[情報処理安全確保支援士]DNSの機能[対策講座・例題付き]

2022年6月19日

情報処理安全確保支援士 DNS

今回は情報処理安全確保支援士で問われるDNSの機能について学習します。

アカリ
アカリ
DNSもよく聞くんだけど、詳しい仕組みはよくわからないね・・・
トモル
トモル
何回も問合せするって言うイメージだね~

DNSの機能

DNSの機能

DNS(Domain Name System)は、ドメイン名からIPアドレスやその逆の名前解決を行うときに用いられます。

DNSの仕組みを実現する主要な機能や要素について確認していきましょう。

リゾルバ

リゾルバは、ドメイン名からIPアドレスを検索したり、その逆としてIPアドレスからドメイン名を検索したりして名前解決を行う仕組みです。

リゾルバにはスタブリゾルバ(Stub Resolver)と、フルサービスリゾルバ(Full-Service Resolver)があります。

スタブリゾルバは、一般的なPCのOSなどに搭載されている機能であって、フルサービスリゾルバに対して要求を出し、その結果を受け取ることによって名前解決をします。

フルサービスリゾルバについては後述します。

コンテンツサーバ

DNSサーバにはコンテンツ機能キャッシュ機能の2つがあります。

1台のDNSサーバでこれらの機能の両方を提供することも可能ですが、機能ごとにサーバを分割することが多いです。

コンテンツ機能を提供するDNSサーバはコンテンツサーバ権威DNSサーバ権威サーバゾーンサーバなどと呼ばれます。

それらの当該サーバが管理するドメインの情報を登録し、リゾルバからの非再帰的な名前解決要求に対して、自分で管理しているドメイン内の名前解決にだけ応じます。

キュー
キュー
この辺りは基本情報・応用情報の復習やな

キャッシュサーバ

キャッシュサーバは、リゾルバからの再帰的な問合せに対して、必要に応じて他のDNSサーバに問合せを行い、その結果を問合せ元のリゾルバに返します。

そして、名前解決した名前は一定時間キャッシュに保存して再利用します。

問合せ元のアドレスや、問合せ対象ドメインに制限はなく、名前解決要求に応じるDNSサーバはオープンリゾルバと呼ばれます。

オープンリゾルバに関しては、DNSキャッシュポイズニング攻撃やDNSリフレクション攻撃(DNS amp 攻撃)に対して脆弱性があります。

DNSのコンテンツ機能とキャッシュ機能

リソースレコード

DNSサーバで登録する情報はリソースレコードと呼ばれます。具体的なリソースレコードは以下のようなものが挙げられます。

名称 概要
Aレコード ホスト名に対応するIPアドレス(IPv4)
AAAAレコード ホスト名に対応するIPアドレス(IPv6)
CNAMEレコード ホスト名の別名
MXレコード メールサーバのホスト名
NSレコード DNSサーバのホスト名
SOAレコード プライマリDNSサーバのホスト名で、DNSサーバの動作に関する情報など
PTRレコード ホスト名の別名逆引き
TXTレコード ホスト名に対するテキスト情報
OPTレコード EDNS0に関する情報など
CAAレコード 当該ドメインの証明書の発行を許可する承認局

DNSラウンドロビン

DNSラウンドロビンは、あらかじめ1つのドメイン名に複数のIPアドレスを割り振り、リクエストごとにそれらのIPアドレスを振り分けることで、負荷分散する技術のことです。

DNSラウンドロビンでは、専用のロードバランサなど用意しなくても、DNSサーバでの設定のみで容易に実現できるメリットがあります。

一方で、リクエストごとに接続するサーバが変わるという特性があり、通信の継続性が失われ、セッション管理などで問題が生じる可能性もあります。

また、サーバの障害なども検知できないため、障害が発生しているサーバにリクエストを振り分けてしまうという問題もあります。

ダイナミックDNS

ダイナミックDNS(DDNS)は、RFC2136で規定されたDynamic Updates in the Domain Name Systemの頭文字で、本来は静的な情報として管理されているIPアドレスとホスト名の対応を動的に更新する仕組みです。

DDNSによって、一般家庭のPCなど、ISPからIPアドレスを動的に付与される環境においてもホスト名を一定に保つことが実現できます。

スポンサーリンク

DNSの機能・例題

実際に例題を解いて問題に慣れていきましょう。

問題

問1

DNSに関する記述のうち,適切なものはどれか。(H.28/秋)

ア DNSサーバに対して,IPアドレスに対応するドメイン名,又はドメイン名に対応するIPアドレスを問合せるクライアントソフトウェアを,リゾルバという。

イ 問合せを受けたDNSサーバが要求されたデータをもっていない場合に,他のDNSサーバを参照先として回答することを,ゾーン転送という。

ウ ドメイン名に対応するIPアドレスを求めることを,逆引きという。

エ ドメイン名を管理するDNSサーバを指定する資源レコードのことを,CNAMEという。

問2

DNSの再帰的な問合せを使ったサービス不能攻撃(DNS amp)の踏み台にされることを防止する対策はどれか。(H.27/春)

ア DNSキャッシュサーバとコンテンツサーバに分離し,インターネット側からDNSキャッシュサーバに問合せできないようにする。
イ 問合せされたドメインに関する情報をWhoisデータベースで確認する。
ウ 一つのDNSレコードに複数のサーバのIPアドレスを割り当て,サーバへのアクセスを振り分けて分散させるように設定する。
エ 他のDNSサーバから送られてくるIPアドレスとホスト名の対応情報の信頼性をディジタル署名で確認するように設定する。

問3

DNSのMXレコードで指定するものはどれか。(H.27/秋)

ア 宛先ドメインへの電子メールを受け付けるメールサーバ
イ エラーが発生したときの通知先のメールアドレス
ウ 複数のDNSサーバが動作しているときのマスタDNSサーバ
エ メーリングリストを管理しているサーバ

解説(クリックで展開)

DNSの機能・まとめ

今回はDNSの機能について学習しました。

DNSの機能は基本情報・応用情報でも問われる分野なので覚えている方は多いかと思いますが、支援士試験では攻撃と絡めて出題されます。

どのようにして対策するかも押さえておきましょう。

トモル
トモル
レコードが多すぎて覚えられないよ~・・・
キュー
キュー
過去問を数回解けば出るところは見えて来るで!

次回はHTTPに用いられる技術について学習します。

しかくのいろは
[情報処理安全確保支援士]HTTPに用いられる技術[対策講座・例題付き]
https://www.sikaku-no-iroha.co.jp/it-qualification/sc/http-sc
情報処理安全確保支援士で問われる、HTTPヘッダについて解説します。cookieなどのセッションID受け渡し方法については頻出なのでしっかりと学習しておきましょう。

本気で支援士を狙うなら・・・
支援士ゼミがおすすめです!
  • ベテラン講師による手厚いサポート
  • モチベーションを保てるセキュリティコラムが満載!
  • マンツーマン形式で個別相談もできる!

スポンサーリンク







独学講義,情報処理安全確保支援士試験

Posted by 佐野 孝矩