サーバ構築のデージーネットTOP > OSS情報 >OSSのおすすめDNSサーバ構築「キャッシュDNSサーバ」
サーバ構築のデージーネットTOP > OSS情報 > DNSサーバ > OSSのおすすめDNSサーバ構築「キャッシュDNSサーバ」
OSSのおすすめDNSサーバ構築「キャッシュDNSサーバ」
キャッシュDNSサーバとは、利用者から任意のドメイン名の名前解決のリクエストを受け、該当するドメイン名を管理するDNSへ問い合わせを行い、結果を返す役割のDNSサーバです。ここではOSSのDNSキャッシュサーバソフトウェアの選定ポイントを紹介し、比較してみます。
キャッシュDNSサーバ
bind
ISCが提供しているDNSサーバで、キャッシュDNSサーバとしても利用することができます。
長所
- 権威DNSサーバとキャッシュDNSサーバの両方の機能を利用することができます。
- 多くのディストリビューションで採用されていて、入手が容易です。
- Linuxディストリビュータのパッケージを使えば、継続的にアップデートを受けることができます。
- サポートが必要な場合には、RedHat Enterprise Linuxなどの商用ディストリビューションを利用することができます。
- 歴史が古く、インターネット上に多くの情報が載っています。
- DNSのクエリログを取得する機能があります。
- DNSSECによる情報の検査機能を備えています。
短所
- 非常に脆弱性が多く、セキュリティアップデートが大変です。
- 設計が古いため、キャッシュDNSと権威DNSの機能が分離されておらず、セキュリティ的に脆弱です。
- ファイルやコマンドで管理を行う必要があります。
- ここで紹介するキャッシュDNSサーバの中では、最も性能が劣ります。
bindの詳細ページへ
unbound
NSDと同じコミュニティが開発しているキャッシュDNSサーバです。
長所
- BINDよりも高速に動作します。
- 開発元から、性能のチューニング方法等も公開されています。
- CPUを増やすことで、性能が向上します。
- 様々な攻撃の対策機能を備えています。
- セキュリティの問題が少なく、安心して利用することができます。
- 多くのディストリビューションで採用されていて、入手が容易です。
- Linuxディストリビュータのパッケージを使えば、継続的にアップデートを受けることができます。
- サポートが必要な場合には、RedHat Enterprise Linuxなどの商用ディストリビューションを利用することができます。
- DNSのクエリログを取得する機能があります。
- DNSSECによる情報の検査機能を備えています。
短所
- 攻撃対策を行う場合には、最新版をコンパイルして利用する必要があります。
- コンパイルして利用した場合には、アップデートが大変です。また、問い合わせなどもできません。
unboundの詳細ページへ
Recursor
PowerDNSと同じコミュニティが開発しているキャッシュDNSサーバです。
長所
- BINDよりも高速に動作します。
- いくつかの攻撃の対策機能を備えています。
- セキュリティの問題が少なく、安心して利用することができます。
- DNSSECによる情報の検査機能を備えています。
短所
- DNSのクエリログを取得する機能がありません。
- パッケージで提供されていないため、アップデートを自分で行う必要があります。
- 商用サポートを受けることができません。
Recursorの詳細ページへ
DJBDNS
qmailの作者が開発したDNSサーバです。開発が古く、DNSSECにも対応していません。近年のDNSパケット長の増加に対する対策が取られていないため、利用はお勧めしません。
長所
- BINDよりも高速に動作します。
- 非常にシンプルな設計で、設定も容易です。
短所
- 開発が古く、更新がされていません。
- DNSSECによる情報の検査機能を備えていません。
- パッケージで提供されていないため、アップデートを自分で行う必要があります。
- 商用サポートを受けることができません。
OSSのおすすめDNSサーバ構築
- 権威DNSサーバ
- ここでは、BIND、PowerDNS、NSD、KnotDNSについて紹介します。
- キャッシュDNSサーバ
- ここでは、bind、unbound、Recursor、DJBDNSについて紹介します。
