッシュ DNS サーバ DNS キャッシュサーバ キャッシュサーバ 権威ネームサーバ 権威 DNS サーバ DNS 権威サーバ コンテンツサーバ 権威サーバ いろいろな 人がいろいろな呼び 方をしている

21 21 DNS のプレイヤー やりとりされるリソースの情報をリソースレコードという の IP アドレスを教えて? DNS メッセージ 反復復的に問い合わせを 行行う 分散型データベース ルートゾーンの権威サーバ jp ゾーンの権威サーバ スタブリゾルバ の IP アドレスは フルサービスリゾルバ ( キャッシュネームサーバ ) 権威ネームサーバ example.jp ゾーンの権威サーバ

22 22 本 日 学んでもらうことは DNS の名前空間として ドメイン名の仕組み DNS で扱うデータとして リソースレコード ゾーンのリソースレコードの集まりを記述するマスターファイル DNS の問い合わせや応答で運ばれる DNS メッセージ DNS をハンドリングするリゾルバとネームサーバ

23 23 ここからが本番

24 24 DNS の構成要素 ネームサーバ ( 権威サーバ ) ゾーン転送 ネームサーバ ( 権威サーバ ) ロード マスターファイル メッセージ メッセージ ゾーン内のリソースレコードを記述 ネームサーバ ( フルサービスリゾルバ ) ドメイン名空間 example.jp. リソースレコード IN SOA ns.exampele.jp... メッセージ com jp example.jp. IN NS ns.example.jp. ns.example.jp. IN A スタブリゾルバ example example co ドメイン名 タイプ ゾーン ns www

25 25 参考資料料 : DNS の基本仕様の RFC RFC 1034 / STD 13 DOMAIN NAMES - CONCEPTS AND FACILITIES RFC 1035 / STD 13 DOMAIN NAMES - IMPLEMENTATION AND SPECIFICATION RFC 1123 / STD 3 Requirements for Internet Hosts -- Application and Support アップデート 参照 RFC 1982 / PS Serial Number Arithmetic RFC 2181 / PS Clarifications to the DNS Specification RFC 2308 / PS Negative Caching of DNS Queries (DNS NCACHE) RFC 3425 / PS Obsoleting IQUERY RFC 4343 / PS Domain Name System (DNS) Case Insensitivity Clarification RFC 5452 / PS Measures for Making DNS More Resilient against Forged Answers RFC 5936 / PS DNS Zone Transfer Protocol (AXFR) RFC 5966 / PS DNS Transport over TCP - Implementation Requirements

26 26 ドメイン名についてもう少し詳しく 見見ていこう

27 27 DNS の構成要素 ネームサーバ ( 権威サーバ ) ゾーン転送 ネームサーバ ( 権威サーバ ) ロード マスターファイル メッセージ メッセージ ゾーン内のリソースレコードを記述 ネームサーバ ( フルサービスリゾルバ ) ドメイン名空間 example.jp. リソースレコード IN SOA ns.exampele.jp... メッセージ com jp example.jp. IN NS ns.example.jp. ns.example.jp. IN A スタブリゾルバ example example co ドメイン名 タイプ ゾーン ns www

28 28 ドメイン名空間の構造 ドメイン名空間はツリー構造 各ノードとリーフはリソースの集まりに対応している 内部ノードとリーフノードを区別しない 両 方とも ノード と呼ぶ ノード example com jp example ルートノード co リーフノード ns www リソース リソース リソース

29 29 ラベル 各ノードはラベルを持つ ルートのために null ラベル ( 長さ 0) が予約されている ラベル "com" ルートノード com jp example example co ns www

30 30 ドメイン名 ノードのドメイン名はそのノードからルートノードまでのパス上のラベルのリスト 例例 ) "www", "example", "jp", "" com jp example example co ns www

31 31 ドメイン名の内部表現 ラベルはオクテットの 長さと 文字列列で表される "www" の内部表現を 16 進数で表すと

32 32 ドメイン名の内部表現 ドメイン名はラベルをつなげたもの すべてのドメイン名はルートで終わり ルートのラベルは null 文字であるため 内部表現はドメイン名の終わりに 0 バイトの 長さを使う の内部表現 d 70 6c a 70 0 example com ns jp example www co

33 33 ドメイン名のテキスト表現 ラベルの 長さを省省き ラベルを "." で分ける 例例 ) ドメイン名はルート ( 空の ) ラベルで終わるため ドットで終わる形式になる 例例 ) 空のラベル ( 非表 示 )" example com ns jp example ルートノード www co

34 34 絶対ドメイン名と相対ドメイン名 絶対ドメイン名 " のようにドットで終わるドメイン名 相対ドメイン名 親のドメイン名に対して相対的に表したドメイン名 "www" は親ドメイン名 "example.jp." に対する相対ドメイン名 example 絶対ドメイン名 com ns jp example www co www 相対ドメイン名

35 35 絶対ドメイン名 DNS 関連の設定では原則として絶対ドメイン名を使う マスターファイル example.jp. IN NS ns.example.jp. 相対ドメイン名の 方がわかりやすい場合もある $ORIGIN example.jp. www IN A 最後に "." が付いていないと相対ドメイン名として扱われてしまう 最後に "." を付け忘れると example.jp. IN NS ns.example.jp 次のように解釈される example.jp. IN NS ns.example.jp.example.jp

