ネットワークの設定やファイアウォールの管理を行っていると、「DNSのポート番号」という言葉に出会うことがあるでしょう。
DNSが使用するポート番号は決まっており、その仕組みを理解することはネットワーク管理やセキュリティ設計において非常に重要です。
この記事では、DNSのポート番号の意味・UDPとTCPの使い分け・セキュリティへの影響について、わかりやすく解説していきます。
ネットワークの基礎知識を固めたい方にとって、ぜひ押さえておきたい内容です。
DNSのポート番号は53番でUDPとTCPの両方を使用する
それではまず、DNSが使用するポート番号の基本について解説していきます。
DNSが使用するポート番号は53番であり、これはIANA(Internet Assigned Numbers Authority)によって標準的に割り当てられた番号です。
ポート53番はUDP(User Datagram Protocol)とTCP(Transmission Control Protocol)の両方で使用されており、通信の内容や状況によって使い分けられています。
ファイアウォールやルーターの設定でDNS通信を許可する際は、ポート53番のUDPおよびTCPの両方を開放することが必要でしょう。
DNSのポート番号53番は「ウェルノウンポート(Well-Known Port)」と呼ばれる0〜1023番の範囲に属します。
ウェルノウンポートはHTTPの80番・HTTPSの443番・SMTPの25番など、主要なインターネットサービスに割り当てられた予約済みのポート番号です。
53番がDNS専用として国際的に標準化されているため、世界中のネットワーク機器がDNS通信を識別・制御できます。
ポート番号とは何か
ポート番号とは、コンピューターが複数のネットワーク通信を同時に識別・管理するための番号です。
IPアドレスがネットワーク上のコンピューターを特定するための住所であるとすれば、ポート番号はそのコンピューター内のどのアプリケーションと通信するかを示す「部屋番号」にあたります。
ポート番号は0〜65535の範囲で定義されており、0〜1023番がウェルノウンポート・1024〜49151番が登録済みポート・49152〜65535番が動的ポートとして区分されています。
主要なプロトコルとポート番号の比較
DNSのポート53番を他の主要なプロトコルと比較すると、以下のようになります。
| プロトコル | ポート番号 | 使用するトランスポート |
|---|---|---|
| DNS | 53 | UDP・TCP |
| HTTP | 80 | TCP |
| HTTPS | 443 | TCP |
| SMTP | 25 | TCP |
| FTP | 21 | TCP |
| SSH | 22 | TCP |
| DoH(DNS over HTTPS) | 443 | TCP |
| DoT(DNS over TLS) | 853 | TCP |
DNSがUDPとTCPの両方を使用するという点は、他の多くのプロトコルと異なる特徴的な点です。
DNSにおけるウェルノウンポートの意味
ポート53番がウェルノウンポートとして標準化されていることで、世界中のDNSクライアントとサーバーが特別な設定なしに通信できます。
OSやネットワーク機器はポート53番の通信をDNSとして自動的に認識するため、設定の統一性とネットワーク管理の簡便性が実現しています。
一方で攻撃者もポート53番がほとんどのファイアウォールで開放されていることを知っており、DNSトンネリングなどの悪用につながるリスクもあります。
UDPとTCPの使い分けと役割の違い
続いては、DNSがUDPとTCPをどのように使い分けているかを確認していきます。
それぞれの特性と使用場面を理解することで、DNS通信の仕組みがより明確になります。
UDPが使われる場面と理由
DNSの通常の名前解決クエリには、主にUDPが使用されます。
UDPは接続確立のハンドシェイクが不要なコネクションレス型のプロトコルであるため、TCPに比べてオーバーヘッドが少なく、高速な通信が可能です。
DNSの問い合わせと応答は通常512バイト以下の小さなパケットで完結するため、信頼性よりも速度を優先したUDPが適しています。
名前解決の速度はユーザー体験に直結するため、軽量なUDPの採用はDNSの設計上非常に合理的な選択です。
TCPが使われる場面と理由
一方でTCPが使用されるのは、主に以下のような場面です。
| TCPが使われる場面 | 理由 |
|---|---|
| 応答サイズが512バイトを超える場合 | UDPでは大きなデータを扱えないため |
| EDNS0を使用しても収まらない大きな応答 | 信頼性の高いTCPで確実に転送するため |
| ゾーン転送(AXFR・IXFR) | 大量のゾーンデータを確実に転送するため |
| DNSSECを使用した署名付き応答 | 電子署名の付加により応答サイズが増大するため |
TCPは3ウェイハンドシェイクによる接続確立・パケットの順序保証・再送制御などの機能を持ち、大きなデータを確実に届けることが得意なプロトコルです。
EDNS0によるUDPパケットサイズの拡張
従来のDNSではUDPで扱えるパケットサイズが512バイトに制限されていましたが、EDNS0(Extension Mechanisms for DNS)の登場によってこの制限が緩和されました。
EDNS0を使用することで、UDPでも最大4096バイト程度の応答を扱えるようになっています。
DNSSECの普及により応答サイズが増大する傾向にある現在では、EDNS0の対応がDNSサーバーに求められる標準的な要件となっています。
