ソリューション
優れたオンライン体験を提供
DDoS攻撃を軽減 悪意のあるボット乱用の阻止 インターネットアプリケーションを高速化 アプリケーションの可用性を確保 Web体験を最適化する オンデマンドでビデオをストリーミング
従業員のアプリケーションとデバイスを保護する
アプリケーションへのゼロトラストアクセスを提供する セキュアアクセスサービスエッジ(SASE)を実装する インターネットにアクセスするユーザーの保護 コーポレートネットワークを保護する 請負業者のアクセスを安全に管理 仮想プライベートネットワーク(VPN)を替える リモートワーク中の社員を守る ブラウザ分離でゼロデイ攻撃を阻止する
 
ネットワークの保護と高速化
L3 DDoS攻撃の軽減 Cloudflareでネットワークインフラストラクチャを接続 企業ネットワークを変革する
ネットワークエッジでコードを実行
サーバーレスアプリケーションの構築 静的Webサイトのデプロイ CDNの設定 条件付リクエストルーティングを定義する
安全なクラウドの管理
安全でハイブリッドなクラウドとSaaSプラットフォーム SSL for SaaSアプリケーションを有効にする クラウドデータ転送コストの削減
Webサイトを登録する
Webサイトの登録または転送
業界
eコマース 金融サービス ゲーミング Healthcare and Life Sciences メディア、エンターテイメント 公共部門 SaaS
公共の利益
選挙キャンペーン アテネプロジェクト ガリレオプロジェクト Project Fair Shot
インフラストラクチャについて
アプリケーションとネットワークセキュリティ
DDoS保護 WAF ボット管理 Magic Transit Rate Limiting SSL/TLS Cloudflare Spectrum ネットワーク相互接続
パフォーマンスと信頼性
CDN DNS Argo Smart Routing 負荷分散 Stream配信 China Network Waiting Room
Cloudflare for Teams
Cloudflare for Teams Access ゲートウェイ ブラウザ分離
開発者向け
サーバーレスアプリケーション
Cloudflare Workers Cloudflare Workers KV
ドメイン登録
Cloudflare Registrar
Webサイトの開発
Cloudflare Pages Cloudflare Stream
すべての人のために
1.1.1.1 1.1.1.1 with WARP (アプリ) 1.1.1.1 for Families
インサイト
Analytics Cloudflare Logs Web Analytics Cloudflare Radar
プライバシー
データローカライゼーション コンプライアンス
インフラストラクチャについて
高度なセキュリティ
ボット管理 ファイアウォールルール Magic Transit Spectrum(TCP/UDP) SSL WAF
パフォーマンスと信頼性
CDN DNS Image Resizing 負荷分散 ストリーミング(ビデオ)
 
インサイト
Analytics
ドメイン登録
Registrar
サーバーレスアプリケーションについて
Workersクイックスタート Cloudflare Pages サンプルWorkersプロジェクト Workersチュートリアル コマンドライン (Wrangler) ランタイム
Cloudflare for Teams
Cloudflare for Teams
CloudflareのAPIについて調べる
Cloudflare API API認証
ドキュメントハブ
デベロッパー向けドキュメントハブ
リソース
リソースハブ ホワイトペーパー ウェビナー ソリューションと製品ガイド 導入事例 アナリスト
探求
最新情報 ネットワークマップ 中国のCloudflare GDPR
開始する
Webサイトを登録する ウェルカムセンター 申し込む
学ぶ
ラーニングセンター セキュリティ DDoS ボット管理 SSL IDとアクセス管理 パフォーマンス CDN DNS クラウド サーバーレス ネットワーク層
接続
ブログ コミュニティ
コンプライアンス
GDPR 透明性レポート コンプライアンス
お問い合わせ
+1 650 319 8930
チャネルおよびアライアンスパートナー
パートナーネットワーク パートナーポータル
テクノロジーパートナー
概要 分析パートナー 帯域幅アライアンス 相互接続パートナーシップ ピアリングポータル
プラン別の価格設定
Free Pro Business Enterprise
比較と検討
プラン選びで、何かお困りですか? アドオン すべてのプランを比較する

再帰DNSとは?

