[ 通常表示 ]  [ 簡易表示 ]  [ シンプル表示 ]

「分かりそう」で「分からない」でも「分かった」気になれるIT用語辞典イメージぴよ画像「分かりそう」で「分からない」でも「分かった」気になれるIT用語辞典

オープンリゾルバ (open resolver)

pointこの用語のポイント

pointDNSサーバだよ

pointアクセス元の制限をしていないよ

point誰でもウェルカムな状態になっているので、悪いことに利用されやすいよ

スポンサーリンク

簡単に書くよ

オープンリゾルバ (open resolver)とは

誰でもウェルカムな状態になっているDNSサーバさんのこと。
もう少し詳しく書くと

アクセス元の制限をしておらず、どこからの問い合わせに対しても対応しちゃうフルサービスリゾルバさん(DNSキャッシュサーバさん)のこと
です。

image piyo

詳しく書くよ

まず最初に留意事項です。

DNS
DNSサーバ
フルサービスリゾルバ


の意味が分からない方は、おそらく、ここから先を読むのは早いです。
これらの用語の意味を先に勉強してきてください。
のんびり、お待ちします。

ちょっと休憩

準備OKでしょうか?
それではオープンリゾルバの説明を始めます。

ズバリ!

「オープン」+「リゾルバ」で「オープンリゾルバ」です。

オープンリゾルバ

オープンは「来る者拒まず」と読み替えてください。
「おまえが誰でも平等に相手してやるよ」なニュアンスです。

オープンリゾルバ2

リゾルバは、ここでは「フルサービスリゾルバDNSキャッシュサーバ)」を指します。
フルサービスリゾルバさんは、どんな手を使おうともお問い合わせに答えてあげるのがお仕事のDNSサーバさんです。
自分で答えが分からないときは、他のDNSサーバさんに答えを訊きに行きます。

オープンリゾルバ3

つまり、来る者拒まず(誰でもウェルカム)なフルサービスリゾルバさんが「オープンリゾルバ」です。
人類平等、コンピュータも平等、誰でも分け隔てなく相手をしてあげます。

オープンリゾルバ4

あぁ、なんて素晴らしいのでしょう。人格者ですね。

そんな人格者なオープンリゾルバさんですが、悪気が無いだけに余計質が悪いのです。
一般的に、オープンリゾルバは「悪」とされています。「できれば止めてね」です。

それは何故でしょうか?

実はオープンリゾルバさんは悪い人たちの行う悪いことに利用されやすいのです。
いくつか例を見てみましょう。

DNSサーバさんはお問い合わせに答えるのがお仕事です。
「このドメイン名に対応するIPアドレスは何?」「このIPアドレスに対応するドメイン名は何?」という問い合わせに対して、えっちらおっちら調べて回答しています。

オープンリゾルバ5

このときの回答先は、当然、問い合わせてきた人になります。
ただし、この問い合わせてきた人が誰かについては、自己申告制です。

実際には「僕はピヨ太です。ドメイン名『i-3-i.info』に対応するIPアドレスを教えてください」のような形で問い合わせが行われています。
より正確に書くと「自分のIPアドレスは『198.51.100.2』です。ドメイン名『i-3-i.info』に対応するIPアドレスを教えてください」ですけどね。

オープンリゾルバ6

このとき、回答するDNSサーバさんはピヨ太君を名乗る人物が本当にピヨ太君かは確認しません。
自己申告を信じてピヨ太君に回答をします。

オープンリゾルバ7

ということはですよ。
悪い人がピヨ太君の振りをして問い合わせを行った場合でも、その回答はピヨ太君に行きます。

オープンリゾルバ8

その数が増えたらどうでしょう?
悪い人がいろんなDNSサーバさんに対して「僕はピヨ太です。ドメイン名『i-3-i.info』に対応するIPアドレスを教えてください」と問い合わせした場合です。

オープンリゾルバ9

そうですね。
ピヨ太君はただボーっとしているだけなのに、いろんなDNSサーバさんから回答が来きます。
相手をするのも大変でしょう。

オープンリゾルバ10

オープンリゾルバさんがあると、そんな嫌がらせがやりやすくなってしまうのです。
会員制のお店よりも誰でも入れるお店の方が、万引きするときの心理的抵抗は少なそうですよね。また仮に万引きが発生した際の犯人探しも、誰でも入れるお店の方が大変そうです。それと同じイメージです。

余談めいてしまいますが、このような嫌がらせのやり方は「DNS Amp攻撃」や「DNSリフレクター攻撃」と呼ばれています。

もう一つ例を見てみましょう。

フルサービスリゾルバさんは、他のDNSサーバさんに問い合わせた内容を、カンペにメモって一定期間保存しています。

オープンリゾルバ11

そして、カンペに記載のある内容の問い合わせがあった場合は、そのカンペの内容に従ってお返事してやるのです。
カンペに記載がない場合のみ、他のDNSサーバさんに問い合わせにいきます。

オープンリゾルバ12

詳細は割愛しますが、このカンペの内容を変な風に書き換えてしまう嫌がらせがあります。

例えば、元々ドメイン名「i-3-i.info」はIPアドレス「198.51.100.1」の「ぴよぴよサーバ」と関連付けられていました。
それをIPアドレス「198.51.100.2」のウイルスたっぷり「デビルサーバ」と関連付くように書き換えてしまいます。

オープンリゾルバ13

そうすると、どうなるでしょう?

そうですね。
「『i-3-i.info』のIPアドレスは何~?」な問い合わせに対して「『198.51.100.2』(デビルサーバ)だよ~」と答えるようになってしまいます。
本当はIPアドレス「198.51.100.1」のぴよぴよサーバに遊びに行ってまったりするはずが、IPアドレス「198.51.100.2」のデビルサーバに行って、ウィルスと格闘する羽目になります。

オープンリゾルバ14

このように「DNSサーバさんのカンペを書き換えて、問い合わせに対して変な回答をするようにする」といった嫌がらせのやり方があります。
手法自体はオープンリゾルバさんじゃなくても実施可能ですが、不特定多数の人が使えるオープンリゾルバさんの方が、悪用される可能性は高いってな理屈です。

ちなみに、カンペを使う仕組みは「キャッシュ」と言います。
そのため、このような嫌がらせのやり方には「DNSキャッシュポイズニング攻撃」という名前が付いています。

そんなところでしょうか。
オープンリゾルバさん自体は、誰でも使えるようになっているDNSサーバというだけで、特に悪い奴ではありません。
ただし、そのような純真無垢、親切心に溢れたDNSサーバさんが転がってることによって、悪い奴等が悪いことをしやすくなってしまうのです。

だからオープンリゾルバさんは悪者扱いされています。

image piyo2

一言でまとめるよ

まぁ「オープンリゾルバ」って単語が出てきたら「誰でもウェルカムなDNSサーバさんなんだな~」と、お考えください。

一番上に戻るよ
スポンサーリンク