「dnsdist」の主な特徴

インターフェース機能

■dnsdistコンソール

dnsdistは、「暗号化されたTCP接続」を介して、コマンドラインコンソールにアクセスできます。

「DNS問題デバッグ」や「統計取得」などのタスクを実施できます。

コンソールは、実際にはLua環境へのインターフェースであり、構成ファイルが動作する場所でもあります。

■組み込みWebサーバ

dnsdistに対して「組み込みWebサーバ」を介した視覚的なアクセスにより、各種情報を参照できます。
・進行中のルール
・パフォーマンス状況
・CPU負荷
・バックエンドサーバ　など

■API

組み込みWebサーバ経由でAPIにアクセスできます。

サポートセキュリティプロトコル

■DNS over HTTPS

dnsdistは、「着信クエリ」および「発信クエリ」に対して、「DNS over HTTPS」をサポートしています。

「DNS over HTTPS」とは、HTTPS接続を介した暗号化された方法でドメインネームサーバ情報を通信するインターネットセキュリティプロトコルです。

■DNS over TLS

dnsdistは、「着信クエリ」に対して、「DNS over TLS」をサポートしています。

「DNS over TLS」とは、クエリを暗号化できるセキュリティプロトコルの1つです。

これにより、「Webページにアクセスしたときに実施するDNS要求がフィルタリングされる」「中間者攻撃で表示される」などの事象を防ぐことができます。

■DNSCrypt

dnsdistは、「DNSCryptサーバ」として使用でき、クエリをダウンストリームサーバに転送する前に、応答をカーブバックできます。

「DNSCrypt」とは、DNSトラフィック認証に役立つネットワークプロトコルです。

暗号化方式である「楕円曲線暗号化」を採用し、DNSスプーフィングに対する保護が効果的に提供され、「クライアント側とサーバ側のクエリの整合性」を保証します。

動的ルール生成機能

動的ルールは、短期間のルールであり、「構成可能なしきい値」と「最近受信したトラフィック分析」に基づいて自動的に挿入され、構成可能な時間が経過すると自動的に削除されます。

サーバプール機能

dnsdistには「サーバプール」の概念があり、任意の数のサーバをグループに含めることができます。

バックエンドに送信する必要のある着信クエリは「サーバプール」に割り当てられ、一般的なケースでは、未処理クエリ数が最も少ないサーバへ送信されます。

パケットキャッシュ機能

dnsdistは、シンプルで効果的な「パケットキャッシュ機能」を実装します。

プール単位で有効になりますが、同じキャッシュを複数のプール間で共有できます。

参考サイト
→dnsdist.org
→itigic.com　→DNS over TLS: What Is It and Why Is It Important for Security
→heimdalsecurity.com　→DNS over HTTPS (DoH): Definition, Implementation, Benefits, and More
→internetx.com　→DNSCrypt. What it is. How it works. What it’s used for.
→berthub.eu　→dnsdist fundamentals