36 36 絶対ドメイン名 dig などの DNS 関連のツールの場合も絶対ドメイン名を使う dig A

37 37 相対ドメイン名 ping を実 行行したときに 相対ドメイン名だけで名前解決をしてくれる場合がある リゾルバで検索索リストにより親ドメインを補完してくれるから ゾーンファイルを記述するときもオリジンに対する相対ドメイン名で記述できる $ORIGIN example.jp. www IN A

38 38 検索索リスト リゾルバの機能で 相対ドメイン名に対する親ドメイン名を補完するためのドメイン名のリスト /etc/resolv.conf の "domain" と "search" domain example.jp nameserver nameserver

39 39 検索索リスト ルート "." は暗黙の検索索リストのメンバー "example.jp" は最終的には "example.jp." と解釈される そのため 実際にはアプリケーションに対して "example.jp" のように記述して使うことができる FQDN( 後述します )

40 40 ルートドメイン TLD SLD 各ノードはノードの階層の深さによって呼び名が付く ルートドメイン org net com jp kr トップレベルドメイン (TLD) example example co セカンドレベルドメイン (SLD) ns www

41 41 完全修飾ドメイン名 (FQDN) トップレベルドメインまでのすべてのラベルを含んだドメイン名を完全修飾ドメイン名 (Fully Qualified Domain Name 略略称 FQDN) と呼ぶ 例例 : " example com jp example co ns www

42 42 完全修飾ドメイン名 (FQDN) ソフトウェアがドメイン名を扱うときには FQDN を 用いる ソフトウェアにドメイン名を設定 / 入 力力するときには FQDN を 入 力力する ルートドメインに対する相対ドメイン名と考えるとよい 検索索リストのメンバーとしてルート "." が解釈されるため

43 43 サブドメイン あるドメインに所属しているドメインをサブドメインと呼ぶ ルートドメインのサブドメイン com jp "jp" ドメインのサブドメイン co.jp example.jp com jp example example ns www co

44 44 サブドメイン サブドメインの側から 見見ると " は次のドメインのサブドメイン example.jp jp ルートドメイン example com jp example co ns www

45 45 ドメイン名のラベルの規則 ホスト名の規則 (RFC 952, RFC 1123) に従う 英 文字あるいは数字で始まる 英 文字あるいは数字で終わる 間の 文字は英 文字 数字 ハイフンが使える

46 46 ドメイン名のラベルの規則 0 オクテット以上 63 オクテット以下の 文字列列である 0 オクテットはルートドメインの空ラベルとして予約 兄弟ノードでは同じラベルを使 用できない ルートドメインは次の規則に従う 0 オクテットの空のラベルである "." と表すことがある

47 47 ドメイン名のラベルの規則 ホスト名の規則に従わないケース プロトコル上はどの 8bit コードも許容されている ホスト名のラベルとの衝突を防ぐために "_" で始まるものがある RFC 2782 "A DNS RR for specifying the location of services (DNS SRV)" _ldap._tcp.example.com. RFC 6376 DomainKeys Identified Mail (DKIM) Signatures foo.bar._domainkey.example.com.

48 48 ドメイン名とホスト名の 長さ 絶対ドメイン名は 255 オクテット以下に制限されている FQDN として扱える 文字数はルートドメインの空ラベル分を除いて 253 文字以下になる RFC 1123 ソフトウェアは 63 文字までのホスト名を扱えなければならない (MUST) 255 文字までのホスト名を扱うべき (SHOULD) ネットワーク関連のソフトウェアの開発者はこの点に注意を払う必要がある

49 49 大 文字 小 文字の取り扱い 大 文字 小 文字の区別 ラベルやドメイン名などの 比較の際には 大 文字 小 文字を区別しない 大 文字 小 文字の維持 可能な限り 大 文字 小 文字を維持する 参考 RFC 4343 "Domain Name System (DNS) Case Insensitivity Clarification"

50 50 このセクションのまとめ ドメインの階層構造 ルートドメイン TLD SLD 絶対ドメイン名 相対ドメイン名 完全修飾ドメイン名 (FQDN) ドメイン名のラベルの規則 ドメイン名とホスト名の 長さ

51 51

52 52 DNS の構成要素 ネームサーバ ( 権威サーバ ) ゾーン転送 ネームサーバ ( 権威サーバ ) ロード マスターファイル メッセージ メッセージ ゾーン内のリソースレコードを記述 ネームサーバ ( フルサービスリゾルバ ) ドメイン名空間 example.jp. リソースレコード IN SOA ns.exampele.jp... メッセージ com jp example.jp. IN NS ns.example.jp. ns.example.jp. IN A スタブリゾルバ example example co ドメイン名 タイプ ゾーン ns www

53 53 ゾーン ドメインを管理理する単位をゾーンと呼ぶ "example.jp" ゾーンは example.jp をゾーンの頂点とするツリーを管理理する com jp example example co ゾーンの頂点 (zone apex) ns www

54 54 ゾーンと権威 ネームサーバがそのゾーンを管理理できる正式な権限を持っているときには ネームサーバはそのゾーンに対する権威 (authority) となる 権威を持つネームサーバを権威ネームサーバ (authoritative name server) と呼ぶ example.jp. ゾーン example com ns example.jp. ゾーンの権威ネームサーバ jp example www ns.example.jp. は example.jp. ゾーンに対して権威を持っている co

