<p>style_prompt</p> <p>本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">令和5年度 ネットワークスペシャリスト試験 午前Ⅱ 問11 EDNS0</h1> <p>DNSメッセージサイズの拡張仕様であるEDNS0の役割と、UDPパケットの断片化（フラグメンテーション）に伴うセキュリティ上の課題を問う問題。</p> <blockquote class="wp-block-quote is-layout-flow wp-block-quote-is-layout-flow"> <p>【問題】 DNSの拡張仕様(EDNS0)を利用する際に留意すべき点はどれか。</p> <p>ア　DNSメッセージを伝送するUDPパケットがネットワーク内でフラグメンテーション(IPパケットの分割)されることがある。 イ　IPv4では利用できないので，IPv4からIPv6への移行期間中は，DNS問い合わせをIPv4とIPv6の両方で行う必要がある。 ウ　共通鍵暗号方式によるメッセージ認証を併用する必要がある。 エ　信頼性を向上させるために，トランスポート層のプロトコルとしてTCPを使用しなければならない。</p> </blockquote> <h3 class="wp-block-heading">【解説】</h3> <p>EDNS0（Extension Mechanisms for DNS 0）は、従来のDNSプロトコル（RFC 1035）で規定されていた「UDPパケットは512バイトまで」という制限を拡張する仕様です。</p> <ol class="wp-block-list"> <li><p><strong>背景と必要性</strong> DNSSEC（DNS Security Extensions）の導入により、デジタル署名を含む応答メッセージが512バイトを超えるケースが増加しました。これに対応するため、EDNS0によって最大65,535バイトまでの受信可能サイズを通知できるようになりました。</p></li> <li><p><strong>フラグメンテーションの発生</strong> UDPで512バイト（イーサネットのMTUは約1,500バイト）を超える大きなパケットを送信すると、経路上でIPフラグメンテーションが発生する可能性が高まります。 $$ \text{UDP Payload} > \text{MTU} – \text{IP/UDP Headers} \Rightarrow \text{Fragmentation} $$</p></li> <li><p><strong>セキュリティ上のリスク</strong> 分割されたパケット（第2フラグメント以降）にはUDPヘッダーが含まれないため、ファイアウォールによるポート番号での制御を回避されたり、キャッシュポイズニング攻撃に悪用されたりするリスクが生じます。</p></li> </ol> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD A["DNS Client"] -- "EDNS0("Size: 4096")" --> B["DNS Server"] B -- "Large Response (>MTU)" --> C{Network/Router} C -- "Fragment 1" --> A C -- "Fragment 2" --> A style C fill:#f96,stroke:#333 </pre></div> <h3 class="wp-block-heading">【選択肢の吟味】</h3> <figure class="wp-block-table"><table> <thead> <tr> <th style="text-align:left;">選択肢</th> <th style="text-align:center;">判定</th> <th style="text-align:left;">解説</th> </tr> </thead> <tbody> <tr> <td style="text-align:left;"><strong>ア</strong></td> <td style="text-align:center;"><strong>正解</strong></td> <td style="text-align:left;">EDNS0により大きなUDPパケットが生成されるため、MTU制限を超えるとフラグメンテーションが発生する。</td> </tr> <tr> <td style="text-align:left;"><strong>イ</strong></td> <td style="text-align:center;">誤り</td> <td style="text-align:left;">EDNS0はIPv4とIPv6の両方で利用可能な拡張仕様であり、IPバージョンに依存しない。</td> </tr> <tr> <td style="text-align:left;"><strong>ウ</strong></td> <td style="text-align:center;">誤り</td> <td style="text-align:left;">共通鍵暗号（TSIGなど）は認証のための別仕様であり、EDNS0の利用に必須ではない。</td> </tr> <tr> <td style="text-align:left;"><strong>エ</strong></td> <td style="text-align:center;">誤り</td> <td style="text-align:left;">EDNS0はUDP通信の拡張を目的とした仕様である。TCPへの切り替えは「TCビット（切り詰め）」による別動作。</td> </tr> </tbody> </table></figure> <h3 class="wp-block-heading">【ポイント】</h3> <ul class="wp-block-list"> <li><p><strong>EDNS0の目的</strong>：UDPパケットの512バイト制限を緩和し、DNSSEC等の大きなデータを扱う。</p></li> <li><p><strong>フラグメンテーション</strong>：UDPサイズ拡大により発生し、FWの通過拒否や攻撃の起点となる。</p></li> <li><p><strong>DNSSECとの関係</strong>：DNSSEC運用時には、大きな応答を支えるEDNS0のサポートが事実上必須。</p></li> </ul>

graph TD
    A["DNS Client"] -- "EDNS0("Size: 4096")" --> B["DNS Server"]
    B -- "Large Response (>MTU)" --> C{Network/Router}
    C -- "Fragment 1" --> A
    C -- "Fragment 2" --> A
    style C fill:#f96,stroke:#333