DNSサーバに直接問い合わせを行うdig(Domain Information Groper)コマンドについて、前回の続きです。
オプション
主なオプションです。
| オプション | 意味 |
|---|---|
| +short | 簡潔表示 |
| +noall +answer | Answerのみ表示 |
| +trace | ルートから辿る |
| +norecurse | 再帰なし |
| -t | タイプ指定 |
オプション記号が “+” なのが何とも違和感たっぷり
オプション “+trace” について
オプション “+trace” はルートから順に権威サーバーに問合せを行うオプションです。
dig ドメイン名 +trace
本サイトのドメイン名の問合せ結果です。
DNS解決の階層構造をそのまま表示します。
カラムの意味
ルートゾーン( “.” ) TTL IN(クラス) NS(ネームサーバ) ルートDNS
TLDゾーン( “com.” ) TTL IN(クラス) NS(ネームサーバ) .com管理サーバ
問合せゾーン( “joenoji325.com.” ) TTL IN(クラス) NS(ネームサーバ) 管理ネームサーバ
の順に表示されています。
下から2段目の回答行(A)は、
問合せドメイン TTL IN(クラス) A 回答されたIPアドレス
となります。
途中の長いテキストはセキュリティ関連の記載です。(次項)
DNSSEC関連レコード一覧
以下は、DNSセキュリティ(DNSSEC)の関連レコードです。
| レコード | 役割 |
|---|---|
| RRSIG | 署名本体 |
| DNSKEY | 公開鍵 |
| DS | 親ゾーンとの接続 |
| NSEC/NSEC3 | 存在しない証明 |
RRSIG
RRSIG(Resource Record Signature) はDNSSECで使われる「DNSレコードの電子署名」の本体です。
以下、フィールドの意味
| フィールド | 意味 |
|---|---|
| com. | 対象レコード名 |
| 86400 | TTL |
| IN | クラス |
| RRSIG | レコードタイプ |
| DS | 署名対象レコードタイプ |
| 8 | アルゴリズム番号(別表) どの暗号で署名されているか |
| 1 | ラベル数 |
| 86400 | 元レコードTTL |
| 20260306050000 | 有効期限 |
| 20260221040000 | 署名開始日時 |
| 21831 | キータグ:鍵の識別番号 |
| . | 署名ゾーン |
| ovitjlog… | 実際の電子署名 |
別表 主なアルゴリズム番号
| アルゴリズム番号 | 使用されている暗号 | 暗号の状況 | 評価 |
|---|---|---|---|
| 1 | RSA/MD5 | 古い方式 | ❌ 廃止 |
| 3 | DSA/SHA1 | DSA署名 | ❌ 非推奨 |
| 5 | RSA/SHA-1 | 初期DNSSEC | ⚠ 非推奨 |
| 7 | RSASHA1-NSEC3-SHA1 | NSEC3用 | ⚠ 非推奨 |
| 8 | RSA/SHA-256 | 現在主流 | ⭕ 推奨 |
| 10 | RSA/SHA-512 | 高強度RSA | ⭕ |
| 13 | ECDSA P-256 / SHA-256 | 軽量・高速 | ⭕ 推奨 |
| 14 | ECDSA P-384 / SHA-384 | 高強度ECC | ⭕ |
| 15 | Ed25519 | 高速・安全 | ⭕ 最新推奨 |
| 16 | Ed448 | さらに高強度 | ⭕ |
赤下線は現在の主流 青下線はセキュリティ上問題あり
DNSSECの検証時、対応するDNSKEYと同じアルゴリズムで署名検証が行われます
セキュリティ視点での観察ポイント
| 観察ポイント | チェックする内容 |
|---|---|
| 有効期限 | 署名切れの検出 |
| アルゴリズム番号 | 使用する暗号の弱さを確認 |
| キータグ | 鍵ローテーション確認 |
| RRSIGの有無 | DNSSECが有効かどうか |
nslookupとの違い
“nslookup” は、DNSサーバーへ問い合わせを行い、ドメイン名からIPアドレス(正引き)やIPアドレスからドメイン名(逆引き)を取得するネットワーク診断コマンドです。
nslookup ドメイン名 [リゾルバ]
nslookup IPアドレス ➡️逆引き
nslookup –type=レコードタイプ ドメイン名 ➡️レコードタイプを指定して問合せ
旧コマンドの “nslookup” との比較
| dig | nslookup | |
|---|---|---|
| 情報量 | 詳細 | 少なめ |
| 自動化 | しやすい | やや弱い |
| 備考 | 主流 | 非推奨傾向 |
まとめ
まとめと言いながらも、今回はあまりまとまり無くdigコマンドについての追加情報を投稿しました。
まあ今回は資料編ということで。
最近本職仕事が忙しくなってしまって(定年間近なのに…)ブログに十分に手が回りません。(言い訳)
ヘルプ
以下は “dig” コマンドのヘルプです。
付)オープンリゾルバについて
オープンリゾルバとは一般に公開されているDNSリゾルバです。下記は一例です。
| IP | 運営 | 備考 |
|---|---|---|
| 1.1.1.1 | Cloudflare | 速度・プライバシー |
| 8.8.8.8 | Google Public DNS | 安定性 |
| 9.9.9.9 | Quad9 | マルウェア対策 |
それぞれのDNSリゾルバを用いて問合せを行った結果。
結果自体は同じものが返ってきています。(当たり前ですけど)
3者(1,1,1,1)(8.8.8.8)(9.9.9.9)の問合せ時間は、それぞれ212mSec, 136mSec, 20mSecでした。
オープンリゾルバのうち優秀なものを見つけ出してくれるツールもあります。
コメント