55 55 ゾーンの分割 各ドメインのゾーンはサブドメインのゾーンを分割することができる "example.jp" ドメインのサブドメインである "sub.example.jp" を別のゾーン ( サブゾーン ) として分割することができる example.jp. ゾーン sub.example.jp. ゾーン ゾーンの分割 com jp example example sub ns ns www co www

56 56 権威の委任 この分割されたゾーンを管理理する正式な権限を他のネームサーバに譲ることを権威の委任と呼ぶ example.jp. ゾーン ゾーンの分割 sub.example.jp. ゾーン example ns sub com www jp example ns co www 権威の委任 example.jp. ゾーンの権威サーバ sub.example.jp. ゾーンの権威サーバ

57 57 権威の委任 権威を委任する側を親ゾーン 委任される側を 子ゾーン ゾーンを分割している場所をゾーン分割場所 (zone cut) と呼ぶ 親ゾーン example.jp. ゾーン ゾーンの分割 子ゾーン sub.example.jp. ゾーン com jp example example sub ns ns www co www ゾーン分割場所 (zone cut)

58 58 権威の委任 ゾーン分割場所 (zone cut) のドメイン名に対してグルー (glue)rrs を登録する 親ゾーンは 子ゾーンの権威ネームサーバの NS レコードと A レコードを登録する 子ゾーンは 自 身のゾーンの SOA レコードと NS レコードと A レコードを登録する

59 59 権威の委任のための RRs の記述例例 親ゾーン example.jp. sub.example.jp. IN NS ns.sub.example.jp. ns.sub.example.jp. IN A 子ゾーン IN SOA ns hostmaster IN NS ns.sub.example.jp. ns IN A

60 60 ゾーンの分割や権威の委任に関するよ くある注意点 サブドメイン毎にゾーンを分割しなければいけないわけではない 同じサーバで運 用するのであれば分割する必要はない 次のような書き 方もできる IN A

61 61 分散管理理 DNS はルートゾーンから下位のゾーンに対して権威を委任することにより 分散管理理が成り 立立っている ルートゾーン TLD のゾーン TLD のゾーン SLD のゾーン TLD,SLD のゾーン 各組織のドメインのゾーン この分散管理理を 行行う主要な組織について説明する

62 62 ドメイン名の管理理組織 IANA と ICANN レジストリ レジストラ 個 人や組織

63 63 IANA IANA Internet Assigned Numbers Authority " アイアナ " と読む DNS のルートゾーンの管理理を 行行っている組織 DNS のルートドメインの管理理 IP アドレスや AS 番号の調整 プロトコルの名前や番号の管理理などを 行行っている INT ドメインと ARPA ドメインのゾーンの管理理も 行行っている

64 64 IANA と ICANN IANA 自体は ARPANET 時代から運 用されていた 1998 年年に ICANN(Internet Corporation for Assigned Names and Numbers 読みは " アイキャン ") が 民間の 非営利利法 人として設 立立 IANA の業務は ICANN に移管され IANA は ICANN の実 行行部 門として組み込まれた

65 65 レジストリ 各トップレベルドメインのゾーンの管理理はレジストリと呼ばれる組織により 行行われている 各レジストリは ICANN との契約に基づき 委任されたトップレベルドメインのゾーンを 一元的に管理理する 例例 JP ドメインのレジストリは 株式会社 日本レジストリサービス ( 略略称 JPRS)

66 66 レジストラ 個 人や組織などからのドメインの登録申請の依頼に対して レジストリに登録申請する仲介業者

67 67 個 人や組織 個 人や組織がドメインの登録申請を 行行うときには レジストラに登録申請の仲介を依頼する ドメインの登録が 行行われたら 運 用管理理しているネームサーバにそのドメインのゾーンの登録を 行行い ドメインの運 用を 行行う

68 68 ドメイン名を管理理する組織

69 69 トップレベルドメイン トップレベルドメインの分類 ジェネリックトップレベルドメイン generic top-level domain 略略称 gtld 国コードトップレベルドメイン country-code top-level domain 略略称 cctld 予約済みトップレベルドメイン

70 70 ジェネリックトップレベルドメイン (gtld) ドメイン名 用途 タイプ ARPA インターネットのインフラのためのドメイン名空間 インフラストラクチャ BIZ ビジネス 制限あり COM 商 用の組織向け 現在は制限なし 制限なし INFO 情報提供 現在は制限なし 制限なし NAME 個 人名 制限あり NET ネットワーク プロバイダ向け 現在は制限なし 制限なし ORG その他の組織向け 現在は制限なし 制限なし PRO 有資格の専 門職 ( 弁護 士 公認会計 士 医師等 ) 制限あり

71 71 ジェネリックトップレベルドメイン (gtld) ドメイン名 用途 タイプ AERO 航空運輸業界 スポンサー付き ASIA アジア太平洋地域 スポンサー付き CAT カタルーニャ 言語 文化圏 スポンサー付き COOP 協同組合 スポンサー付き EDU アメリカ合衆国の4 年年制 大学 スポンサー付き GOV アメリカ合衆国の ( 連邦 ) 政府機関 スポンサー付き INT 国際条約に基づいて設 立立された組織 スポンサー付き JOBS 人的資源 スポンサー付き MIL アメリカ合衆国軍 スポンサー付き MOBI モバイル機器 サービス スポンサー付き MUSEUM 博物館 美術館 スポンサー付き TEL テレコミュニケーション スポンサー付き TRAVEL 旅 行行業界 スポンサー付き XXX アダルト スポンサー付き

