ゾーン転送の仕組みについて教えてください：DNS Tips

DNSにおける「ゾーン転送」の役割と、その仕組みについて解説する。

[坂口 智哉（JPRS），＠IT]

　DNSにおけるゾーン転送とは、権威DNSサーバに設定されるゾーン情報を複数のサーバで同期するための手法の一つであり、DNSプロトコルで規定されたゾーン更新通知の”NOTIFY”とゾーン転送要求の”AXFR”または”IXFR”を組み合わせた仕組みである。

図1 ゾーン転送の流れ

　図1は、ゾーン転送の流れを示した図である。ゾーン情報が更新された場合に、転送元サーバAから転送先サーバBへ、ゾーンの更新を通知するNOTIFYクエリが送信される。NOTIFYクエリを受け取った転送先サーバBは、転送元サーバAへゾーン転送要求としてAXFRクエリまたはIXFRクエリを送信する。そして転送元サーバAは、受け取ったゾーン転送要求に対してゾーン情報を応答し、転送元と転送先でゾーン情報が同期される。

　AXFRは、対象のゾーン情報全てを転送する仕組みである。一方、IXFRは、前回からのゾーン情報の差分のみを転送する仕組みである。例えば、大量のレコードが含まれるゾーン情報に対して部分的に更新を行った場合などに、IXFRであれば転送するデータ量を抑えることができる。

　また、仮にゾーン情報が悪意を持つ第三者の手に渡った場合、ホスト名やIPアドレス情報の一覧が流出し、潜在的な脅威の増加につながる危険性がある。従って、ゾーン転送では、第三者がゾーン情報を取得できないように適切なアクセス制御を行うことが重要である。アクセス制御の方法としては、IPアドレスの指定によるものの他、「TSIG（Transaction SIGnature）」という共通鍵を使った方法がある。

坂口 智哉（さかぐち ともや）

所属：株式会社日本レジストリサービス（JPRS） システム部

2008年にJPRS入社。社内DNSサーバの運用を行うとともに、JP DNSサーバ、およびその周辺ネットワークの管理運用に従事。また、ルートサーバの1つであるMルートサーバの運用にもたずさわる。

著書・執筆：「実践DNS」（アスキーメディアワークス、2011年5月、民田雅人、森下泰宏、坂口智哉共著）。2009年〜2010年「月刊ASCII.technologies」（アスキーメディアワークス）の連載記事「正しく学ぶDNS」の一部執筆を担当。