ただしEDNS0に対応していないファイアウォールが応答をブロックするケースもあり、ネットワーク設計時には注意が必要でしょう。
ポート53番とセキュリティの関係
続いては、DNSのポート53番に関連するセキュリティ上の注意点と対策について確認していきます。
ポート53番が抱えるセキュリティリスク
ポート53番はほぼすべてのネットワーク環境で通信が許可されているため、攻撃者に悪用されるリスクがあります。
代表的なリスクとして、DNSトンネリング・DNSキャッシュポイズニング・DNSリフレクション攻撃(DDoS)・DNSハイジャックなどが挙げられます。
DNSリフレクション攻撃とは、攻撃者が送信元IPアドレスを偽造したDNSクエリを大量に送信し、DNSサーバーからの応答を標的のサーバーに集中させるDDoS攻撃です。
DNSの応答はクエリよりも大幅に大きいことが多く、増幅効果(アンプリフィケーション)によって少ない送信量で大きな攻撃トラフィックを生み出せてしまいます。
オープンリゾルバ(誰でも問い合わせできる状態のキャッシュDNSサーバー)がこの攻撃に悪用されるため、不特定多数からの問い合わせは制限することが重要です。
DoHとDoTによるDNS通信の暗号化
従来のDNS通信(ポート53番)は暗号化されていないため、通信経路上でのパケット盗聴や改ざんが可能でした。
この問題を解決するために登場したのが、DoH(DNS over HTTPS)とDoT(DNS over TLS)です。
DoH(DNS over HTTPS):ポート443番を使用
HTTPS通信にDNSクエリを乗せることで暗号化を実現します。
通常のHTTPS通信と見分けがつかないため、フィルタリングが難しいという特性があります。
DoT(DNS over TLS):ポート853番を使用
TLSプロトコルでDNS通信を暗号化します。
専用ポートを使用するため、ネットワーク管理者が識別・制御しやすいという特性があります。
DoHとDoTはプライバシー保護とセキュリティ強化の両面で注目されており、主要なブラウザやOSでのサポートが急速に進んでいます。
ファイアウォール設定におけるポート53番の管理
企業ネットワークにおけるファイアウォール設定では、ポート53番の通信を適切に管理することがセキュリティ上重要です。
社内クライアントからの外部DNS通信は、信頼できる特定のDNSサーバーへのみ許可し、任意の外部DNSサーバーへの直接通信を遮断することが推奨されます。
また、外部からポート53番への不審なアクセスを検知・記録する仕組みを設けることで、DNSを利用した攻撃の早期発見につながるでしょう。
DNS通信に関連するポート番号のまとめと最新動向
続いては、DNS関連のポート番号を整理するとともに、最新の動向について確認していきます。
DNS関連のポート番号一覧
DNSに関連するポート番号を整理すると以下のとおりです。
| プロトコル | ポート番号 | トランスポート | 用途 |
|---|---|---|---|
| DNS(標準) | 53 | UDP・TCP | 通常の名前解決・ゾーン転送 |
| DoT(DNS over TLS) | 853 | TCP | TLS暗号化によるDNS通信 |
| DoH(DNS over HTTPS) | 443 | TCP | HTTPS経由のDNS通信 |
| DoQ(DNS over QUIC) | 853 | UDP(QUIC) | QUICプロトコルを使った暗号化DNS |
新しい暗号化DNSプロトコルの登場により、DNS通信のセキュリティは大きく進化しています。
DNS over QUICの登場
DoQ(DNS over QUIC)は、Googleが開発したQUICプロトコルを使ってDNS通信を暗号化する新しい技術です。
QUICはUDPベースでありながらTCPのような信頼性と、TLSのような暗号化を兼ね備えており、従来のTCPベースのDoTやDoHよりも低レイテンシな通信が期待されます。
DoQはDNSの速度とセキュリティを両立させる次世代の技術として、今後の普及が注目されているでしょう。
ポート番号の管理がセキュリティ設計に与える影響
DNSのポート番号を正しく理解することは、ファイアウォールルールの設計・侵入検知システムの設定・ネットワーク監視の精度向上に直結します。
特にDoHの普及によりDNS通信が443番ポートのHTTPS通信に混在するようになると、従来のポートベースのフィルタリングだけでは不審なDNS通信を検知することが難しくなっています。
ディープパケットインスペクション(DPI)やDNS専用のセキュリティソリューションの活用が、現代のネットワークセキュリティに求められる対応といえるでしょう。
まとめ
この記事では、DNSのポート番号の意味・UDPとTCPの使い分け・セキュリティへの影響・最新動向について解説しました。
DNSはポート53番をUDPとTCPの両方で使用しており、通常の名前解決にはUDPが、大きなデータ転送やゾーン転送にはTCPが使われます。
ポート53番はほぼすべての環境で開放されているため、DNSトンネリングやDNSリフレクション攻撃などのセキュリティリスクを常に意識することが重要です。
DoH・DoT・DoQといった暗号化DNSプロトコルの普及により、DNS通信のセキュリティは大きく進化しており、今後もネットワーク管理者はこの動向を追い続ける必要があるでしょう。
DNSのポート番号への正しい理解が、安全で安定したネットワーク運用の基盤となります。
ぜひ本記事を参考に、DNS通信とポート管理への理解を深めてみてください。