72 72 国コードトップレベルドメイン (cctld) ドメイン名 BR CA CN DE EU FR IN IT JP KR RU UK US 国名 / 地域 ブラジル カナダ 中国 ドイツ 欧州連合 フランス インド イタリア 日本 韓国 ロシア イギリス アメリカ合衆国

73 73 国コードトップレベルドメイン (cctld) ドメイン名 国名 / 地域 中国, 中國 中国 (CN) 香港 香港 (HK) 台湾, 台灣 台湾 (TW) 韓国 (KR) ไทย タイ (TH) ভ রত,!ర#, ભ રત, भ रत,,بھارت ਭ ਰਤ, இந த ய インド (IN) ச ங கப ப ர, 新加坡 シンガポール (SG) РФ ロシア連邦 (RU) ල ක スリランカ (LK) УКР ウクライナ (UA) السعودية サウジアラビア (SA)

74 74 予約済みトップレベルドメイン ドメイン名 test example invalid localhost local 用途 DNS 関連のコードのテスト 用 例例 示 用 不不正なドメイン名の例例 示 用 ループバック 用 リンクローカル 用 参考 RFC 2606 Reserved Top Level DNS Names RFC 6761 Special-Use Domain Names RFC 6762 Multicast DNS

75 75 評価 用国際化トップレベルドメイン ドメイン名 ラベル 言語 / 文字 XN--KGBECHTVإختبار アラビア語 / アラビア 文字 XN--HGBK6AJ7F53BBAآزما 4 شی ペルシャ語 / アラビア 文字 测试 XN--0ZWM56D 中国語 / 簡体字 測試 XN--G6W251D 中国語 / 繁体字 испытание XN--80AKHBYKNJ4F ロシア語 / キリル 文字 पर ' XN--11B5BS3A9AJ6G ヒンディー語 / ディーヴァナーガリー δοκιµή XN--JXALPDLP ギリシア語 / ギリシア 文字 테스트 XN--9T4B11YI5A 朝鮮語 / ハングル XN--DEBA0ADטעסט イディッシュ語 / ヘブライ 文字 テスト XN--ZCKZAH 日本語 / 片仮名 பர ட ச XN--HLCJ6AYA9ESC7A タミル語 / タミル 文字

76 76 ARPA ドメイン "ARPA" の経緯 "ARPA" というドメイン名は "ARPANET" を由来とする HOSTS.TXT から DNS への移 行行時に ARPANET の各ホストを 一時的に格納するドメイン名空間 IP アドレスからホスト名を逆引きするときに使うドメイン名空間 "IN-ADDR.ARPA"

77 77 ARPA ドメイン 現在 インターネットのインフラのためのドメイン名空間 E164.ARPA, IN-ADDR.ARPA, IP6.ARPA, IRIS.ARPA, URI.ARPA, URN.ARPA "ARPA" は "Address and Routing Parameter Area" の略略語に再定義 RFC 3172 Management Guidelines & Operational Requirements for the Address and Routing Parameter Area Domain ("arpa")

78 78 このセクションのまとめ ゾーン ゾーンの分割と権威の委任 ドメイン名の管理理組織 トップレベルドメイン ARPA ドメイン

79 79 リソースレコードの意味と記述 方法について理理解してもらう

80 80 DNS の構成要素 ネームサーバ ( 権威サーバ ) ゾーン転送 ネームサーバ ( 権威サーバ ) ロード マスターファイル メッセージ メッセージ ゾーン内のリソースレコードを記述 ネームサーバ ( フルサービスリゾルバ ) ドメイン名空間 example.jp. リソースレコード IN SOA ns.exampele.jp... メッセージ com jp example.jp. IN NS ns.example.jp. ns.example.jp. IN A スタブリゾルバ example example co ドメイン名 タイプ ゾーン ns www

81 81 リソースレコードとは ホスト名や IP アドレスといった資源に関するデータをリソースレコードという RR と略略す 同じドメイン名とリソースタイプの集まりをリソースレコードセットと呼び RRset と略略す

82 82 リソースレコードの形式 形式 OWNER TTL CLASS TYPE RDATA 例例 IN A

83 83 リソースレコードの形式 OWNER TTL CLASS TYPE RDATA IN A OWNER( オーナー ) このリソースレコードがあるドメイン名

84 84 リソースレコードの形式 OWNER TTL CLASS TYPE RDATA IN A TTL( 生存期間 ) リソースレコードの 生存期間 秒単位の 32 ビット整数 リゾルバがキャッシュするときに使う TTL は RR が破棄されるまでにキャッシュしてよい期間を 示す 値の定義 符号無し整数 最 小値 : 0 (0 はキャッシュ禁 止を表す ) 最 大値 : (2^31 ー 1) 最上位ビットが 1 であるときには TTL を 0 と扱うべき 参考 : RFC 2181 Clarifications to the DNS Specification "8. Time to Live (TTL)"

