記事ディレクトリ
インターネットが成長するにつれて、Web ページも複雑になってきました。クライアントが Web ページにアクセスするとき、Web ページのすべてのリソースを完全に読み込むには、通常、数十の DNS クエリ リクエストを送信する必要があります。この場合、DNS 解決の速度と精度が Web ページの読み込み速度に影響を与える可能性があります。
パブリック解決 PublicDNS は、ユーザーに DNS サーバーのアドレスを提供します。ユーザーは、デバイスの DNS サーバー アドレスをこのアドレスに設定できます。パブリック解決 PublicDNS は、ユーザーのインターネット アクセス速度を向上させることができ、ユーザーが DNS スプーフィング、DNS ハイジャック、その他の問題を回避するのにも役立ちます。
バイトパブリックDNS
Volcano Engine Public DNS (PublicDNS) は、実際に 2023 年 2 月 24 日に公開テストが開始されました。
Volcano Engine パブリック DNS (PublicDNS) は、すべてのインターネット ユーザーに高速で安定した安全な再帰 DNS サービスを提供します。
DNSの基本概念
DNS
DNS の正式名称は Domain Name System です。これはイエロー ページのように機能し、ドメイン名を IP アドレスに変換する役割を果たします。ユーザーはクライアント アプリケーションでドメイン名を使用して Web サイトにアクセスしますが、アプリケーション自体は IP アドレスを使用して Web サイト サーバーにアクセスします。典型的なアプリケーションはブラウザです。DNS は、ユーザーが入力したドメイン名をブラウザで使用できる IP アドレスに変換します。インターネット DNS システムは、世界中の DNS サーバーで構成され、巨大なインターネット ドメイン名システムを構築し、ドメイン名解決を担っています。
再帰的解析
再帰クエリとも呼ばれ、DNS サーバーのクエリ モードです。クライアントがドメイン名解決要求を開始するときに、DNS サーバー上にキャッシュされた解決レコードがない場合、DNS サーバーはクライアントとして他の DNS サーバーに対してドメイン名解決要求を開始し、結果をクライアントに返します。再帰クエリ プロセス中に、クライアントは解析リクエストを 1 回だけ送信します。ローカル DNS は、再帰クエリを使用してクライアントのドメイン名解決要求に応答します。クライアントがプロキシを介して他の DNS サーバーにドメイン名解決を要求し、プロキシが取得した IP をクライアントに返すプロセスを指します。
権威DNSサーバー
権威 DNS サーバーは、サブサイトのドメイン名解決を担当します。ドメイン名をホストしているドメイン ネーム サービス プロバイダーは、サブドメイン名のドメイン名解決を担当する権威 DNS サーバーを提供します。
ローカルDNSサーバー
ローカル DNS サーバーは、ドメイン名解決リクエストを繰り返しクエリし、同時に解決結果をキャッシュする役割を果たします。ほとんどのローカル DNS サーバーはオペレーターによって保守されています。ブラウザのドメイン名解決要求はローカル DNS サーバーに送信されます。
パブリックDNSのメリット
パブリック解決 PublicDNS の再帰的解決ノードは、中国のすべての省と主要な通信事業者をカバーしており、合計数百行あります。
ハイパフォーマンス
パブリック解決 PublicDNS は、BGP Anycast テクノロジーを使用して、全国に複数のアクセス ポイントを提供します。パブリック解決 PublicDNS は、ユーザーのリクエストを最も近いアクセス ポイントに転送して、解決結果を迅速に取得できます。
パブリック解決 PublicDNS は DNS 解決レコードをキャッシュします。パブリック解決 PublicDNS は、キャッシュ内でユーザーの解決リクエストを見つけた場合、権威 DNS に解決リクエストを送信する必要はなく、解決結果をユーザーに直接返すことができます。
信頼性のある
パブリック解決 PublicDNS は、トラフィック クリーニングや IP ブラックリストなどの方法を使用して DDoS 攻撃を回避します。
パブリック解決 PublicDNS は、BGP Anycast テクノロジーを使用して、全国に複数のアクセス ポイントを提供します。アクセス ポイントでネットワーク障害が発生した場合、パブリック解決 PublicDNS はすぐに他のアクセス ポイントに切り替わります。
安全性
公開解決PublicDNSのDNSサーバーは徹底したセキュリティ保護対策が施されています。これらの対策により、DNS スプーフィングや DNS ハイジャックなどの問題を回避できます。パブリック解決 PublicDNS は、ユーザーのリクエストをハイジャックしたりリダイレクトしたりしません。
DoHプロトコルとは何ですか
DoH (DNS over HTTPS) は安全な HTTPS プロトコルを使用して DNS を実行し、その主な目的はユーザーのセキュリティとプライバシーを強化することです。
暗号化された HTTPS 接続を使用すると、第三者は解析プロセスに影響を与えたり、監視したりすることができなくなります。したがって、詐欺師は要求された URL を表示して変更することはできません。DNS over HTTPS を使用すると、転送中にデータが失われた場合に、DoH の伝送制御プロトコル (TCP) がより迅速に反応します。
DoH のクエリと応答は、両方とも同じポートから送受信されるため、他の HTTPS トラフィック内である程度隠蔽されます。
DoH のデフォルト ポートは 443 で、これは HTTPS のデフォルト ポートです (DNS over TLS には独自のポート 853 があります)。
