1

Introduo ao DNS
Volnys Borges Bernal volnys@lsi.usp.br http://www.lsi.usp.br/~volnys Laboratrio de Sistemas Integrveis http://www.lsi.usp.br/

Agenda
o o o o o o o

O que DNS? Servidores DNS Requisio DNS Caching Autoritative e Delegated Implementaes de servidor de DNS Portas UDP e TCP utilizadas

O que DNS?

O que DNS?
o o o

Domain Name System Servio necessrio para todos os computadores que utilizam a Internet Servio que permite a resoluo dos nomes de um domnio v traduo: nome -> IP v traduo: IP -> nome Protocolo DNS v RFC 1034 - Domain Names - Concepts and Facilities v RFC 1035 - Domain Names - Implementation and Specification

O que DNS?
o

O funcionamento do protocolo DNS: v Existem dois tipos de entidades: Resolver

u u

entidade cliente realizam requisies para de resoluo de nomes/endereos

Name
u u u u

Server

entidade servidora respondem s requisies de resoluo de nome/endereo so capazes de traduzir nome para IP e vice versa necessrio existir no mnimo 2 servidores por domnio 1 servidor primrio 1 ou mais servidores secundrios

O que DNS?
o

Cliente (resolver) pede uma traduo ao servidor DNS

Servidor DNS Resolver

Domnio DNS

Resolver Resolver Resolver

Resolver

O que DNS?
o

Parece um servio simples, mas complexo v Base de dados distribuda pelo mundo v Um servidor de nomes tambm pode realizar requisies para outros Servidores de nomes

O que DNS?
o

Servidor pede traduo a um outro servidor

Servidor DNS Resolver

Servidor DNS Resolver Domnio DNS

Resolver Resolver Resolver

Resolver

O que DNS?
o

rvore de nomes da Internet v Semelhante a uma hierarquia de arquivos Exemplo: apolo.lsi.usp.br

raiz

com

gov

edu

br

com

gov

usp

lsi

lua

apolo

marte

10

O que DNS?
o

Nomes do primeiro nvel v com v edu v gov v mil v net v org v arpa v br v fr v us v .....

11

O que DNS?
o

Nome v Absoluto ou Full-qualified domain name (FQDN) apolo.lsi.usp.br. v Relativo apolo apolo.lsi apolo.lsi.usp apolo.lsi.usp.br Restries v Um n no pode ter dois ns filhos com o mesmo nome v Nomes so de no mximo de 63 bytes v Caracteres vlidos: a-Z a-z 0-9 . -

12

O que DNS?
o

Domnio de nomes v Sub-rvore

com gov

.
edu br

domnio usp.br.
usp

com

gov

lsi

router apolo jujuba

domnio lsi.usp.br.

13

Exemplo
o

Pedindo para traduzir um nome v nslookup apolo.lsi.usp.br www.lsi.usp.br exit Pedindo para traduzir um endereo v nslookup 143.107.161.220 exit

14

Exemplo
o

Perguntando quais so os name servers de um domnio v nslookup set q=NS lsi.usp.br exit Perguntando dados sobre um domnio v nslookup set q=SOA lsi.usp.br exit

15

Exemplo
o

Perguntando quais so os mail exchangers de um domnio v nslookup set q=MX lsi.usp.br exit

16

Servidores DNS

17

Servidores DNS
o

Existem milhares de servidores de nomes espalhados pelo mundo. Podem ser divididos em: v Root Name Servers So os servidores responsveis pelo domnio da raiz v Servidores de zona (domnio) So os servidores dos outros domnios

18

Servidores DNS
o

Root Name Servers v Respondem requisies sobre servidores de nomes do primeiro nvel da rvore v Existem vrios Root Name Servers espalhados pelo mundo v Quando um servidor local no consegue resolver um determinada requisio esta repassada a um Root Name Server. v Fundamental para o servio DNS: se todos falharem todas as resolues na Internet iro falhar v Os Name Servers devem possuir uma lista atualizada de todos os Root Name Servers