85 85 リソースレコードの形式 OWNER TTL CLASS TYPE RDATA IN A CLASS( クラス ) プロトコルファミリーを識識別する符号化された 16 ビットの数 テキスト表現としてはニーモニックが使われる ニーモニック値 説明 IN 1 Internet CH 3 Chaos HS 4 Hesiod 本来の 用途とは異異なり 現在はネームサーバの情報の取得に使われている $ dig version.bind. TXT CH

86 86 リソースレコードの形式 OWNER TTL CLASS TYPE RDATA IN A TYPE( タイプ ) このリソースレコードのリソースのタイプを識識別する符号化された 16 ビットの値 テキスト表現としてはニーモニックが使われる A, CNAME, MX, NS, PTR, SOA, TXT

87 87 主要なタイプとニーモニック ニーモニック 値 説明 A 1 IPv4のIPアドレス NS 2 ゾーンの権威ネームサーバ CNAME 5 別名に対する正式名 SOA 6 ゾーンの権威の開始 PTR 12 IPアドレスに対するホスト名を 示すポインタ MX 15 メールの送信先 TXT 16 テキスト AAAA 28 IPv6のIPアドレス

88 88 リソースレコードの形式 OWNER TTL CLASS TYPE RDATA IN A RDATA( 資源データ ) タイプとクラスに依存するデータ

89 89 主要なタイプ ( 再掲 ) ニーモニック 値 説明 A 1 IPv4のIPアドレス NS 2 ゾーンの権威ネームサーバ CNAME 5 別名に対する正式名 SOA 6 ゾーンの権威の開始 PTR 12 IPアドレスに対するホスト名を 示すポインタ MX 15 メールの送信先 TXT 16 テキスト AAAA 28 IPv6のIPアドレス

90 90 SOA (Start Of Authority) ゾーンの権威の開始 ゾーンそのものについての情報を記載する セカンダリネームサーバへのゾーン転送はこの RR で設定した値に基づいて動作する

91 91 SOA の記述 方法 OWNER TTL IN SOA MNAME RNAME ( SERIAL REFRESH RETRY EXPIRE MINIMUM ) OWNER ゾーン名

92 92 SOA の記述 方法 MNAME このゾーンのデータのオリジナルあるいはプライマリ ( プライマリマスター ) であるネームサーバーのドメイン名 プライマリマスター ゾーン転送における NOTIFY の送信元 DNS UPDATE のリクエスト先 RFC 2181 Clarifications to the DNS Specification "7.3. The SOA.MNAME field" SOA レコードの MNAME フィールドはゾーンのマスターサーバの名前を設定する ゾーン 自体の名前を書くべきではない

93 93 SOA の記述 方法 RNAME このゾーンの責任者のメールアドレス メールアドレスの を "." に置き換える 例例 は "foo.example.com." に

94 94 SOA の記述 方法 SERIAL( シリアル値 ) ゾーンのオリジナルコピーの符号無し 32 ビットバージョン番号 ゾーン転送はこの値を維持する この値は周回し sequence space arithmetic を使って 比較する RFC 1982 Serial Number Arithmetic で 比較について詳細な説明がある REFRESH( 更更新 ) セカンダリネームサーバがプライマリネームサーバに更更新を確認する間隔 RETRY( 再試 行行 ) セカンダリネームサーバが更更新に失敗した後に再試 行行する間隔

95 95 SOA の記述 方法 EXPIRE( 満期 ) セカンダリネームサーバが更更新できないときに データを期限切切れにするまでの上限値 MINIMUM( 最 小 ) 元々の意味はこのゾーンの RR に適応される最 小の TTL RFC 2308 "Negative Caching of DNS Queries (DNS NCACHE)" により再定義され 現在はネガティブキャッシュ ( 存在しないことのキャッシュ ) の TTL として使われている

96 96 SOA の記述例例 記述例例 example.jp. IN SOA ns.example.jp. hostmaster.example.jp. ( ;serial 3600 ;refresh 600 ;retry ;expire 900 ) ;minimum 記述例例の説明 プライマリネームサーバは "ns.example.jp." 責任者のメールアドレスは "[email protected]"

97 97 NS (Name Server) ゾーンの権威ネームサーバ NS レコードの値には正式名を記述する CNAME で定義される別名を使ってはいけない

98 98 NS の記述 方法 OWNER TTL IN NS NSDNAME NSDNAME( ネームサーバの名前 ) ゾーンの権威ネームサーバのドメイン名 記述例例 example.jp IN NS ns.example.jp. 記述例例の説明 ゾーン "example.jp." の権威ネームサーバは "ns.example.jp." である

99 99 A (Address) IPv4 の IP アドレス

100 100 A の記述 方法 OWNER TTL IN A ADDRESS ADDRESS( アドレス ) IPv4 の IP アドレスをドット付き 10 進記法で記述する 記述例例 IN A

101 101 AAAA IPv6 の IP アドレスを記述する クワッドエイ と読む

102 102 AAAA の記述 方法 OWNER TTL IN AAAA ADDRESS ADDRESS IPv6 の IP アドレス 記述例例 IN AAAA 2001:db8:dead:beef::1 記述例例の説明 の IPv6 アドレスは "2001:db8:dead:beef::1" である

103 103 CNAME (Canonical Name) 別名に対する正式名を指定する 別名を定義するために使われる 制限 CNAME で定義した別名を NS や MX などのデータには利利 用してはいけない