ドメイン名を機械可読IPアドレスに一致させるDNSルックアップでは、DNSツリーをたどるには、DNSサーバーまたはクライアントのいずれかを使用できます。

Share facebook icon linkedin icon twitter icon email icon
DNS とは何ですか?
1.1.1.1 とは何ですか?
DNSセキュリティ
DNSサーバータイプ
DNSレコード
DNS関連用語集
  • DNS とは何ですか?
  • 1.1.1.1 とは何ですか?
  • DNSセキュリティ
  • DNSサーバータイプ
  • DNSレコード
  • 概要
  • DNS Aレコード
  • DNS CNAMEレコード
  • DNS MXレコード
  • DNS TXTレコード
  • DNS NSレコード
  • DNS SOAレコード
  • DNS SRVレコード
  • DNS PTRレコード
  • DNS関連用語集
  • DNSゾーン
  • IPアドレス
  • DNSサーバーとは何ですか?
  • ドメイン名
  • Cloudflare Registrar
  • DNS over TLS
  • ドメイン名 Registrar
  • 期限切れドメイン
  • ベストドメイン名 Registrar
  • DNSルートサーバー
  • ダイナミックDNS
  • リバースDNS
  • プライマリ対セカンダリDNS
  • ラウンドロビンDNS
  • DNSキャッシュポイズニング
  • Anycast DNS
  • リカーシブDNS

    再帰DNSとは?

    再帰的DNSルックアップは、1つのDNSサーバーが他の複数のDNSサーバーと通信してIPアドレスを探し出して、クライアントに返す場合です。これは、クライアントがルックアップに関与する各DNSサーバーと直接通信する反復DNSクエリとは対照的です。これは非常に技術的な定義ですが、DNSシステムと、再帰と反復の違いを詳しく見ておくと理解に役立ちます。

    DNSサーバーとは?

    ユーザーがブラウザウィンドウにドメイン名(「cloudflare.com」など)を入力するたびに、DNSルックアップをトリガーします。DNSサーバーと呼ばれる一連のリモートコンピューターは、そのドメインのIPアドレスを見つけてユーザーのコンピューターに返し、正しいWebサイトにアクセスできるようにします。

    DNSルックアップを完了するには、いくつかの異なるタイプのDNSサーバーが連携して動作する必要があります。 DNSリゾルバー、DNSルートサーバー、DNS TLDサーバー、およびDNS権限ネームサーバーはすべて、ルックアップを完了するための情報を提供する必要があります。 キャッシュの場合、これらのサーバーの1つは、以前のルックアップ中にクエリへの回答を保存している可能性があり、それをメモリから配信できます。

    DNSルックアップの動作の詳細については、DNSサーバーとは?を参照してください。

    再帰と反復の違いとは?

    再帰と反復は、問題を解決する2つの異なる方法を説明するコンピューターサイエンスの用語です。再帰では、プログラムは条件が満たされるまで繰り返し自身を呼び出しますが、反復では、条件が満たされるまで一連の命令が繰り返されます。この微妙な違いは、コードの説明をすることなく説明するのが難しいですが、重要なことは、再帰は繰り返し自身を呼び出すソリューションであるということです。

    たとえば、ジムが自宅で鍵を紛失し、これを見つける体系的な方法を探しているとします。再帰的な解決策は、ジムが鍵を見つけるまで探し続けることです。ジムは鍵探し始め、見つからない場合は、元の指示に戻り、鍵が見つかるまで探し続けます。反復的な解決策は、ジムが1つの部屋を5分間探し、指示に戻って次の部屋を5分間探し、鍵を見つけるか、探す対象の部屋のリストを全て網羅するまでこのサイクルを続けることです。

