→ネットワーク関連
→TCP関連
→IP(Internet Protocol)関連
→Eメール(SMTP/POPなど) ←SPF,DKIM,DMARCについてはこちら
→脆弱性関連
AWS Route53†
ゾーンファイル†
ゾーンファイルのレコード†
ゾーンファイルは以下の種類のレコードで構成される
- SOA:Start of Authority DNSサーバの管理情報など
- NS:Name Server ゾーンファイルを管理するDNSサーバ(権威DNSサーバ=コンテンツサーバ)を指定する。
- MX:Mail Exchange メールサーバのFQDNを設定する
- A:Address ホスト名をアドレスに紐付ける情報
- AAAA:Address IPv6用のAレコード
- CNAME: Canonical Name ホストの別名
- PTR:Pointer IPアドレスをホスト名に紐付ける逆引き情報。
- IPv4の場合 999.999.999.999.in-addr-arpa.
- IPv6の場合 [16byte x 2 =32個の 4bit毎の16進数].ip6.arpa
- 例えば、2001:dc4::1というIPv6アドレスを持つホストのホスト名を調べるためには、1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.4.c.d.0.1.0.0.2.ip6.arpaをDNSに問い合わせる
- NAPTR: ENUMドメイン名を別のURIへ変換する。VoIPの電話番号をURIに紐付ける
- OPT:Option EDNS0(Extention Mechanisms for DNS (RFC2671))パケットサイズ広告など
- 下位ゾーンは上位ゾーンに対して必ずNSレコードとそのネームサーバのAレコードを登録する必要がある
- ダイナミックDNS(DDNS)=DNS UPDATE
プライマリDNSとセカンダリDNS†
- プライマリDNS:そのドメインにおける資源レコードを登録
- セカンダリDNS:プライマリDNSからゾーン転送によってコピーされる
- プライマリDNSもセカンダリDNSもNSレコードに登録されているなら権威サーバである
- NSレコードはMXレコードのような優先順位情報を持っていないためプライマリDNSとセカンダリDNSは外のネットワークから見たとき見分けはつかない
ドメイン†
- DNSのルートサーバは世界に13台あり(論理的に13台、物理的にはもっとある)、TLD(Top Level Domain)のゾーンを管理している
- TLDは xxx.co.jp の jp の部分に相当する。co がセカンドレベルドメイン、xxxがサードレベルドメインと呼ばれる。
- ドメイン名の書式は相対ドメイン名と絶対ドメイン名(FQDN)がある。
- 相対ドメイン名
- SOAレコードの $ORIGIN ディレクティブ相対パスの原点(xxx.co.jpなど)を設定し、他のレコード中にある @ と置き換える
- 絶対ドメイン名(FQDN)
ENUMドメイン†
- E.164 NUmber Mappingの略
- ENUM (E.164 NUmber Mapping) は、公衆交換電話網の電話番号体系をインターネットのIPアドレス体系と統合する電話番号マッピング (telephone number mapping) の代表的な規格。電話番号はE.164規格で体系化されており、インターネットはIPアドレスや他のリソース情報とドメイン名のリンクに Domain Name System (DNS) を用いる。電話番号マッピングシステムは、DNSを単に参照することで与えられた電話番号に対応したサービスを提供するインターネット上のサーバを決定するものである。ENUMでは特別なDNSレコードタイプを使い、電話番号からインターネット通信に使える Uniform Resource Identifier やIPアドレスに変換する。(Wikipediaより)
ドメインサービス†
リゾルバ†
- DNSのクライアントのこと。フルサービス・リゾルバとスタブ・リゾルバがある。
- フルサービス・リゾルバ:再帰検索をして完全に名前解決ができる。
- スタブ・リゾルバ:フルサービス・リゾルバに要求して名前を受け取る。通常のPC
- スタブ・リゾルバの機能だけを持っているDNSサーバをスレーブ・サーバと呼ぶ。
マルチホーミングと逆引き設定†
- マルチホーミング(ISP側から引きこむ回線を複数ISPの回線に二重化する構成)の場合、送信元メールサーバのIPアドレスのPTRレコードは経由しうる接続先ISPごとのIPアドレスをすべて登録する必要がある。登録されていないISPを経由した電子メールを受信した受信側メールサーバが逆引きに失敗し「セキュリティ上問題あり」として受信拒否される可能性があるため
DNSのセキュリティ†
- DNS-Reflection=DNS amp攻撃=DNSリフレクタ攻撃
- DNSSEC
- DNSのレスポンスに公開鍵によるデジタル署名をつけ、ゾーンデータの申請性、完全性を確保する仕組み。RFC4033,4034
- DNS over TLS(DoT) RFC7858
- DNS over HTTPS(DoH)
公開DNS†
DNS概要†
- DNS=Domain Name Serviceの略
- ポート53を使用する(UDP/TCPともに)
- レスポンスのサイズが512byteを超えるとTCPで再送する。これをTCPフォールバックと呼ぶ
プロトコル†
- DNSはアプリケーション層のプロトコルである
- トランスフォーム層ではUDPとTCPの両方を使う。
- 通常の名前解決にはUDPを使うが以下の場合はTCPを使う。
- 1.名前解決でUDPのデータグラム長512byteに返信が入りきらない場合、共通ヘッダ内のTCビットが立ったデータが返信される。それをうけたリゾルバはTCPで接続しデータを受け取る。
- 2.プライマリDNSからセカンダリDNSへゾーンファイルを転送する際にTCPを使用する。
DNSパケット†