El Servicio DNS

Definicin
El Domain Name System (DNS) es una base de datos

distribuida y jerrquica que almacena informacin asociada a nombres de dominio en redes como Internet. (Wikipedia)

Caractersticas
El protocolo DNS se encuentra en el nivel de aplicacin, y

est asociado al puerto 53 tanto por UDP como por TCP. Su implementacin se encuentra definida en los RFC 1034 y 1035.
http://www.rfc-es.org/rfc/rfc1034-es.txt http://www.ietf.org/rfc/rfc1035.txt

Historia
Inicialmente la tabla que relacionaba nombres con ips estaba

almacenada en un fichero de texto en el equipo (hosts.txt). Y durante la noche esta tabla se actualizaba. A medida que creca Internet, ese fichero se haca demasiado grande, as que se desarroll el servicio DNS que apareci en 1983.

Espacio de nombres de dominio

La base de datos distribuida de DNS est indexada por

nombres de dominio. Cada nombre de dominio es una trayectoria en un rbol invertido denominado espacio de nombres de dominio. El rbol tiene una nica raz en el nivel superior (root). La profundidad del rbol est limitada a 127 niveles.

Espacio de nombres de dominio

Espacio de nombres de dominio

Cada nodo en el rbol se identifica con una etiqueta no nula de

hasta 63 caracteres, menos el nodo raz, que tiene una etiqueta nula. El nombre de dominio de cualquier nodo est formado por la secuencia de etiquetas que forman la trayectoria desde dicho nodo hasta la raz separadas mediante puntos. A este nombre de dominio absoluto se le conoce como nombre de dominio completamente cualificado o Fully Qualified Domain Name (FQDN). Al ser nula la etiqueta que identifica el nodo raz, el FQDN de cualquier nodo del rbol siempre acaba con un punto. La nica restriccin es que los nodos hijos del mismo padre tengan etiquetas diferentes.

Espacio de nombres de dominio

Se denomina dominio a cualquier subrbol del espacio

de nombres de dominio. De esta forma, cada dominio puede contener, a su vez, otros dominios. Generalmente, los hosts estn representados por las hojas del rbol.

Espacio de nombres de dominio

Los dominios originales de primer nivel dividan

el espacio de nombres de Internet en siete dominios: com, edu, gov, mil, net, org, e int. Posteriormente, para acomodar el crecimiento y la internacionalizacin de Internet, se reservaron nuevos dominios de primer nivel que hacan referencia a pases individuales: es, de, fr, cu Actualmente, han surgido nuevos nombres que se ajustan a los tiempos que corren: .info, .biz, .coop, .aero, .jobs, .travel

Delegacin
El objetivo principal del diseo del sistema de nombres

de dominio en forma jerrquica fue su administracin descentralizada. Este objetivo se consigue a travs de la delegacin. Una organizacin que administra un dominio puede dividirla en subdominios. Cada subdominio puede ser delegado a diferentes organizaciones, lo cual implica que esa organizacin ser responsable de mantener los datos de ese subdominio.

Delegacin

Delegacin
La divisin de un dominio en subdominios y la

delegacin de dichos subdominios son cosas distintas. Un dominio que tenga capacidad de autogestin (autoridad), siempre puede decidir subdividirse en diferentes subdominios. Posteriormente, se puede decidir delegar la autoridad de algunos sus subdominios en otras organizaciones. La delegacin es una accin que siempre decide el dominio padre, y ste puede revocarla cuando desee, volviendo a retomar la autoridad sobre el subdominio que haba delegado.

Dominios y Zonas
Cada servidor de nombres posee generalmente

informacin completa sobre una parte contigua del espacio de nombres. Dicha parte del espacio se denomina zona, y se dice que el servidor de nombres tiene autoridad sobre ella. Un servidor de nombres puede tener autoridad sobre mltiples zonas, y obtiene la informacin que describe la zona (los registros de recursos) o bien de un fichero local o bien de otro servidor de nombres.

Servidores primarios y secundarios

DNS define dos tipos de servidores de nombres que mantienen informacin sobre el espacio de nombres: Un servidor primario (maestro) para una zona lee los datos de la zona desde un fichero que l mantiene. Un servidor secundario (esclavo) para una zona obtiene los datos de la zona desde otro servidor de nombres que es autoritario para la zona, llamado servidor maestro.

Servidores primarios y secundarios

Cuando un servidor de nombres secundario arranca, se pone

en contacto con su servidor maestro e inicia una transferencia de zona, es decir, una actualizacin de su informacin sobre la zona. Peridicamente (normalmente cada 3 horas) el servidor secundario contacta maestro para ver si los datos de zona han cambiado. Los servidores secundarios dan tolerancia a errores y reduce la carga en el servidor primario.

