dnsdistとは

dnsdistとは、DNSサービスのロードバランサーを実装するためのソフトウェアです。PowerDNSを開発したオランダのPowerDNS.COM BV社により開発され、オープンソースソフトウェアとして公開されています。dnsdistは様々なルールに従ったDNSのルーティングを行うことができます。この機能を利用することで、より便利で安全なDNSシステムを構築することができるようになります。

具体的にはdnsdistを利用すると、以下のような要望に応えることができます。

• 複数のDNSサーバに処理を分散したい
• 権威DNSサーバとキャッシュDNSサーバに問い合わせを振り分けたい
• DNSリクエストの流量制限を行いたい

dnsdistの特徴

dnsdistには以下のような特徴があります。

ルールに従った負荷分散

送信元IPアドレス、問い合わせされたリソースレコードの内容、DNSパケットの内容（RDフラグのON/OFF）等、問い合わせに含まれるデータをキーにしたルールを書くことができるため、様々な要件に対応することができます。

DNSトラフィックの流量制限によってDoS攻撃対策

dnsdistを利用して、DoS攻撃対策を行うことができます。DoS攻撃とは、サーバに大量のアクセスを実行し、過負荷状態にしてサービスがまともに動作しないようにする攻撃手法です。dnsdistは、「同一ネットワークからのDNS問い合わせ数を秒間10回までに制限する」というような流量制限を行うことができます。この機能により、DoS攻撃からDNSサーバを守ることも可能となり、より安全なDNSサービスを提供することができます。

統計情報の参照

dnsdistでは、視覚的にDNSの流量や分散先DNSサーバの状態（UP/DOWN）等を確認できます。これは、dnsdistが統計情報を参照するためのwebインターフェースを提供しているためです。

dnsdistの有効な利用方法

dnsdistを利用することで、BINDからの移行をスムーズに行うことができます。

オープンソースソフトウェアのDNSサーバではBINDが広く利用されてますが、クリティカルな脆弱性が多く発見されていることから、他のDNSサーバへの入れ替えを検討されているDNS管理者も少なくありません。

しかし、近年リリースされているDNSサーバの多くは、権威DNS機能とキャッシュDNS機能が別々に構成されています。そのため、権威DNSとキャッシュDNSを共用しているBINDから単純に置き換えることはできません。
このような場合、dnsdistでDNSリクエストを受け付け、dnsdistが権威DNSサーバとキャッシュDNSサーバにリクエストを分散することで、BINDと同構成のシステムを構築することができます。

デージーネットの取り組み

デージーネットでは、BINDとの性能比較を行うため、PowerDNSとdnsdistを組み合わせたDNSシステムのベンチマークを行いました。この結果、BINDよりも高速であるだけでなく、dnsdistのパケットキャッシュ機能を使えばPowerDNS単体の構成よりも高速にDNS応答を返すことができることがわかりました。
その結果、デージーネットではdnsdistを利用した安全性が高く、高速なDNSシステムを提案することができるようになりました。