19

Servidores DNS
o

Para cada domnio Internet so necessrios ao menos 2 servidores: v um servidor primrio servidor que contm o mapa do domnio geralmente localizado no prprio domnio v um ou mais servidores secundrios buscam do servidor primrio os mapas do domnio obrigatoriamente em um site diferente do domnio garante confiabilidade do servio

20

Resolvers

21

Resolvers
o o

O resolver deve ser configurado em cada maquina Informaes necessrias para configurar um resolver: v domain: domnio ao qual o nome do computador pertence v nameservers: servidores DNS que o computador deve contactar
u u

deve ser especificado o endereo de dois servidores DNS geralmente os servidores mais prximos

search lista de domnios ao qual o nome deve ser procurado

u

Exemplo: search lsi.usp.br intranet.lsi.usp.br. Na traduo do nome terra, ser tentado primeiro terra.lsi.usp.br e em seguida terra.intranet.lsi.usp.br

22

Requisio DNS

23

Requisio DNS? r

.b .usp i w.ls w r 2w erve s ame br n 3 4 www.lsi.usp.br ?

.
root Name Server au br Name Server br fr

1 www.lsi.usp.br ?

Name Server 9 endereo www.lsi.usp.br

Resolver

5 usp.br name server 6 ww w.lsi .usp 7 lsi .br ? .usp .br n ame 8w serv 9e ww er nd .ls er e i.u ow sp .br ww ? . ls i.u sp .br

ufrj usp Name Server

usp com

fau lsi Name Server

lsi

fea

24

Requisio DNS
o

Requisio Recursiva v Obriga ao servidor retornar a resposta ou, se no encontra-la, um erro. v Para isso, o servidor pode necessitar consultar outros servidores de nomes v Normalmente gerada pelos resolvers v Mais complexa de ser tratada

25

Requisio DNS
o

Requisio Interativa (ou no recursiva) v O servidor consulta sua base de dados (inclusive o cache) para poder responder. v No ativa outros servidores de nomes na tentativa de achar a resposta v Se no puder responder, procura indicar um servidor de nomes que possa ter a informao requisitada

26

Requisio DNS
o

Recursiva

root Name Server

Name Server 1 www.lsi.usp.br ? RECURSIVA 9 endereo www.lsi.usp.br

br Name Server

usp Name Server

Resolver

lsi Name Server

27

Requisio DNS
o

Interativa

.br ? sp si .u IVA .l ww RAT w E r INT erve s ame br n

root Name Server

Name Server

br Name Server

usp Name Server

Resolver

lsi Name Server

28

Caching

29

Caching
o o

Utilizado para diminuir o tempo de resposta de uma requisio ao servidor DNS Time-to-Live (TTL) v Define o tempo de vida de uma entrada no cache de nomes Importncia v Uma traduo ip-nome, em uma operao recursiva pode demorar muito tempo. v Se j estiver no cache, retorna imediatamente

30

Autoritative & Delegated

31

Autoritative
o

Autoritative v Possuir em sua base de dados as informaes sobre as resolues de um determinado domnio No autoritative v O servidor no possui, em sua base de dados local, as informaes sobre uma resoluo, v Mas, responde pois est em seu cache. Problemas v Um servidor de uma zona no est resolvendo como autoritative Um servidor primrio ou secundrio pode se considerar no autoritative se existir um erro de sintaxe nos mapas das zonas.

32

Delegated
o

Delegated v Ser indicado por um servidor de nvel superior para responder a um subdomnio seu

33

Delegao de domnio
o

Para verificar se seu domnio esta delegado: v domnio direto: nslookup -type=soa <domnio> v domnio reverso (domnio a.b.c.*) nslookup -type=soa c.b.a.in-addr.arpa nslookup -type=soa b.a.in-addr.arpa nslookup -type=soa a.in-addr.arpa Exemplos v nslookup -type=soa lsi.usp.br v nslookup -type=soa 161.107.143.in-addr.arpa