    再帰的DNSルックアップと反復的DNSルックアップの違いを理解するために、再帰と反復を深く理解する必要はありません。再帰的ルックアップでは、DNSサーバーは、クライアント(多くの場合、ユーザーのオペレーティングシステム)に返答できるIPアドレスを得られるまで再帰を実施してDNSサーバーへのクエリを継続します。反復DNSクエリでは、各DNSクエリは問合せ対象の別のDNSサーバーのアドレスをクライアントに直接応答し、クライアントは、DNSサーバーのどれかが指定されたドメインの正しいIPアドレスで応答するまでDNSサーバーのクエリを続けます。

    別の言い方をすれば、再帰DNSクエリではクライアントはある意味委任を実行します。クライアントは、DNSリゾルバに、「すみません、このドメインのIPアドレスが必要なので、突き止めてください。判明するまでは戻ってこないでください。」と伝えます。一方、反復クエリでは、クライアントはDNSリゾルバに「すみません、このドメインのIPアドレスが必要なので、ルックアッププロセスの次のDNSサーバーのアドレスを教えてください、そうしたら自分で検索します。」と伝えます。

    再帰DNSの利点とは?

    一般に、再帰DNSクエリは、反復クエリよりも速く解決する傾向があります。これはキャッシュによるものです。再帰DNSサーバーは、実行するすべてのクエリに対する最終回答をキャッシュし、その最終回答を一定時間( Time-To-Liveとして知られる)保存します。

    再帰リゾルバーは、既にキャッシュにあるIPアドレス向けのクエリを受信すると、他のDNSサーバーと通信することなく、キャッシュされた回答をクライアントにすばやく提供できます。a)DNSサーバーが多くのクライアントにサービスを提供している場合、および/またはb)要求されたWebサイトが非常に人気がある場合、キャッシュから応答を迅速に提供する可能性が非常に高くなります。

    再帰DNSの欠点とは?

    残念ながら、オープンDNSサーバーで再帰DNSクエリを許可すると、攻撃者が DNSアンプ攻撃および DNSキャッシュポイズニングを実行できるため、セキュリティ上の脆弱性が発生します。

    再帰DNSサーバーとDNSアンプ攻撃

    DNSアンプ攻撃では、攻撃者は通常、マシンのグループ(ボットネットと呼ばれます)を使用して、 スプーフィングされたIPアドレスを使用して大量のDNSクエリを送信します。スプーフィングされたIPアドレスは、偽造の返信アドレスのようなものです。攻撃者は自分のIPからリクエストを送信していますが、応答を被害者に送信する求めます。攻撃を強化するために、攻撃者は増幅と呼ばれる手法も使用します。この手法では、スプーフィングされた要求が非常に長い応答を要求します。被害を受けたサービスは、長くて不要なDNS応答を大量に受け取り、サーバーを混乱させたり、停止させたりする可能性があります。これはDDoS攻撃の一種です。

    これは、10代のいたずらのグループがピザ屋に電話をかけ、それぞれが10枚ずつピザを注文するようなものです。配達先住所として、自分の住所ではなく、そんなこととは夢にも思っていない隣人の住所を伝えます。被害者は、大量の不要なピザが次々と配達され、多くの混乱を経験するでしょう。

    増幅されたDNSパケットは再帰DNSクエリに対する応答であるため、この種の攻撃を実行するには、再帰クエリを受け入れるDNSサーバーが必要です。

    再帰DNSサーバーおよびDNSキャッシュポイズニング攻撃

    DNSキャッシュポイズニング攻撃では、再帰DNSサーバーが別のDNSサーバーからIPアドレスを要求すると、攻撃者がその要求を傍受し、偽の応答を返します。これは多くの場合、悪意のあるWebサイトのIPアドレスです。再帰DNSサーバーは、元のクライアントにこのIPアドレスを送信するだけでなく、サーバーは応答をキャッシュに保存します。同じドメイン名のIPを要求するユーザーは、悪意のあるWebサイトに送信されます。一般的なドメイン名であり、一般的なDNSリゾルバである場合、この攻撃は何千人ものユーザーに影響を与える可能性があります。

