オープンソース

OSSのおすすめDNSサーバ構築「キャッシュDNSサーバ」

キャッシュDNSサーバとは、利用者から任意のドメイン名の名前解決のリクエストを受け、該当するドメイン名を管理するDNSへ問い合わせを行い、結果を返す役割のDNSサーバです。ここではOSSのDNSキャッシュサーバソフトウェアの選定ポイントを紹介し、比較してみます。

OSSのおすすめキャッシュDNSサーバ

bind

bindは、ISCが提供しているDNSサーバで、キャッシュDNSサーバとしても利用することができます。

長所

  • 権威DNSサーバとキャッシュDNSサーバの両方の機能を利用することができます。
  • 多くのディストリビューションで採用されていて、入手が容易です。
  • Linuxディストリビュータのパッケージを使えば、継続的にアップデートを受けることができます。
  • サポートが必要な場合には、RedHat Enterprise Linuxなどの商用ディストリビューションを利用することができます。
  • 歴史が古く、インターネット上に多くの情報が載っています。
  • DNSのクエリログを取得する機能があります。
  • DNSSECによる情報の検査機能を備えています。

短所

  • 非常に脆弱性が多く、セキュリティアップデートが大変です。
  • 設計が古いため、キャッシュDNSと権威DNSの機能が分離されておらず、セキュリティ的に脆弱です。
  • ファイルやコマンドで管理を行う必要があります。
  • ここで紹介するキャッシュDNSサーバの中では、最も性能が劣ります。

bind構築事例 お問合せ

unbound

unboudは、NSDと同じコミュニティが開発しているキャッシュDNSサーバです。

長所

  • BINDよりも高速に動作します。
  • 開発元から、性能のチューニング方法等も公開されています。
  • CPUを増やすことで、性能が向上します。
  • 様々な攻撃の対策機能を備えています。
  • セキュリティの問題が少なく、安心して利用することができます。
  • 多くのディストリビューションで採用されていて、入手が容易です。
  • Linuxディストリビュータのパッケージを使えば、継続的にアップデートを受けることができます。
  • サポートが必要な場合には、RedHat Enterprise Linuxなどの商用ディストリビューションを利用することができます。
  • DNSのクエリログを取得する機能があります。
  • DNSSECによる情報の検査機能を備えています。

短所

  • 攻撃対策を行う場合には、最新版をコンパイルして利用する必要があります。
  • コンパイルして利用した場合には、アップデートが大変です。また、問い合わせなどもできません。

unbound構築事例 unbound無料資料 お問合せ

Recursor

PowerDNSと同じコミュニティが開発しているキャッシュDNSサーバです。

長所

  • BINDよりも高速に動作します。
  • いくつかの攻撃の対策機能を備えています。
  • セキュリティの問題が少なく、安心して利用することができます。
  • DNSSECによる情報の検査機能を備えています。

短所

  • DNSのクエリログを取得する機能がありません。
  • パッケージで提供されていないため、アップデートを自分で行う必要があります。
  • 商用サポートを受けることができません。

お問合せ

DJBDNS

qmailの作者が開発したDNSサーバです。開発が古く、DNSSECにも対応していません。近年のDNSパケット長の増加に対する対策が取られていないため、利用はお勧めしません。

長所

  • BINDよりも高速に動作します。
  • 非常にシンプルな設計で、設定も容易です。

短所

  • 開発が古く、更新がされていません。
  • DNSSECによる情報の検査機能を備えていません。
  • パッケージで提供されていないため、アップデートを自分で行う必要があります。
  • 商用サポートを受けることができません。

お問合せ

dnsdist

dnsdistは、DNSサーバをロードバランスしたり、DNSのルーティングを行う機能を持ったDNSサーバです。また、キャッシュDNSサーバに、DNS over HTTPS、DNS over TLSの機能を追加するために、利用することができます。

通常のDNSの問い合わせは、平文で行われています。そのため、ネットワークをモニタすると、クライアントがどのようなDNS問い合わせを行ったかという情報を容易に入手することができてしまいます。DNS over HTTPSやDNS over TLSは、DNSの問い合わせを暗号化することで、クライアントが参照しようとしているネットワークに関する情報が漏れないようにする技術です。dnsdistは、DNS over HTTPSやDNS over TLSで問い合わせを受け付け、キャッシュDNSサーバに問い合わせを行うプロキシとして動作します。

権威DNSサーバのPowerDNSと同じPowerDNS.COM BV社により開発され、オープンソースソフトウェアとして公開されています。

DNSoverHTTPS無料資料 お問合せ

OSSのDNSサーバ構築

権威DNSサーバ
ここでは、BINDPowerDNSNSDKnotDNSについて紹介します。
キャッシュDNSサーバ
ここでは、bindunboundRecursorDJBDNSdnsdistについて紹介します。
DNSサーバ選定のポイント
ここでは、DNSサーバを選定する場合のポイントについて紹介します。
DNSの新しい攻撃手法NXNSAttack
NXNSAttackは、DNSサービスの委任と呼ばれる機能を悪用したものです。ここでは委任の仕組みからNXNSAttackのメカニズムまでを解説します。

OSSのおすすめDNSサーバ構築「キャッシュDNSサーバ」の先頭へ