ドメイン名とIPアドレスの対応関係を管理する仕組み
DNSは「Domain Name System」の略称で、インターネット上の「IPアドレス」と「ドメイン名」を対応させる分散型のデータベースシステム。
DNSでは、DNSサーバーにIPアドレスとドメインの対応情報を保存しており、通信相手がどのネットワーク上にいるか特定することで、ウェブサイトの閲覧、メールの送信など、機器間で通信が成立している。そのしくみは電話帳に例えられることも多い。
インターネットをはじめ、TCP/IPプロトコルを利用するネットワークでは、サーバーやパソコンをはじめ、接続する機器に対して、固有の識別番号であるIPアドレスが割り当てられる。
しかしながら、IPアドレスは数字の羅列に過ぎず、コンピュータで処理しやすい一方、人間が覚えたり、識別するには適していない。その問題を解決するため、「ドメイン名」を導入しており、DNSが「名前解決」の役割を担うことで、利便性を確保している。
DNSでドメイン情報を保存する「権威DNSサーバー」は、分散型の階層構造を採用している。起点となる「ルートサーバー」以降、委任先の下位ドメインの情報を管理するDNSサーバーのIPアドレスが保存されており、「名前解決」では上位から階層を下ることで目的のサーバーのIPアドレスを把握できる。
一方、名前解決のたびにルートをはじめ、各階層のDNSサーバーへ問い合わせを行っていては効率が悪く、大量のアクセスが生じてしまう。そのためDNSでは、「キャッシュ」というしくみを利用する。「キャッシュDNSサーバー」が、名前解決を行った結果を一定時間保存しておき、同様の問い合わせに対して再度利用することで効率化を図っている。
セキュリティ上における意味
DNSでは、IPアドレスとドメインの対応を管理しており、インターネットの基幹を支える重要なシステムとなっている。システムがダウンすると、ドメインを利用したアクセスが一切できなくなる。特にルート、トップレベルドメインなど、高い階層のサーバー維持は非常に重要な役割を担っている。
近年、DNSに対する攻撃が増加している。DNSに対するDDoS攻撃をはじめ、DNSの管理情報を乗っ取る「ドメインハイジャック」、キャッシュDNSサーバーのキャッシュ情報を不正なものへ書き換える「DNSキャッシュポイズニング」などが代表的。DNSサーバーを踏み台にした攻撃の多くは、脆弱性やサーバーの設定ミスなどが狙われている。
特に、インターネット全体から不特定の問い合わせに応答する「オープンリゾルバ」は攻撃に悪用されやすく、増幅させたパケットにより機能停止に陥らせるDDoS攻撃「DNSリフレクター攻撃」に悪用されるため問題視されている。