Servidores cach
Un servidor es cach cuando no tiene informacin de

ninguna zona y slo resuelve consultas de los clientes. Sirven para acelerar las consultas.

Tipos de bsqueda DNS

Cuando un cliente desea obtener la direccin IP de una

mquina, pregunta al servidor de nombres de su dominio. Entonces el servidor de nombres mira sus tablas a ver si all consigue el nombre por el que le preguntan. Si es as, entonces devuelve la direccin IP. Si la informacin pertenece a otro dominio, el servidor de nombres busca en su cach y si no est all entonces comienza el proceso de resolucin que puede ser Recursivo o Iterativo.

Tipos de bsqueda DNS

Recursiva: Un servidor de nombres enva una

respuesta recursiva cuando es el servidor y no el cliente el que pregunta a otros servidores de nombres por la informacin solicitada del dominio. Esto ocurre cuando el servidor de nombres sabe que el resolver no tiene la inteligencia para manejar una referencia a otro servidor de nombres (Es decir, el resolver hace explcitamente una pregunta recurrente).

Tipos de bsqueda DNS

Iterativa: El servidor de nombres da la mejor

respuesta, que ya sabe, a quien pregunt (es decir, da una referencia al servidor de nombres ms cercano a la informacin de dominio interrogado). Primero consulta sus datos locales, si no est all busca entonces en su cach y si an no encuentra nada devuelve la respuesta al servidor ms cercano al dominio buscado.

Tipos de bsqueda DNS

Recursivo

Iterativo

Tipos de zonas
En general, existen tres tipos distintos de zonas: zonas

de bsqueda directa, zonas de bsqueda inversa y zonas de "sugerencia raz". Un servidor DNS puede tener autoridad sobre varias zonas directas e inversas, y necesita poseer informacin sobre las "sugerencias raz" si desea responder a sus clientes sobre registros de zonas sobre las que no posee autoridad.

Tipos de zonas
Zona de bsqueda directa: Las zonas de bsqueda

directa contienen la informacin necesaria para resolver nombres en el dominio DNS. Deben incluir, al menos, registros SOA y NS, y pueden incluir cualquier otro tipo de registros de recurso, excepto el registro de recursos PTR.

Tipos de zonas
Zona de bsqueda inversa: A veces, un cliente ya

tiene la direccin IP de un equipo y desea determinar el nombre DNS de ese equipo. Para solucionar este problema se cre un dominio DNS especial para realizar bsquedas "inversas", denominado in-addr.arpa.

Tipos de zonas
El archivo de "sugerencias raz" (root hint), denominado

tambin archivo de sugerencias de cach, contiene la informacin de host necesaria para resolver nombres fuera de los dominios en los que el servidor posee autoridad. En concreto, este archivo contiene los nombres y las direcciones IP de los servidores DNS del dominio punto (.) o raz.

Configuracin de servidor DNS

La informacin de los servidores dns se encuentra

almacenada en sus archivos de zona, y las zonas estn compuestas de registros de recursos. El esquema de uno de estos recursos es el siguiente:
Propietario TTL Clase Tipo RDATA www IN A 156.34.24.67

Configuracin de servidor DNS

Propietario: nombre de host o del dominio DNS al que

pertenece este recurso. Puede contener un nombre de host/dominio, el smbolo "@" (que representa el nombre de la zona que se est describiendo) o una cadena vaca (equivale al propietario del registro anterior). TTL: (Time To Live) Tiempo de vida, generalmente expresado en segundos, que un servidor DNS o un resolver debe guardar en cach esta entrada antes de descartarla. Este campo es opcional. Tambin se puede indicar das, horas, minutos y segundos. "2h30m". Clase: define la familia de protocolos en uso. Suele ser "IN", que representa Internet. Tipo: identifica el tipo de registro. RDATA: los datos del registro de recursos.

Configuracin de servidor DNS

Los principales tipos de registros de recursos: SOA, NS, A,

PTR, CNAME, MX y SRV.

Propietario TTL Clase Tipo RDATA

Configuracin de servidor DNS

Registro SOA: Cada zona tiene un registro de recursos

denominado Inicio de Autoridad o SOA (Start Of Authority) al comienzo de la zona. Los registros SOA incluyen los siguientes campos: Propietario, Tipo, Persona responsable, Nmero de serie, Actualizacin, Reintentos, Caducidad y TTL Mnimo.