104 104 CNAME の記述例例 OWNER TTL IN CNAME CNAME CNAME 別名に対する正式名を記述する 記述例例 foo.example.jp. IN A IN CNAME foo.example.jp. 記述例例の説明 "foo.example.jp." の別名として " を定義する

105 105 PTR (Pointer) IP アドレスに対するホスト名を 示すポインタ 逆引き (IP アドレスからホスト名を求める ) のために使われる

106 106 PTR (Pointer) の IP アドレスの表記 IPv4 アドレスは IP アドレスを逆の順番にして inaddr.arpa. を付ける の表記 in-addr.arpa. IPv6 アドレスは IP アドレスを逆の順番にして ip6.arap. を付ける 2001:db8:dead:beef::1 の表記 f.e.e.b.d.a.e.d. 8.b.d ip6.arpa.

107 107 PTR の記述 方法 OWNER TTL IN PTR PTRDNAME OWNER in-addr.arpa. や ip6.arpa. の名前空間での IP アドレスの表記 PTRDNAME IP アドレスに対するドメイン名

108 108 PTR の記述例例 IPv4 の場合の記述例例 in-addr.arpa. IN PTR IP アドレス " " のホスト名は " である IPv6 の場合の記述例例 f.e.e.b.d.a.e.d. 8.b.d ip6.arpa. IN PTR IPv6 アドレス "2001:db8:dead:beef::1" のホスト名は " である

109 109 PTR (Pointer) 制限 PTR レコードのデータには CNAME で定義される別名を使ってはいけない よくある間違い 誤 : 一つの IP アドレスに対して PTR レコードは 一つだけしか記述できない 正 : 一つの IP アドレスに対して複数の PTR レコードを記述できる

110 110 MX (Mail Exchanger) メールの送信先 制限 MX レコードの値には CNAME で定義される別名を使ってはいけない

111 111 MX の記述 方法 OWNER TTL IN MX PREFERENCE EXCHANGE OWNER メールの宛先メールアドレスのドメイン名 PREFERENCE 優先度度を 示す数値 小さい 方が優先度度が 高い EXCHANGE 所有者名のドメイン名に対するメールの送信先のサーバのドメイン名

112 112 MX の記述例例 記述例例 example.jp. IN MX 10 mx1.example.jp. IN MX 20 mx2.example.jp. 記述例例の説明 example.jp. ドメイン宛のメールの送信先のメールサーバは mx1.example.jp. と mx2.example.jp. である mx1.example.jp. の優先度度が 高い

113 113 TXT (Text) テキスト 任意の 文字列列を記述できる 様々な 目的で利利 用される SPF DKIM RBL

114 114 TXT の記述 方法 OWNER TTL IN TXT TXT-DATA TXT-DATA 一つ以上の 文字 記述例例 example.jp. IN TXT "nullpo. ga."

115 115 このセクションのまとめ リソースレコード 各タイプのリソースレコードについての説明 SOA, NS, A, AAAA, CNAME, PTR, MX, TXT

116 116

117 117 DNS の構成要素 ネームサーバ ( 権威サーバ ) ゾーン転送 ネームサーバ ( 権威サーバ ) ロード マスターファイル メッセージ メッセージ ゾーン内のリソースレコードを記述 ネームサーバ ( フルサービスリゾルバ ) ドメイン名空間 example.jp. リソースレコード IN SOA ns.exampele.jp... メッセージ com jp example.jp. IN NS ns.example.jp. ns.example.jp. IN A スタブリゾルバ example example co ドメイン名 タイプ ゾーン ns www

118 118 マスターファイル マスターファイルはゾーンのリソースレコードの集まりを記述したテキストファイル ゾーンファイルとも呼ばれる 権威ネームサーバはこのマスターファイルをロードしてサービスを提供する

119 119 マスターファイルの記述例例 $ORIGIN example.jp. $TTL IN SOA ns.example.jp. hostmaster.example.jp. ( ; Serial 3600 ; Refresh 900 ; Retry ; Expire 3600 ) ; Minimum IN NS ns.example.jp. IN MX 10 mx.example.jp. IN A ns IN A www IN A mx IN A

120 120 マスターファイルの形式 ";" はコメントの開始を意味する 空 行行は無視される

121 121 マスターファイルの形式 RR のエントリは 1 行行で 示される example.com IN NS a.iana-servers.net. 複数 行行になる場合には括弧を使う example.com IN SOA dns1.icann.org. ( hostmaster.icann.org ) 行行の先頭は RR のオーナー example.com IN NS a.iana-servers.net. 空 白で始まる 行行は オーナーが前の RR と同じと想定される example.com IN NS a.iana-servers.net IN NS b.iana-servers.net.

122 122 マスターファイルの形式 $ORIGIN ドメイン名 オリジンを指定したドメイン名に変更更する オリジンは相対ドメイン名を補完するドメイン名 $INCLUDE ファイル名 この場所に指定したファイル名のファイルを挿 入する 挿 入されたファイルにより親ファイルのオリジンには影響を与えない $TTL TTL デフォルトの TTL を指定した値に変更更する

123 123 マスターファイルの形式 TTL とクラス "IN" は省省略略可能 TTL を省省略略する $TTL で定義した値になる example.com. NS a.iana-servers.net. はオリジン ( 相対ドメイン名を補完するドメイン名 ) を意味する オリジンのデフォルトはゾーン頂点のドメイン名 example.com. ゾーンの次の 2 行行は同じ意味になる example.com IN NS IN NS b.iana-servers.net.

