90年代初頭は、 ドメイン名として単に企業名を登録するのが一般的であり、一社につき1つのドメインという単純な方式で費用もほとんどかかりませんでした。現在では、競合に先手を取られないように、またブランドを守るためにも、自社のサービスなどもドメイン登録しておく必要があります。昔と今ではかなり状況が異なっていますが、ドメイン名の登録自体は、オンラインでビジネスをサポートする上で重要な手続きであることには変わりありません。

このブログでは、ドメインネームシステム (DNS) とは何かということから始めて、インフラストラクチャにとって重要な DNS サーバーやその監視などについて説明します。

ドメインネームシステムとは?

DNS の主な機能は、Web サイトのドメイン名を取得して IP アドレスに変換し、Web サイトが存在するサーバーを見つけてブラウザに Web サイトをロードすることです。この、ドメイン名がユーザーにとってアクセス可能なコンテンツになるプロセスは、いわば「舞台裏」で行われるので、一般のインターネットユーザーはこのようなことが行われていることを認識していないのが普通です。DNS はサーバー、ワイヤレス接続などにあります。

ブラウザの入力欄に progress.com と入力し、Enter キーを押すと、プログレス社のホームページが画面に表示されます。画面上で会社のロゴをクリックしても、ホームページが表示されます。これらの、ごく当たり前な自然なアクションを起こすためには、舞台裏で複雑なプロセスが発生しています。舞台裏で活躍しているのが DNS とそれぞれのサーバーです。

DNS サーバーとは?

DNS サーバーは通常、企業またはサードパーティーベンダーによって管理される単一のオンプレミスマシンです。リクエストの処理を支援する DNS サーバーには 4 つの異なるタイプがあります。それぞれがどのように連携しているかは、チェーン展開しているような大規模なレストランのスタッフがどのように注文を処理するかになぞらえて考えるとわかりやすいと思います。

  • DNS recursor: DNS recursor は、ユーザーと、Root nameserver、TLD (Top Level Domain) nameserver、Authoritative nameserver の間の通信を要求する役割を担い、DNS の世界におけるデリゲーター、委任者です。最後の Authoritative nameserver から応答を受信した時点で、アクセス可能な IP アドレスが取得されたことになります。DNS recursor は、レストランにおけるウェイターに当たります。夕食に何を注文したいかを顧客に尋ね、注文内容をキッチンに伝えます。
  • Root nameserver: Root nameserver の役割は、DNS recursor からのリクエストを受け取り、その拡張子 (.com、.org など) を分析して、対応するサーバーに転送することです。レストランでは、料理の注文内容をチェックして、それぞれの担当厨房でどの料理人が調理するかを指示するキッチンマネージャーに相当します。
  • TLD nameserver: TLD nameserver は、ドメイン拡張子に固有の情報を保持しています。例えば、reddit.com や usa.gov といったリクエストが届いた場合、対応する適切なサーバーに送られて通信が続行されます。正しく設定されていれば、.com クエリは .gov サーバーに送信されることはなく、その逆も同様です。これらは、キッチンの特定の領域を専門とする調理担当者です。揚げ物専門の調理担当者、グリル専門の調理担当者、などが決まっていて、どちらも担当外の仕事をすることはありません。
  • Authoritative nameserver: DNS プロセスの最後のステップである Authoritative nameserver は、特定のドメイン名に関するほとんどの情報を持っています。リクエストを確認すると、それぞれのドメイン名の IP アドレスを送信します。レストランで言えば、どの料理がどのテーブルに届けられるべきかを確認して実際に料理を顧客の席まで運ぶ、フードランナーに当たります。

DNS サーバー監視とは?

DNS サーバーも、ほかのサーバーと同様にサーバー監視の対象になります。

DNS サーバー監視は、DNS とそれぞれのサーバーのアクティビティを理解する上で非常に重要であり、サイバーセキュリティの実践やポリシーに限定されるものではありません。DNS サーバー監視は、Web ページにアクセスするユーザーからのクエリや行動、Web ブラウザと DNS サーバーの間でどのような通信が行われているかを把握するのに役立ちます。また、使用されているオンラインサービスに関する情報も得られます。

DNS サーバー監視を使用することで、インフラストラクチャのネットワーク可視性が向上し、可用性やパフォーマンスをより良くするための情報が得られるとともに、適切に設定することでセキュリティ上の脅威を検出し、問題がエスカレートする前に対策を立てることも可能になります。

WhatsUp Gold の DNS 監視機能

他の多くのツールと同様に、最適なソリューションを選択するには、ある程度のデューデリジェンスが必要になります。DNS キャッシュポイズニングなど、攻撃対象になりやすい DNS サーバーの監視に関しては特によく検討する必要があります。

プログレスの IT インフラストラクチャ監視ソリューション、WhatsUp Gold の DNS 監視機能は考慮する価値があります。WhatsUp Gold の DNS モニタは、次のようにして設定することができます。

  • 再スキャンで使用: モニタを [デバイスのプロパティ] に表示するには、このオプションを有効にします。有効な場合、[デバイスのプロパティ] インタフェース内のデバイス管理アクションのメニューから [デバイスの再スキャン] をクリックすると、適切なプロトコルまたはサービスが対象のデバイスで有効な場合に、選択したデバイスにモニタが追加されます。
  • タイムアウト: WhatsUp Gold が選択したデバイスへの接続を試行する時間を入力します。指定した時間内に接続できない場合はタイムアウトが発生し、WhatsUp Gold はサーバーへの接続試行を停止します。これは接続失敗と見なされます。
  • DNS サーバー: デフォルトでは、DNS アクティブモニタはそのモニタが割り当てられているデバイスにクエリを実行します。別のデバイスにクエリを実行するようモニタに指示するには、代替 IP アドレスを入力します。この設定フィールドでは %Device.Address パーセント変数も使用できますが、他のパーセント変数はサポートされていません。
  • ドメイン名: DNS アクティブモニタはデフォルトで 1.0.0.127.in-addr.arpa を使用して、DNS の逆引きを実行します。別のドメインまたはサブドメインにクエリを実行するようモニタに指示するには、代替名を入力します。
  • 種類: モニタでクエリを実行する DNS レコードの種類を選択します。デフォルトの種類は、ポインターレコードです。
  • 検証パターン: DNS モニタのクエリ結果と照らし合わせる IP アドレスまたは正規表現パターンを入力します。

WhatsUp Gold で DNS サーバーの監視をお試しください。詳細については、お問い合わせください。