【仕組み解説】DNSはどうやってドメイン名をIPアドレスに変換するのか

いい質問だね。実はブラウザがWebサイトに接続するには「IPアドレス」という数字の住所が必要なんだ。でも人間が覚えやすいように「example.com」みたいなドメイン名を使っているよね。このドメイン名をIPアドレスに変換する仕組みが「DNS（Domain Name System）」なんだよ。

まさにそのイメージだよ。電話帳で「田中さん」の名前から電話番号を調べるのと同じで、DNSは「example.com」というドメイン名から「93.184.216.34」みたいなIPアドレスを調べてくれるんだ。この変換のことを「名前解決」と呼ぶんだよ。

まずブラウザが「DNSリゾルバ」に問い合わせるんだ。リゾルバはプロバイダが用意していることが多いね。リゾルバが答えを知らない場合は「ルートサーバー」に聞きに行く。ルートサーバーは「.comならこのTLDサーバーに聞いて」と教えてくれる。次にTLDサーバーが「example.comならこの権威サーバーに聞いて」と案内して、最後に権威サーバーが実際のIPアドレスを返してくれるんだよ。

そこで「キャッシュ」が活躍するんだ。一度調べた結果はリゾルバやブラウザが一時的に記憶しておくから、次に同じドメインにアクセスするときはすぐに答えが返ってくるよ。キャッシュの有効期限は「TTL（Time To Live）」で決まっていて、たとえばTTLが3600秒なら1時間はキャッシュが使われるんだよ。

惜しいけどちょっと違うんだ。ブラウザからリゾルバへの問い合わせが「再帰クエリ」で、「最終的な答えをちょうだい」というお願いだよ。一方、リゾルバがルートサーバーやTLDサーバーに聞いて回るのは「反復クエリ」で、「知ってる範囲でヒントをちょうだい」という問い合わせなんだ。リゾルバが代わりにあちこち聞いて回ってくれるから、ブラウザは1回聞くだけで済むんだよ。

そうだよ。DNSには「レコード」という単位でいろんな情報が登録されているんだ。Aレコードはドメインに対応するIPv4アドレス、AAAAレコードはIPv6アドレスを返す。CNAMEレコードは別のドメイン名へのエイリアスで、MXレコードはメールサーバーの宛先を指定するものだよ。他にもTXTレコードはドメインの所有確認やSPF設定に使われたりするんだ。

鋭いね。実は「DNSキャッシュポイズニング」という攻撃があるんだ。リゾルバのキャッシュに偽のIPアドレスを注入して、ユーザーを偽サイトに誘導する手口だよ。対策として最近は「DoH（DNS over HTTPS）」や「DoT（DNS over TLS）」といった暗号化された通信方式が普及してきているんだ。ChromeやFirefoxでは標準でDoHが使えるようになっているよ。

これはよくある誤解なんだけど、正確には「13のIPアドレス（13のルートサーバー群）」であって、物理的なサーバーは世界中に1,000台以上あるんだ。「Anycast」という技術で同じIPアドレスを複数の場所に配置して、一番近いサーバーが応答する仕組みになっているよ。だから1か所が止まってもすぐ別のサーバーが対応してくれるんだ。

「DNSSEC（DNS Security Extensions）」という仕組みがあるよ。これはDNSの応答に電子署名を付けて、返ってきた情報が途中で改ざんされていないことを検証できるようにするものなんだ。ルートゾーンから各ドメインまで「信頼の連鎖」でつながっていて、PKIと似た仕組みで安全性を担保しているよ。普段意識しないけど、インターネットの根幹を支える大切な技術だね。