ゆるテックノート

DNSの基礎用語まとめ

「ルートサーバー?キャッシュDNS?DNSSEC?」という用語をまとめて押さえるページです。名前解決の流れと役割をざっくり整理します。

名前解決のざっくり流れ 🌐

ブラウザやOSはまずリゾルバに問い合わせ、リゾルバが上位(ルート→TLD→権威)に聞きに行きます。

再帰と反復

  • 再帰問い合わせ:クライアント→リゾルバ。「全部解決して返して」とお願いする形。
  • 反復問い合わせ:リゾルバ→上位DNS。「わかる範囲を教えて」と聞き、返ってきた次のサーバーへ進む。
  • 結果はキャッシュされ、次回以降は早く解決できる(TTLで期限管理)。

キャッシュDNS(リゾルバ)

利用者に代わって再帰問い合わせをこなす仲介役。ISPや企業、パブリックDNS(1.1.1.1や8.8.8.8など)が提供します。

役割

  • クライアントから再帰問い合わせを受け、必要ならルート/TLD/権威へ辿る。
  • キャッシュで応答を高速化。TTL切れまでは同じ答えを返す。
  • DNSSEC検証を行い、署名が正しい場合のみADフラグ付きで返す実装も多い。

権威DNSサーバー

特定のゾーン(example.comなど)の正解を持つサーバー。SOA/NSレコードや各種レコードを返します。

ポイント

  • ゾーンファイルに基づき正しい回答を返す立場。キャッシュではなくソース。
  • プライマリとセカンダリを用意し冗長化するのが一般的。
  • CDNやクラウドDNSは権威サービスを提供し、Anycastで高速化していることが多い。

DNSSEC(署名付きDNS) 🔒

DNS応答に署名を付け、改ざんされていないか検証できる仕組み。ルートから各ゾーンへ信頼の鎖を伸ばします。

ざっくり仕組み

  • ゾーンが署名付き応答(RRSIG)と鍵情報(DNSKEY/DS)を公開する。
  • 親ゾーンは子ゾーンのDSレコードを持ち、ルートから辿ると信頼の連鎖が検証できる。
  • 検証に成功した応答はリゾルバがADフラグを付けて返すことが多い。

実務メモ

  • DNSSECを有効化したら鍵のローテーションとDS登録を忘れずに。
  • 一部の古いリゾルバや機器がDNSSECに対応していない場合があるので事前確認を。
< DNSルートサーバーとは? ブラウザUA文字列の歴史 >