DNSにちょっとだけ詳しくなりたい人に贈る少し突っ込んだDNSの話 / devioday1_dns

DNSにちょっとだけ詳しくなりたい人に贈る少し突っ込んだDNSの話  2023/4/11  DevelopersIO BASECAMPディレクター大瀧隆太 / takipone 

2 誰 • 名前: 大瀧隆太 @takipone  • お仕事: 事業開発  •
好きな技術:  ◦ Amazon Route 53, CloudFront  ◦ SORACOM  ◦ Tailscale  ◦ Starlink 

3 DevelopersIO BASECAMP(デベキャン)第1期完走!

4 聴講者のターゲット • ITエンジニア  ◦ フロントエンド、バックエンド、クラウドインフラ  ◦ プリセールス、PM、PdM  • DNSの学び方 
◦ 現場で叩き上げ  ◦ 学校で習った  DNSにちょっと詳しくなるためのTips集を紹介する30分 

5 事前リサーチ(社内アンケート)

6 お品書き 1. DNS概説  2. DNSちょっと詳しくなる1: 勉強方法とデバッグ  3. DNSちょっと詳しくなる2: Amazon
Route 53  4. DNSちょっと詳しくなる3: DNS over なにか 

7 DNS概説 DNS(Domain Name System)は名前解決の手段のひとつ  名前解決は通信相手のホスト名をIPアドレスに変換する仕組み  yakiniku.local ホスト名  192.168.1.1
IPアドレス 

8 DNS概説 DNSはシンプルなクライアント/サーバシステム  DNSクライアントスマホやPC DNSサーバールーターやクラウドリクエストレスポンス

9 DNS概説簡素な分散システムとキャッシュ  クライアント（リゾルバ）キャッシュサーバ（スタブリゾルバ）コンテンツサーバ（ドメインによる　階層化と委譲）

10 DNS概説今日のTCP/IPネットワーク、インターネットの根幹  ありとあらゆるクライアントが、ありとあらゆるTCP/IP通信の前段としてDNSサーバにリクエストを送りまくる  DNSサーバは基本的につらい役回り  落ちるとすごく怒られるし、攻撃で狙われる 

11 ここからはちょっとだけ詳しくなる足がかりを DNSちょっと詳しくなる1:  勉強方法とデバッグ

12 勉強方法とデバッグインターネット技術なので公開情報が豊富  • JPRSのWebサイト  • RFC: https://jprs.jp/tech/index.html  #dns-rfc-info 
書籍もたくさん出てる  • 「DNSをはじめよう」 

13 勉強方法とデバッグ digコマンド: DNSの通信をほぼダンプしてくれる  cURLみたいなコマンド  % dig classmethod.jp ; <<>>
DiG 9.10.6 <<>> classmethod.jp ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 28062 ;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 4, ADDITIONAL: 9 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;classmethod.jp. IN A ;; ANSWER SECTION: トラブルシューティングにはヘッダ情報が大事メッセージボディはセクションに分類される

14 勉強方法とデバッグ Amazon VPC内などを除き公開サービスなので手元からデバッグできる  実際の動きを追いやすいのがDNS のいいところ  便利なクエリオプションがたくさんあるので頑張ってmanを見よう  %
dig +short @8.8.8.8 . NS f.root-servers.net. a.root-servers.net. k.root-servers.net. h.root-servers.net. i.root-servers.net. j.root-servers.net. m.root-servers.net. l.root-servers.net. g.root-servers.net. b.root-servers.net. d.root-servers.net. c.root-servers.net. e.root-servers.net. %

15 勉強方法とデバッグ digコマンドのエラー  • NXDOMAIN : HTTP 404 NotFound  •
SERVFAIL : HTTP 5XX Server Error  • NOERROR : HTTP 2XX OK  NOERRORでもANSWER SECTIONが空っぽなど問題がある場合も 

16 DNSちょっと詳しくなる2:  Amazon Route 53

↓  大規模DNSマネージドサービスの登場  • キャッシュサーバ  • コンテンツサーバ  17 Amazon Route 53
- 大規模DNSサービスを知ろう DNSサーバは運用が大変  ここで説明するのはコンテンツサーバ ※ Route 53は両方の機能を持つことに注意

18 大規模DNSサービスの特徴古典的な冗長化はプライマリ/セカンダリの2台構成  プライマリサーバセカンダリサーバゾーン転送これに代わるIP Anycastによる大規模な分散構成 

19 IP Anycastとは • 複数ホストに同じグローバルIPアドレスを割り当て  • インターネットのルータの構成で最寄りのホストを  向ける  X.X.X.X X.X.X.X
X.X.X.X

20 IP Anycastとは DNS専用の仕組みではなく、インターネットの様々なサービスで活用されている  • Amazon Global Accelerator  •
Cloudﬂare  • Google Cloud CDN  検証にはEC2が便利(リージョン選び放題はありがたい) 

21 多彩なDNSルーティングポリシー単一のリソースレコードに対してフェイルオーバー  (障害検出と振り替え)やロードバランス(負荷分散)などロジックを持たせる  プライマリのサーバセカンダリのサーバ Route
53 死活監視

22 多彩なDNSルーティングポリシー • フェイルオーバー  • 位置情報  • 地理的近接性  • レイテンシー 
• IPベース  • 複数値回答  • 加重  • EDNS0 Client Subnet 

