あなたも「プレミアムDNS」という言葉が出てきたのをおそらく聞いても深く考えたことがないでしょう。プレミアムDNSプロバイダーを使用することが役立つことを知っているが、わざわざ採用しないか、採用方法を知らない人が多いでしょう。

2016年10月21日、史上最大のDDoS攻撃が発生し、PayPal、Spotify、Twitter、Reddit、eBayなどの大企業がダウンしました。インターネットのDNS世界の滅亡の日とも呼ばれています。今日は、プレミアムDNSプロバイダーが正しく設定されていればこのような状況の中でWordPressサイトがダウンするのをどのように防ぐ
ことができるかについて詳しく説明します。

DNSとは?

DNS(ドメインネームシステム)はインターネットのバックボーンです。ワールドワイドウェブの「電話帳」のようなものです。アクセスするすべてのウェブサイトとドメインはIPアドレスにマッピングされます。

Google.comをアドレスバーに入力すると、ISPによってDNSクエリが実行され、ドメインのネームサーバーが要求されます。IPアドレスへのマッピングがサーバーによって舞台裏で行われるため、ドメイン名を使用してIPアドレスにアクセスできるようになります。DNSがなければ、Googleにアクセスするには216.58.217.206を入力する必要があります。楽しいでしょう。

DNSの仕組み
DNSの仕組み

ドメインを登録すると、ドメイン登録機関は通常、無料のDNSサービスを提供します。たとえば、NameCheap、GoDaddy、Google Domainsなどのすべてでは、ネームサーバーを設定し、ドメインをウェブホストのIPアドレスにルーティングすることができます。 Google Domainsは非常に大規模なインフラストラクチャを備えているため、最高のドメイン登録機関に提供される無料のDNSサービスであるでしょう。他の人気のある無料DNSプロバイダーには、CloudflareHurricane Electric Internet Servicesなどがあります。他の代替品については、こちらの無料DNSプロバイダーの10選をご覧ください。

ただし、ビジネスとウェブサイトについて真剣に考えている場合は、プレミアムDNSプロバイダーを使用することを強くお勧めします。これについては、以下で詳しく説明します。

インターネット全体に影響を与えたDNS攻撃

2016年10月21日、多くの企業で最悪のことが起こりました。人気の高いプレミアムDNSプロバイダーであるDynで、大規模な分散型サービス拒否(DDoS)攻撃が発生し、サービスやサイトをダウンし始めました。

簡単に説明すると、攻撃者がDynのネームサーバーをダウンさせることができたため、前述のように、DNSルックアップが失敗し始めました。Dynは公式ステータスページで攻撃ついて報告し始め、約11時間続いた攻撃全体を通して一貫した更新を提供することができました。

DynのDNSのDDoS攻撃のステータスページ
DynのDNSのDDoS攻撃のステータスページ

以下は、DynatraceのSaaS顧客の1人が21日金曜日にDNSモニタリングアプリケーションで見た画面の例です。攻撃は米国の東海岸に集中していましたが、米国全体とヨーロッパ全体に波及しました。

DDoS攻撃の地図
DDoS攻撃の地図

影響を受ける企業には、Twitter、Amazon、Github、Shopify、Weather.com、Basecamp、Freshbooks、SoundCloud、Spotify、Netflix、Reddit、Disqus、PayPal、その他数百の有名企業が含まれます。Kinstaでは、チケットとチャットのサポートシステムであるIntercomにも影響が出ていることに気づきました。攻撃は現在、53番ポート上でマスクされたTCP/UDPトラフィックを悪用していた、己増殖型マルウェアに感染したデバイスのネットワークであるMiraiボットネットに起因したと考えられます。

このようなことが起こったために、企業はDNS戦略を改定する必要があります。セカンダリDNSプロバイダーをフェイルオーバーとして設定すると、上記のような問題が発生したときに冗長性が提供されます。そして、少なくとも無料のDNSプロバイダーではなく、どちらかといえば、このような問題を処理するための設備が整っているプレミアムDNSプロバイダーを使用することをお勧めします。大規模な攻撃はまれですが、一般のDDoS攻撃はかなりよくあることです。easyDNSのデータによると、時間の経過とともにDDoS攻撃はさらに悪化しています。