Configuracin de servidor DNS

Propietario: nombre de dominio de la zona. Tipo: "SOA". Persona responsable: contiene la direccin de correo electrnico del responsable de la zona. En esta direccin de correo, se utiliza un punto en el lugar del smbolo "@". Nmero de serie: muestra el nmero de versin de la zona, es decir, un nmero que sirve de referencia a los servidores secundarios de la zona para saber cundo deben proceder a una actualizacin de su base de datos de la zona (o transferencia de zona). Cuando el nmero de serie del servidor secundario sea menor que el nmero del maestro, esto significa que el maestro ha cambiado la zona, y por tanto el secundario debe solicitar al maestro una transferencia de zona. Por tanto, este nmero debe ser incrementado (manualmente) por el administrador de la zona cada vez que realiza un cambio en algn registro de la zona (en el servidor maestro). Actualizacin: muestra cada cunto tiempo un servidor secundario debe ponerse en contacto con el maestro para comprobar si ha habido cambios en la zona. Reintentos: define el tiempo que el servidor secundario, despus de enviar una solicitud de transferencia de zona, espera para obtener una respuesta del servidor maestro antes de volverlo a intentar. Caducidad: define el tiempo que el servidor secundario de la zona, despus de la transferencia de zona anterior, responder a las consultas de la zona antes de descartar la suya propia como no vlida. TTL mnimo: este campo especifica el tiempo de validez (o de vida) de las respuestas "negativas" que realiza el servidor. Una respuesta negativa significa que el servidor contesta que un registro no existe en la zona.

Ejemplo Registro SOA

ejemplo.es. SOA dns.ejemplo.es. hostmaster.ejemplo.es. ( 1999022301 ; serial YYYYMMDDnn 86400 ; refresh ( 24 hours) 7200 ; retry ( 2 hours) 3600000 ; expire (1000 hours) 172800 ) ; minimum TTL ( 2 days)

Configuracin de servidor DNS

Registro de Recurso NS: El registro de recursos NS

(Name Server) indica los servidores de nombres autorizados para la zona, tanto primarios como secundarios. Por tanto, cada zona debe contener, como mnimo, un registro NS. Ejemplo:

pepito.com. IN

NS

pc0100.admon.com.

Configuracin de servidor DNS

Registro de Recurso A: El tipo de registro de recursos A

(Address) asigna un nombre de dominio completamente cualificado (FQDN) a una direccin IP. Ejemplo:

pc01.aula2.pepito.com.

IN

158.42.178.1

Configuracin de servidor DNS

Registro de Recurso PTR: El registro de recursos PTR

(PoinTeR), realiza lo contrario al registro de tipo A, asigna un nombre de dominio completamente cualificado a una direccin IP. Este tipo se utilizan en la resolucin inversa. Ejemplo:
1.178.42.158.in-addr.arpa. IN PTR pc01.aula2.pepito.com.

Configuracin de servidor DNS

Registro de Recurso CNAME: El registro de nombre

cannico (CNAME, Canonical NAME) crea un alias (un sinnimo) para el nombre de dominio especificado. Ejemplo:
www.aula2.pepito.com. IN CNAME pc01.aula2.pepito.com.

Configuracin de servidor DNS

Registro de Recurso MX: El registro de recurso de

intercambio de correo (MX, Mail eXchange) especifica un servidor de intercambio de correo para un nombre de dominio. Ejemplo: correo.com. IN MX 0 pc01.pepito.com.

Comandos relacionados con DNS

ping como siempre nos permite saber si tenemos acceso

a una mquina y si est encendida. nslookup permite hacer consultas a los servidores dns. host permite hacer bsquedas en DNS. Puede convertir nombres en direcciones y viceversa. dig permite hacer consultas a servidores DNS, habitualmente para detectar problemas de configuracin. Para ms informacin mirar en el manual.

Peligros relacionados con DNS

DNS spoofing

Peligros relacionados con DNS

Ataques de denegacin de servicios (DoS): Consisten en

realizar muchas peticiones a un servidor hasta saturarlo.

Enlaces
Generalidades DNS
http://neo.lcc.uma.es/evirtual/cdd/tutorial/aplicacion/dns.html http://es.wikipedia.org/wiki/DNS

Servidor Bind9
http://www.liberaliatempus.com/articulos/linux/instalacion-de-un-servidor-dns-con-

bind.html http://www.gpltarragona.org/archives/421

Servidor W2003 Server

http://www.netveloper.com/contenido2.aspx?IDC=114_0
http://support.microsoft.com/kb/323417/es