ページの先頭です

ページ内移動用のリンクです
  1. ホーム
  2. IIJの技術
  3. セキュリティ・技術レポート
  4. Internet Infrastructure Review(IIR)
  5. Vol.24
  6. 3.技術トレンド

Internet Infrastructure Review(IIR)Vol.24
2014年8月22日発行RSS

目次

3.3 DNSと通信制御

DNSは、Webサイトへの誘導やメールの配送制御など、利用者の通信を制御する機能をもち、また閲覧することもできます。つまり、DNSの応答を変化させることにより、クライアントの通信を制御することができます(図-2)。例えば、世界規模でコンテンツ配信を行っている事業者ではクライアントからのDNS問い合わせに対して遅延の低減や配信の効率化を目的に、クライアント近傍の配信サーバのIPアドレスを応答するように実装している場合もあります。実際には利用者の多くは、ISPなどの提供するDNSキャッシュサーバを利用しているため、コンテンツ事業者の管理する権威サーバではこのDNSキャッシュサーバ単位で利用者をグループ化し、最も適切だと思われるIPアドレスを応答するようにしているようです。一方で攻撃者に悪用された例もあります。攻撃者の管理するDNSキャッシュサーバを参照させて、悪意あるコンテンツをダウンロードさせる場合が多いようです。DNS Changerの事例では端末のDNS参照先を書き換えていますし、更に、ブロードバンドルータのDNS参照先も攻撃者のものに書き換えていたと報告されています。このような悪意あるデータを参照させられないように、DNSの設定には注意を払わなければなりませんが、DNSを取り巻く環境は複雑になってきています。現状では多くの端末がDHCPの情報に基づいて参照先のDNSキャッシュサーバを設定しています。DHCP機能は組織内の管理者が意識的に運用している場合や、コンシューマ用途ではブロードバンドルータで標準的に提供されている場合があります。ブロードバンドルータでは、DNSの問い合わせをISPなどのDNSキャッシュサーバに単純に中継する機能を実装し、宅内の端末にはルータ自身をDNSの参照先として参照させるものが多いようです。ただしこの実装はDNSの仕様からすると、かなり限定された機能のみが提供されている場合があり、TCPでの問い合わせに対応していなかったり、EDNS0に対応しきれていないものがあるようです。この状況を踏まえて、RFC5625/BCP152(※4)としてブロードバンドルータなどにDNS中継機能を実装する際のガイドラインが公開されています。このガイドラインでは、DNS中継機能を将来にわたって問題なく利用し続けられるように、透過性に注意して実装することが推奨されています。

図-2 DNSと通信制御

ブロードバンドルータの一部には、端末の参照先DNS設定に関わらず、通過するすべてのDNS問い合わせをブロードバンドルータに設定されたDNSキャッシュサーバ宛にねじ曲げる機種も存在します。この場合、端末にどんなIPアドレスを参照先DNSとして登録しても、端末からのDNS問い合わせはブロードバンドルータを経由した瞬間に特定のDNSキャッシュサーバへの問い合わせとして書き換えられてしまうため、端末のDNS設定を見ただけでは実際にどのDNSキャッシュサーバを参照しているか判別できません。これは特定のDNSキャッシュサーバを強制する運用ポリシーの実装には便利な機能かもしれませんが、ひとたび問題が発生すると、利用者もその状態に気が付きにくいので切り分けがとても困難な仕様です。

ISPのDNSキャッシュサーバでも様々な制御が実装されてきています。IPv6閉域網に接続した端末がIPv4のみでインターネット側のサーバと通信する場合、IPv6での接続に失敗し、IPv6/IPv4フォールバックによる遅延や接続障害が発生する場合があります。IPv6でもインターネット接続があれば問題なく通信できるのですが、申し込みが必要であったりルータの更新が必要であったりするため、導入に時間がかかることが懸念されます。このようなユーザ環境での問題を軽減するため、DNSキャッシュサーバでIPv6のレコードであるAAAAレコードに対して応答しない、AAAAフィルタと呼ばれる機能が実装されている場合があります。また、児童ポルノの流通を防止するために、DNSキャッシュサーバで特定ドメイン名の応答を遮断する児童ポルノブロッキング(※5)が実装されている場合もあります。

一部の国や地域によっては、望ましくないコンテンツへのアクセスを遮断するために政府主導でDNSの制御を導入している場合があります。その地域でサービスを提供する各ISPのDNSキャッシュサーバで遮断している場合や、ネットワーク上にDNSの問い合わせを監視する機能を実装し、特定のドメイン名への問い合わせを遮断したり、偽の内容を応答する場合があるようです。ユーザからは通信障害なのか意図された遮断なのか分からない上に遮断ポリシーが明示されることは少ないため、問題なのかどうかも含めて切り分けが困難です。しかし、国や地域によって遮断されるコンテンツに傾向があるため、恐らく意図された遮断であろうとの推測は可能です。このように、DNSでは様々な箇所で制御が実装されている可能性があるため、問題を切り分ける際にはそれらを考慮して障害箇所を見つける必要があります。

3.技術トレンド

ページの終わりです

ページの先頭へ戻る