時間の経過とともにDDoS攻撃はさらに悪化している
時間の経過とともにDDoS攻撃はさらに悪化している

10月31日、本稿執筆の時点でさえ、大型ドメイン登録機関である123 Regは、DNSに対するDDoS攻撃と戦っています。今後も、攻撃数は増加するでしょう。

プレミアムDNSプロバイダーの利点

優れた無料のDNSプロバイダーは多いですが、プレミアムDNSプロバイダーには、キュリティ、DNSフェイルオーバー、パフォーマンスの向上など、ウェブサイトを確実にオンラインに保つための多くの利点があります。

1. セキュリティ:大規模な攻撃に対応

大型プレミアムDNSプロバイダーの方は、21日の金曜日のような大規模なDDoS攻撃からユーザーを保護する優れた設備を備えているでしょう。Dynは非常に評判の良い会社であり、ダウンタイムがあっても、顧客に常に情報を提供しながら、24時間体制でサービスを復旧させるために最善を尽くしました。攻撃は600 Gb/秒でこれまでに記録された最大の攻撃であったことを覚えておくことが重要です。もしも同じ攻撃が無料または中小企業のDNSプロバイダーに対して発生した場合、その結果は顧客にとってさらに壊滅的であったと想定できます。

DynのEVPであるScottは、10月26日に公式声明を発表しました。

この攻撃により、インターネットのセキュリティと不安定さに関する重要な会話が始められました。「モノのインターネット」(IOT)デバイスのセキュリティの脆弱性に対処する必要があることが強調されただけでなく、インターネットの将来についてのインターネットインフラストラクチャコミュニティでのさらなる対話も行われるようになりました。これまでと同じように、その対話に貢献できることを楽しみにしています。

2. フェイルオーバーDNS戦略

企業はDNS戦略を改定し、フェイルオーバーを導入する必要があります。Canopyの共同創設者であるBrian Armstrongは、2014年に「あなたも私たちと同じようにDNSを間違っているかもしれません」と題する素晴らしい記事を書きました。これは、彼らのDNSプロバイダーであるDNSimpleがDDoS攻撃でダウンした後でした。彼はTTLの問題に触れ、企業はTTLを長くする必要があると述べています。TTL(Time to live)はキャッシュが削除される前にデータが経過する可能性がある時間のことです。たとえば、TTLが1週間で、DNSプロバイダーが1日ダウンした場合、ISPがDNSをキャッシュしているため、ユーザーが影響を受けない可能性が高くなります。

ただし、TTLを高く設定することに欠点もあります。21日の金曜日に、2番目のDNSプロバイダーを追加しても、TTLは数分ではなく数日または数週間で期限切れになるように設定されていたため、少しも変わりませんでした。解決は、事前に複数のDNSプロバイダーをセットアップすることです。TTLが長いことは良いことですが、複数のDNSプロバイダーのフェイルオーバー戦略と組み合わせて使用する必要があります。DNSのTTL設定については、当社の詳細記事をご参照ください。

コミュニティは共同で商用またはオープンソースのソリューションを考え出して、ベンダー間でDNS構成に(フェイルオーバー、ジオ負荷分散などの複雑なDNS設定に関する)互換性を持たせる必要があります。これはオプションではなく、マストになりました。– Catchpoint

フェイルオーバーのセカンダリDNSを設定する方法に関するチュートリアルを提供するプレミアムDNSプロバイダーは多いです。推奨構成は、複数のDNSプロバイダーで冗長ネームサーバーをセットアップすることです。

また、セカンダリDNSの設定によっては、DNSのパフォーマンスに良い影響を与える可能性も悪影響を与える可能性もあることにご注意ください。DNS Made Easyには、この件についてもう少し詳しく説明する優れたウェビナーがあります。