124 124 マスターファイルの記述例例 $ORIGIN example.jp. $TTL IN SOA ns.example.jp. hostmaster.example.jp. ( ; Serial 3600 ; Refresh 900 ; Retry ; Expire 3600 ) ; Minimum IN NS ns.example.jp. IN MX 10 mx.example.jp. IN A ns IN A www IN A mx IN A

125 125 このセクションのまとめ マスターファイルの記述 方法

126 126

127 127 DNS の構成要素 ネームサーバ ( 権威サーバ ) ゾーン転送 ネームサーバ ( 権威サーバ ) ロード マスターファイル メッセージ メッセージ ゾーン内のリソースレコードを記述 ネームサーバ ( フルサービスリゾルバ ) ドメイン名空間 example.jp. リソースレコード IN SOA ns.exampele.jp... メッセージ com jp example.jp. IN NS ns.example.jp. ns.example.jp. IN A スタブリゾルバ example example co ドメイン名 タイプ ゾーン ns www

128 128 DNS メッセージ DNS の問い合わせと応答は DNS メッセージで運ばれる DNS メッセージのサイズ UDP メッセージは 512 オクテット以下に制限される TCP では 512 オクテット以上のメッセージを送ることができる EDNS0 を使うと UDP で 512 オクテットより 大きいメッセージを送ることができる

129 129 メッセージフォーマット ヘッダセクションとリソースレコードを扱う 4 つのセクションから成り 立立つ $ example.jp. +norec HEADER QUESTION ANSWER AUTHORITY ADDITIONAL ; <<>> DiG P1 example.jp. ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr aa; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2 ;; QUESTION SECTION: ;example.jp. IN A ;; ANSWER SECTION: example.jp IN A ;; AUTHORITY SECTION: example.jp IN NS ns.example.jp. example.jp IN NS ns2.example.jp. ;; ADDITIONAL SECTION: ns.example.jp IN A ns2.example.jp IN A

130 130 セクション セクション HEADER QUESTION ANSWER 説明 いくつかの固定フィールドと問い合わせパラメータ 問い合わせ名と他の問い合わせパラメータ 回答の RR AUTHORITY 他の権威サーバーを 示す RR ANSWER セクションの権威データの SOA RR でもよい ADDITIONAL 他のセクションの RR を使う際に役に 立立つかもしれない RR

131 131 ヘッダセクションフォーマット ID QR OPCODE AA TC RD RA Z AD CD RCODE QDCOUNT ANCOUNT NSCOUNT ARCOUNT

132 132 項 目 ID QR OPCODE 説明 16 ビットの識識別 子 Query(0) か Response(1) かを 示す 1 ビット 0: Query 1: Response 問い合わせの種類を 示す 4 ビット 0: Query 2: Status 4: Notify 5: Update

133 133 項 目 AA TC RD RA Z AD CD 説明 Authoritative Answer 対応したネームサーバが QUESTION セクションのドメイン名に対する権威を持っているかを 示す TrunCation メッセージが 大きくて切切り詰められたことを 示す Recursion Desired ネームサーバに再帰検索索要求であることを指 示する Recursion Available ネームサーバが再帰検索索要求を処理理できるかを 示す 将来のための予約 0 にする Authentic Data 問い合わせにおいては DNSSEC の検証を指 示する 応答においては DNSSEC の検証に成功したかを 示す 成功したら 1 失敗した あるいは検証していなければ 0 Checking Disabled ネームサーバに DNSSEC の検証を 行行わないことを指 示する

134 134 項 目 RCODE QDCOUNT ANCOUNT NSCOUNT ARCOUNT 説明 応答コード 0: No error condition (NoError) 1: Format error (FormErr) 2: Server failure (ServFail) 3: Name Error (NXDomain) 4: Not Implemented (NotImp) 5: Refused QUESTION セクションのエントリーの数を 示す符号無し 16 ビット整数 ANSWER セクションのエントリーの数を 示す符号無し 16 ビット整数 AUHTORITY レコードセクションのリソースレコードの数を 示す符号無し 16 ビット整数 ADDITIONAL レコードセクションのリソースレコードの数を 示す符号無し 16 ビット整数

135 135 dig の結果におけるヘッダセクション $ example.jp. +norec ; <<>> DiG P1 example.jp. ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr aa; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

136 136 QUESTION セクションフォーマット QNAME QTYPE QCLASS

137 137 項 目 QNAME QTYPE QCLASS 説明 ドメイン名 問い合わせのタイプを 示す 16 ビット 通常のタイプに加えて以下のものが使 用できる TSIG (250) IXFR (251) AXFR (252) ANY (255) 問い合わせのクラスを 示す 16 ビット 通常のクラスに加えて以下のものが使 用できる ANY (255)

138 138 リソースレコードフォーマット NAME TYPE CLASS TTL RDLENGTH RDATA

139 139 項 目 NAME TYPE CLASS TTL RDLENGTH RDATA 説明 オーナー タイプクラス TTL RDATA の 長さ ( オクテット ) を 示す符号なし16ビット整数 リソースのデータ

