第7章 名前解決サービスを提供する
フルリゾルバーの設定
フルリゾルバー=スタブリゾルバーから依頼されて名前解決する係の人
フルリゾルバーのサービスが止まる→スタブリゾルバー=プログラムの名前解決ができなくなる→ほとんどのインターネットサービスが止まる
フルリゾルバーの名前解決は権威サーバー同様に高い可用性が求められる
フルリゾルバーが最初に起動されたときはヒントファイルに基づいてルートサーバーのIPアドレスを読み込み、問い合わせ結果をキャッシュする
これをプライミングという
https://gyazo.com/d82d514446f54b543a9a485198b9f940
フルリゾルバーの設置
フルリゾルバーにはグローバルIPアドレスを割り当てる
権威サーバー群に問い合わせを送るため
DNSのフォワーダー
スタブリゾルバーとフルリゾルバーを中継する
スタブリゾルバーから見るとフルリゾルバーのように振舞う
機能が限られた機器(ホームルーターなど)にフルリゾルバー相当の機能を簡易に実装できる
あるネットワーク内でフルリゾルバーが変更されたりしてもDNS設定を変更する必要がない
フルリゾルバーの可用性
冗長化が強く推奨される
多くのISP(インターネットサービスプロバイダ)は権威サーバー同様に複数台のサーバーによって冗長化している
これらは物理的、ネットワーク的に異なる形で構築されることが望ましい
フルリゾルバーのアクセス制限
通常はフルリゾルバーは対象とするクライアントにさえサービスを提供すればいい
組織内なら組織内のネットワーク、ISP事業者なら自身の顧客、データセンターサービスの提供者ならその顧客、という風に
この点が権威サーバーとの違い
権威サーバーは広く公開する必要がある
設定の不備によってサイバー攻撃の踏み台にされる危険があるので必要制限するのが望ましい
アクセス制限されていないリゾルバーはオープンリゾルバーと呼ばれる
DNSリフレクター攻撃
https://gyazo.com/9181963c4824d0e03747581f8f3d212b