3. パフォーマンス

プレミアムDNSのもう一つの利点はスピードです!GoDaddyやNamecheapなどのドメイン登録機関によって提供される無料のDNSは通常、非常に低速です。Google Domainsは、大規模なインフラストラクチャを持っているという理由だけで、おそらく上記が当てはまらない事例です。 DNSプロバイダーには、CDNと同様に、世界中に複数のPOPがあります。 Amazon、Cloudflare、Dyn、DNS Made Easyなどの大型DNSプロバイダーはすべて、低遅延環境のDNS用に特別に設計された大規模なインフラストラクチャを備えています。

そこで、SolveDNSスピードテストツールを使用して、いくつかのテストを実行してみました。以下は、NameCheapの無料DNSを使用したドメインとその応答時間の例です。

NameCheapの無料のDNS

無料のDNSのスピードテスト
無料のDNSのスピードテスト

以下は、Amazon Route 53のプレミアムDNSを使用した例です。ご覧のように、AmazonではDNSルックアップ時間がはるかに高速です。プロバイダーに対しての独自のテストを実行できますが、ホスティング会社の場合と同様に、高速なプロバイダーもあれば低速なプロバイダーもあることを覚えておきましょう。通常、プレミアムDNSプロバイダーの方が高速です。Cloudflareはパフォーマンスの良い無料のプロバイダーですが、複数のDNSプロバイダーを実行する場合は注意が必要です。

Amazon Route 53のDNS

AmazonのプレミアムDNSのスピードテスト
AmazonのプレミアムDNSのスピードテスト

プレミアムDNSのKinstaでの設定方法

KinstaはプレミアムDNSが重要であると考えているため、グローバルなAnycastネットワークであるAmazon Route 53と提携しています。Amazon Route 53はDNSフェイルオーバーと、レイテンシおよびジオロケーションのルーティングを提供し、ウェブサイトが常にオンラインで安定していることを確保します。ルーティングは、DNSが確実に最も遅延の少ない最も近い場所にルーティングされるようになるため、特に重要です。Amazon Route 53プレミアムDNSは、Kinstaのすべてのお客様に無料でご利用いただけます!WordPressサイトで設定するには、以下の手順に従ってください。

ステップ1

MyKinstaダッシュボードで「Kinsta DNS」をクリックします。

KinstaのAmazon Route 53のDNS
KinstaのAmazon Route 53のDNS

ステップ2

右上の「ドメインの追加」をクリックします。

Kinsta DNSへのドメインの追加
Kinsta DNSへのドメインの追加

ステップ3

次に、右上の「レコードの追加」をクリックしてDNSレコードを追加します。AレコードはKinsta IPアドレスを指す必要があります。ご利用いただけるレコードは次の通りです。

  • A
  • CNAME
  • MX
  • SPF
  • TXT
  • SRV
  • AAAA
  • DKIM
プレミアムDNSレコード
プレミアムDNSレコード

ステップ4

次に、ドメイン登録機関またはサードパーティのDNSプロバイダーにAmazonのネームサーバーを追加する必要があります。ネームサーバーにアクセスするには、「DNSレコード」ページの「ネームサーバー」をクリックします。

プレミアムDNSネームサーバー
プレミアムDNSネームサーバー

以上です!これで、DNSがAmazon Route 53経由で配信されるようになりました。

まとめ

CatchpointとDynのEVPが述べたように、最近の事件をきっかけに、企業がDNS戦略とWebセキュリティ全般を改定しています。21日の金曜日に起こったダウンタイムのせいで数百万ドルを失ってしまった企業もあります。プレミアムDNSプロバイダーを使用しながら、セカンダリプロバイダーでDNSフェールオーバー戦略を実行することは、これまで以上に重要になりました。次のDDoS攻撃はいつ発生するだろうか分からないため、準備が必要です。

プレミアムDNSプロバイダーについてあなた自身の考えはありますか?コメントでも書いて、ご意見をお寄せください。

Brian Jackson

Brianの最大の情熱の一つは10年以上使用してきたWordPressです。複数のプレミアムプラグインさえ開発しています。Brianの趣味はブログや映画やハイキングなどです。TwitterでBrianとつながりましょう。