    反復DNSクエリでは、クライアントは各DNSサーバーに直接回答を求めます。攻撃者がクエリに対して偽造された応答を送信できたとしても、影響を受けるのは単一のクライアントのみであり、通常は攻撃者が時間をかける価値はありません。

    高速かつ安全なDNSクエリをサポートする方法

    CloudflareのマネージドDNSサービスは通常、競合他社のDNSまたはパブリックDNSよりも高速にDNSクエリを解決します。さらに、Cloudflare DNSは、DNSサーバーとクエリを安全に保つために設計された厳格なセキュリティプロトコルであるDNSSECをサポートします。

リカーシブDNS

学習目的

この記事を読み終えると、以下のことができます。

  • 再帰DNSを定義する
  • 再帰DNSクエリと反復DNSクエリを区別する
  • 再帰DNSクエリに関連する利点とリスクを理解する

関連コンテンツ

DNSセキュリティ

リバースDNS

DNS とは何ですか?

DNSサーバーとは何ですか?

ラウンドロビンDNS

再帰DNSとは?

再帰的DNSルックアップは、1つのDNSサーバーが他の複数のDNSサーバーと通信してIPアドレスを探し出して、クライアントに返す場合です。これは、クライアントがルックアップに関与する各DNSサーバーと直接通信する反復DNSクエリとは対照的です。これは非常に技術的な定義ですが、DNSシステムと、再帰と反復の違いを詳しく見ておくと理解に役立ちます。

DNSサーバーとは?

ユーザーがブラウザウィンドウにドメイン名(「cloudflare.com」など)を入力するたびに、DNSルックアップをトリガーします。DNSサーバーと呼ばれる一連のリモートコンピューターは、そのドメインのIPアドレスを見つけてユーザーのコンピューターに返し、正しいWebサイトにアクセスできるようにします。

DNSルックアップを完了するには、いくつかの異なるタイプのDNSサーバーが連携して動作する必要があります。 DNSリゾルバー、DNSルートサーバー、DNS TLDサーバー、およびDNS権限ネームサーバーはすべて、ルックアップを完了するための情報を提供する必要があります。 キャッシュの場合、これらのサーバーの1つは、以前のルックアップ中にクエリへの回答を保存している可能性があり、それをメモリから配信できます。

DNSルックアップの動作の詳細については、DNSサーバーとは?を参照してください。

再帰と反復の違いとは?

再帰と反復は、問題を解決する2つの異なる方法を説明するコンピューターサイエンスの用語です。再帰では、プログラムは条件が満たされるまで繰り返し自身を呼び出しますが、反復では、条件が満たされるまで一連の命令が繰り返されます。この微妙な違いは、コードの説明をすることなく説明するのが難しいですが、重要なことは、再帰は繰り返し自身を呼び出すソリューションであるということです。

たとえば、ジムが自宅で鍵を紛失し、これを見つける体系的な方法を探しているとします。再帰的な解決策は、ジムが鍵を見つけるまで探し続けることです。ジムは鍵探し始め、見つからない場合は、元の指示に戻り、鍵が見つかるまで探し続けます。反復的な解決策は、ジムが1つの部屋を5分間探し、指示に戻って次の部屋を5分間探し、鍵を見つけるか、探す対象の部屋のリストを全て網羅するまでこのサイクルを続けることです。

再帰的DNSルックアップと反復的DNSルックアップの違いを理解するために、再帰と反復を深く理解する必要はありません。再帰的ルックアップでは、DNSサーバーは、クライアント(多くの場合、ユーザーのオペレーティングシステム)に返答できるIPアドレスを得られるまで再帰を実施してDNSサーバーへのクエリを継続します。反復DNSクエリでは、各DNSクエリは問合せ対象の別のDNSサーバーのアドレスをクライアントに直接応答し、クライアントは、DNSサーバーのどれかが指定されたドメインの正しいIPアドレスで応答するまでDNSサーバーのクエリを続けます。

別の言い方をすれば、再帰DNSクエリではクライアントはある意味委任を実行します。クライアントは、DNSリゾルバに、「すみません、このドメインのIPアドレスが必要なので、突き止めてください。判明するまでは戻ってこないでください。」と伝えます。一方、反復クエリでは、クライアントはDNSリゾルバに「すみません、このドメインのIPアドレスが必要なので、ルックアッププロセスの次のDNSサーバーのアドレスを教えてください、そうしたら自分で検索します。」と伝えます。

再帰DNSの利点とは?