140 140 dig による DNS メッセージの確認 $ example.jp. +norec HEADER QUESTION ANSWER AUTHORITY ADDITIONAL ; <<>> DiG P1 example.jp. ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr aa; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2 ;; QUESTION SECTION: ;example.jp. IN A ;; ANSWER SECTION: example.jp IN A ;; AUTHORITY SECTION: example.jp IN NS ns.example.jp. example.jp IN NS ns2.example.jp. ;; ADDITIONAL SECTION: ns.example.jp IN A ns2.example.jp IN A

141 141 このセクションのまとめ DNS メッセージのフォーマット

142 142

143 143 DNS の構成要素 ネームサーバ ( 権威サーバ ) ゾーン転送 ネームサーバ ( 権威サーバ ) ロード マスターファイル メッセージ メッセージ ゾーン内のリソースレコードを記述 ネームサーバ ( フルサービスリゾルバ ) ドメイン名空間 example.jp. リソースレコード IN SOA ns.exampele.jp... メッセージ com jp example.jp. IN NS ns.example.jp. ns.example.jp. IN A スタブリゾルバ example example co ドメイン名 タイプ ゾーン ns www

144 144 DNS のプレイヤー やりとりされるリソースの情報をリソースレコードという スタブリゾルバ の IP アドレスを教えて? の IP アドレスは 反復復的に問い合わせを 行行う フルサービスリゾルバ ( キャッシュネームサーバ ) 分散型データベース 権威ネームサーバ ルートゾーンの権威サーバ jp ドメインのゾーンの権威サーバ example.jp ドメインのゾーンの権威サーバ

145 145 スタブリゾルバ 名前解決を要求する ( クライアント ) 側の機能 OS やライブラリの機能 ( 関数 /API) として実装されている フルサービスリゾルバに再帰検索索要求 (RD フラグあり ) リクエストを送って 名前の解決を 行行う OS のネットワーク設定の ネームサーバ 欄に利利 用するフルサービスリゾルバの IP アドレスを設定する UNIX 系 OS の場合は /etc/resolv.conf

146 146 スタブリゾルバ 同じ要求の繰り返しのリクエストを避けるために キャッシュ機能を持ってもよい (MAY)

147 147 スタブリゾルバ スタブリゾルバはフルサービスリゾルバに問い合わせるだけ フルサービスリゾルバは権威ネームサーバに対して反復復的に問い合わせをしてくれる の IP アドレスを教えて? の IP アドレスは スタブリゾルバ フルサービスリゾルバ ( キャッシュネームサーバ ) 権威ネームサーバ

148 148 フルサービスリゾルバ リゾルバサービスの完全な実装であり 自 身で名前の解決を 行行う機能 スタブリゾルバから再帰検索索要求 (RD フラグあり ) のリクエストを受け取り 権威ネームサーバに対して (RD フラグなしで ) 反復復的な問い合わせを 行行い 名前の解決を 行行う 同じ要求の繰り返しのリクエストを避けるために キャッシュ機能を持たなければならない (MUST)

149 149 フルサービスリゾルバ クライアントに対してサービスを提供するサーバである クライアントの OS のネットワーク設定の ネームサーバ 欄にこのフルサービスリゾルバの IP アドレスを設定する UNIX 系 OS の場合は /etc/resolv.conf

150 150 フルサービスリゾルバ キャッシュポイズニング 誰でもアクセスできるリゾルバ ( オープンリゾルバ ) はキャッシュポイズニングの危険性が 高くなる クライアントに対するサービスであるため 決められたクライアント以外にアクセスを許可する必要はない オープンリゾルバにならないように アクセス制御を 行行う必要がある LAN 内に置いてもいいんだよ

151 151 フルサービスリゾルバ 様々な呼び 方がある キャッシュネームサーバ キャッシュ DNS サーバ DNS キャッシュサーバ キャッシュサーバ

152 152 フルサービスリゾルバ 権威ネームサーバは 自 身のゾーンに関する回答をそれぞれ 行行う スタブリゾルバからリクエストを受け取る フルサービスリゾルバは権威ネームサーバに対して反復復的に問い合わせを 行行う ルートゾーンの権威サーバ スタブリゾルバ の IP アドレスを教えて? の IP アドレスは フルサービスリゾルバ ( キャッシュネームサーバ ) 権威ネームサーバ jp ドメインのゾーンの権威サーバ example.jp ドメインのゾーンの権威サーバ

153 153 フルサービスリゾルバ の A レコードは何? AUTHORITY: jp ドメインの権威サーバ の A レコードは何? ルートゾーンの権威サーバ jp ドメインのゾーンの権威サーバ AUTHORITY: example.jp ドメインの権威サーバ フルサービスリゾルバ ( キャッシュネームサーバ ) の A レコードは何? の A レコードは 権威ネームサーバ example.jp ドメインのゾーンの権威サーバ

154 154 権威ネームサーバ 自 身が権威を持っているゾーンの情報 ( リソースレコード ) を提供する機能 権威を持っていない情報に関しては情報を提供しない 例例外はグルー 様々な呼び 方がある 権威 DNS サーバ DNS 権威サーバ コンテンツサーバ 権威サーバ

155 155 このセクションのまとめ スタブリゾルバ フルサービスリゾルバ 権威ネームサーバ

156 156