23 DNSちょっと詳しくなる3 :  DNS over なにか

24 DNS over なにか DNSクライアント周りの最近の話題  DNSは非暗号化プロトコル  ISPでクエリーログが収集されてしまうリスク  ISPのキャッシュサーバ

25 DNS over なにか日本は法律で保護されるなど国によって状況はさまざま  プライバシーに敏感なインターネットユーザー層  ※ コンテンツサーバー側はDNSSECという別の技術 

26 DNSトラフィックの暗号化実装はたくさん  • DNS over TLS  • DNS over
HTTPS  • DNS over HTTP/3  Android Private DNSはover TLS  だけど今後over HTTP/3に移るかも (iOSにもある) 

27 まとめ • RFCと書籍、digコマンドでDNSをお友達にしよう  • 大規模DNSマネージドサービスはIP Anycast  • DNSクライアントの暗号化はプライバシー周辺の話題 

DNSにちょっとだけ詳しくなりたい人に贈る少し突っ込んだDNSの話 / devioday1_dns

DNSにちょっとだけ詳しくなりたい人に贈る少し突っ込んだDNSの話 / devioday1_dns

takipone

More Decks by takipone

Other Decks in Technology

Featured

Transcript

DNSにちょっとだけ詳しくなりたい人に贈る少し突っ込んだDNSの話  2023/4/11  DevelopersIO BASECAMPディレクター大瀧隆太 / takipone

2 誰 • 名前: 大瀧隆太 @takipone  • お仕事: 事業開発  •

3 DevelopersIO BASECAMP(デベキャン)第1期完走!

4 聴講者のターゲット • ITエンジニア  ◦ フロントエンド、バックエンド、クラウドインフラ  ◦ プリセールス、PM、PdM  • DNSの学び方

5 事前リサーチ(社内アンケート)

6 お品書き 1. DNS概説  2. DNSちょっと詳しくなる1: 勉強方法とデバッグ  3. DNSちょっと詳しくなる2: Amazon

7 DNS概説 DNS(Domain Name System)は名前解決の手段のひとつ  名前解決は通信相手のホスト名をIPアドレスに変換する仕組み  yakiniku.local ホスト名  192.168.1.1

8 DNS概説 DNSはシンプルなクライアント/サーバシステム  DNSクライアントスマホやPC DNSサーバールーターやクラウドリクエストレスポンス

9 DNS概説簡素な分散システムとキャッシュ  クライアント（リゾルバ）キャッシュサーバ（スタブリゾルバ）コンテンツサーバ（ドメインによる　階層化と委譲）

11 ここからはちょっとだけ詳しくなる足がかりを DNSちょっと詳しくなる1:  勉強方法とデバッグ

12 勉強方法とデバッグインターネット技術なので公開情報が豊富  • JPRSのWebサイト  • RFC: https://jprs.jp/tech/index.html  #dns-rfc-info

13 勉強方法とデバッグ digコマンド: DNSの通信をほぼダンプしてくれる  cURLみたいなコマンド  % dig classmethod.jp ; <<>>

14 勉強方法とデバッグ Amazon VPC内などを除き公開サービスなので手元からデバッグできる  実際の動きを追いやすいのがDNS のいいところ  便利なクエリオプションがたくさんあるので頑張ってmanを見よう  %

15 勉強方法とデバッグ digコマンドのエラー  • NXDOMAIN : HTTP 404 NotFound  •

16 DNSちょっと詳しくなる2:  Amazon Route 53

↓  大規模DNSマネージドサービスの登場  • キャッシュサーバ  • コンテンツサーバ  17 Amazon Route 53

18 大規模DNSサービスの特徴古典的な冗長化はプライマリ/セカンダリの2台構成  プライマリサーバセカンダリサーバゾーン転送これに代わるIP Anycastによる大規模な分散構成

19 IP Anycastとは • 複数ホストに同じグローバルIPアドレスを割り当て  • インターネットのルータの構成で最寄りのホストを  向ける  X.X.X.X X.X.X.X

20 IP Anycastとは DNS専用の仕組みではなく、インターネットの様々なサービスで活用されている  • Amazon Global Accelerator  •

21 多彩なDNSルーティングポリシー単一のリソースレコードに対してフェイルオーバー  (障害検出と振り替え)やロードバランス(負荷分散)などロジックを持たせる  プライマリのサーバセカンダリのサーバ Route

22 多彩なDNSルーティングポリシー • フェイルオーバー  • 位置情報  • 地理的近接性  • レイテンシー

23 DNSちょっと詳しくなる3 :  DNS over なにか

24 DNS over なにか DNSクライアント周りの最近の話題  DNSは非暗号化プロトコル  ISPでクエリーログが収集されてしまうリスク  ISPのキャッシュサーバ

25 DNS over なにか日本は法律で保護されるなど国によって状況はさまざま  プライバシーに敏感なインターネットユーザー層  ※ コンテンツサーバー側はDNSSECという別の技術

26 DNSトラフィックの暗号化実装はたくさん  • DNS over TLS  • DNS over

27 まとめ • RFCと書籍、digコマンドでDNSをお友達にしよう  • 大規模DNSマネージドサービスはIP Anycast  • DNSクライアントの暗号化はプライバシー周辺の話題