一般に、再帰DNSクエリは、反復クエリよりも速く解決する傾向があります。これはキャッシュによるものです。再帰DNSサーバーは、実行するすべてのクエリに対する最終回答をキャッシュし、その最終回答を一定時間( Time-To-Liveとして知られる)保存します。

再帰リゾルバーは、既にキャッシュにあるIPアドレス向けのクエリを受信すると、他のDNSサーバーと通信することなく、キャッシュされた回答をクライアントにすばやく提供できます。a)DNSサーバーが多くのクライアントにサービスを提供している場合、および/またはb)要求されたWebサイトが非常に人気がある場合、キャッシュから応答を迅速に提供する可能性が非常に高くなります。

再帰DNSの欠点とは?

残念ながら、オープンDNSサーバーで再帰DNSクエリを許可すると、攻撃者が DNSアンプ攻撃および DNSキャッシュポイズニングを実行できるため、セキュリティ上の脆弱性が発生します。

再帰DNSサーバーとDNSアンプ攻撃

DNSアンプ攻撃では、攻撃者は通常、マシンのグループ(ボットネットと呼ばれます)を使用して、 スプーフィングされたIPアドレスを使用して大量のDNSクエリを送信します。スプーフィングされたIPアドレスは、偽造の返信アドレスのようなものです。攻撃者は自分のIPからリクエストを送信していますが、応答を被害者に送信する求めます。攻撃を強化するために、攻撃者は増幅と呼ばれる手法も使用します。この手法では、スプーフィングされた要求が非常に長い応答を要求します。被害を受けたサービスは、長くて不要なDNS応答を大量に受け取り、サーバーを混乱させたり、停止させたりする可能性があります。これはDDoS攻撃の一種です。

これは、10代のいたずらのグループがピザ屋に電話をかけ、それぞれが10枚ずつピザを注文するようなものです。配達先住所として、自分の住所ではなく、そんなこととは夢にも思っていない隣人の住所を伝えます。被害者は、大量の不要なピザが次々と配達され、多くの混乱を経験するでしょう。

増幅されたDNSパケットは再帰DNSクエリに対する応答であるため、この種の攻撃を実行するには、再帰クエリを受け入れるDNSサーバーが必要です。

再帰DNSサーバーおよびDNSキャッシュポイズニング攻撃

DNSキャッシュポイズニング攻撃では、再帰DNSサーバーが別のDNSサーバーからIPアドレスを要求すると、攻撃者がその要求を傍受し、偽の応答を返します。これは多くの場合、悪意のあるWebサイトのIPアドレスです。再帰DNSサーバーは、元のクライアントにこのIPアドレスを送信するだけでなく、サーバーは応答をキャッシュに保存します。同じドメイン名のIPを要求するユーザーは、悪意のあるWebサイトに送信されます。一般的なドメイン名であり、一般的なDNSリゾルバである場合、この攻撃は何千人ものユーザーに影響を与える可能性があります。

反復DNSクエリでは、クライアントは各DNSサーバーに直接回答を求めます。攻撃者がクエリに対して偽造された応答を送信できたとしても、影響を受けるのは単一のクライアントのみであり、通常は攻撃者が時間をかける価値はありません。

高速かつ安全なDNSクエリをサポートする方法

CloudflareのマネージドDNSサービスは通常、競合他社のDNSまたはパブリックDNSよりも高速にDNSクエリを解決します。さらに、Cloudflare DNSは、DNSサーバーとクエリを安全に保つために設計された厳格なセキュリティプロトコルであるDNSSECをサポートします。

To provide you with the best possible experience on our website, we may use cookies, as described here.
By clicking accept, closing this banner, or continuing to browse our websites, you consent to the use of such cookies.