34

Autoritative x Delegated
o

Autoritative e Delegated v aspectos totalmente distintos v porm relacionados Um servidor (primrio ou secundrio) de uma zona XYZ deve ser sempre: v autoritative para a zona XYZ ou seja, ser quem fornece os mapas para a zona v delegated para a zona XYZ ou seja, os servidores de nvel superior na hierarquia de domnio delegam a ele a tarefa de responder pela zona

35

Autoritative x Delegated
o

Quando ocorrem problemas v (1) servidor autoritative e no delegated para a zona XYZ o servidor est fornecendo os mapas da zona XYZ cuja resoluo no est delegada a ele Possveis causas:
u

problema nos servidores de nveis superiores (por no delegarem a zona) ou, este servidor no deveria estar fornecendo as resolues da zona XYZ afeta somente as mquinas locais

36

Autoritative x Delegated
o

Quando ocorrem problemas (cont.) v (2) no autoritative, mas delegated para a zona XYZ lame delegation Isto um erro de configurao Possveis causas:
u

Erro no servidor da zona XYZ O servidor da zona XYZ esta mal configurado no contm as entradas NS configuradas de forma correta (NS XYZ.abc.kmp.) Erro no servidor de nvel superior Os servidores de nvel superior no deveriam estar delegando a zona XYZ para o servidor

37

Implementao de servidores DNS

38

Implementaes de servidores DNS

o

Bind v Berkeley Internet Name Domain v Mantido pela ISC (Internet Software Consortium) v Implementao mais utilizada v Livre para uso, redistribuio e incorporao em outros produtos v Site: http://www.isc.org/bind v Verses Bind v4.x (com tendncia a ser descontinuado)
u

No possui vrias configuraes de segurana que so suportadas pela verso 8

Bind

v8.x (primeira verso em maio 1997)

39

Implementaes de servidores DNS

o

Acesse o site www.isc.org e verifique qual a verso mais recente do programa Bind v Verso mais recente do bind v8: ___________________

Perguntando qual a verso do programa DNS utilizado: v nslookup set class=chaos set q=txt version.bind exit

40

Portas UDP e TCP utilizadas

41

Portas UDP e TCP utilizadas

o

Requisies entre cliente (resolver) e servidor DNS

v

Requisies curtas: Requisio: UDP alto -> 53 Resposta: UDP 53 -> alto Requisies longas Requisio: TCP alto -> 53 Resposta: TCP 53 -> alto

42

Portas UDP e TCP utilizadas

o

Requisio (recursiva) entre um servidor DNS bind 4.x e outro servidor DNS
v

Requisies curtas Requisio: Resposta:

UDP 53 -> 53 UDP 53 -> 53

Requisies longas, servidor bind 4.x Rer ml m : a ent TCP 53 -> 53 Resposta: TCP 53 -> 53

43

Portas UDP e TCP utilizadas

o

Requisio (recursiva) entre um servidor DNS bind 8.x e outro servidor DNS v Requisies curtas Requisio: UDP alto -> 53 Resposta: UDP 53 -> alto v Requisies longas, servidor bind 4.x Requisio: TCP alto -> 53 Resposta: TCP 53 -> alto v OBS: Bind 8.x permite alterar endereo e porta UDP query-source address * port * (default)
u

utiliza qualquer endereo da mquina e porta alta

query-source
u

address 143.107.161.220 port 53

utiliza atravs da interface 143.107.161.220 com porta 53

44

Portas UDP e TCP utilizadas

53 53 53
Name Server (bind 4.x) 53 53 usp Name Server br Name Server

53

root Name Server

alto

alto

Resolver

lsi Name Server

45

Referncias

46

Referncias
o

Livros: v DNS and BIND Albitz, P; Liu, Cricket. OReilly & Associates, Inc v Internet Security - Professional Reference Autikns, Derek et. all New Riders Artigos: v Name Server Operations Guide for BIND, release 4.9.5. Vixie, Paul.

47

Referncias
o

Internet RFCs: v RFC 1034 - Domain Names - Concepts and Facilities v RFC 1035 - Domain Names - Implementation and Specification v RFC 1033 - Domain Administrator Guide v RFC 1713 - Tools for DNS debugging Sites: v www.isc.org/