DNS over HTTPS は HTTPS トンネルに基づくドメイン名プロトコルであり、HTTPS は「HTTP over TLS」です。したがって、DoH は [Double Tunnel] プロトコルと同等です。
DoH は最終的に [機密性] と [完全性] を達成するために TLS に依存します。これを行うことの利点は次のとおりです。
たとえ誰かがインターネット トラフィックを監視したとしても、どの TLS トラフィックがドメイン名のクエリに使用され、どの TLS トラフィックが Web ページの送信に使用されているかを判断することはできません。つまり、DoHプロトコルのトラフィックを【個別に識別】することはできません。
Chrome で DNS over HTTPS を有効にする
Google Chrome で https 経由で DNS の参照を開始するには、次の手順を実行します。
- まず、Chromeブラウザを起動します。
- 右上隅に移動して、[カスタマイズ] (3 つの点) ボタンをクリックします。「設定」を選択します。
- 次の画面で、「プライバシーとセキュリティ」をクリックします。
- 次に、クリックして「セキュリティ」を展開し、「セキュア DNS を使用する」トグル スイッチを有効にします。
- カスタム オプションを選択し、現在のプロバイダーを入力できます。あるいは、ドロップダウン メニューを使用して、Google Public DNS、Alibaba Cloud DNS、Byte publicDNS などの利用可能なオプションを選択します。
- 完了すると、Chrome は DNS クエリを自動的に暗号化して送信します。
DoTプロトコルとは何ですか
DNS over TLS (略して DoT) は、ドメイン名解決のためのセキュリティ拡張プロトコルです。TLS プロトコルを使用して、ユーザーと再帰的解決サーバーの間で DNS メッセージを暗号化して送信し、中間ユーザーによる盗聴やドメイン名クエリのプライバシー漏洩を防ぎます。
TLS送信のプロセス
次のように:
- TCP スリーウェイ ハンドシェイク
- SSL ClientHello および ServerHello、および対応するキー交換 KeyExchange
- クライアントとサーバーは、暗号化モードに入るように ChangeCipherSpec を相互に通知し、その時点でデータ送信状態に入ることができます。
- アプリケーションデータの移行プロセス
- アプリケーションデータの送信が完了し、TCP が 2 回送信されます
TCP 接続とデータ パケット送信の部分とは別に、TLS ハンドシェイクの部分では 2 RTT が使用されます。
DNS-over-TLS は HTTPS に似ており、TCP 853 を送信ポートとして使用して TLS ハンドシェイクを完了し、通常の DNS 要求/応答を実行します。したがって、DNS-over-TLS のプロセス全体で少なくとも 4 つの RTT が使用され、DNS のクエリ遅延も 4 倍に拡大します。
DoQプロトコルとは何ですか
専用 QUIC 接続を介した
DNS 専用 QUIC 接続を介して DNS QUIC によって提供される暗号化には、TLS によって提供される暗号化と同様の特性がありますが、QUIC トランスポートは TCP 固有のヘッドオブライン ブロッキングの問題を排除し、UDP よりも効率的なパケット損失回復を提供します。
DNS over QUIC (DoQ) には、RFC7858 で規定されている DNS over TLS (DoT) に似たプライバシー特性と、従来の DNS over UDP に似た遅延特性があります。
DoQ をサポートする DNS サーバーは、双方が別のポートを使用することに同意しない限り、専用の UDP ポート TBD で QUIC 接続をリッスンして受け入れる必要があります。デフォルトでは、特定のサーバーで DoQ を使用したい DNS クライアントは、双方が別のポートを使用することに同意しない限り、サーバー上の UDP ポート TBD への QUIC 接続を確立する必要があります。
DoQ 接続では UDP ポート 53 を使用しないでください。DoQ にポート 53 を使用しないことを推奨するのは、DoQ と DNS over UDP [RFC1035] の使用との間の混同を避けるためです。再帰的なシナリオでは、ポート 443 は他のポートよりもブロックされる可能性が低いため、ポート 443 を相互に合意した代替ポートとして使用することが運用上有益である可能性があります。
デバイスがパブリック解像度の PublicDNS にアクセスできるかどうかを確認します
ウィンドウズ
コマンドラインでtracertコマンドを実行します。IP を、パブリックに解決された PublicDNS の IPv4 アドレスに置き換える必要があります。
tracert -d PublicDNSIP
最終結果にパブリック解決 PublicDNS の IPv4 アドレスが表示されない場合は、ネットワーク接続に問題があり、パブリック解決 PublicDNS に接続できない可能性があります。
最終結果にパブリック解決 PublicDNS の IPv4 アドレスが表示される場合は、パブリック解決 PublicDNS に問題がある可能性があります。
macOS/Linux
コマンドラインでtracerouteコマンドを実行します。IP を、パブリックに解決された PublicDNS の IPv4 アドレスに置き換える必要があります。
/usr/sbin/traceroute -n PublicDNSIP
最終結果にパブリック解決 PublicDNS の IPv4 アドレスが表示されない場合は、ネットワーク接続に問題があり、パブリック解決 PublicDNS に接続できない可能性があります。
最終結果にパブリック解決 PublicDNS の IPv4 アドレスが表示される場合は、パブリック解決 PublicDNS に問題がある可能性があります。