1
Introduo ao DNSVolnys Borges Bernal [email protected]
http://www.lsi.usp.br/~volnys Laboratrio de Sistemas Integrveis
http://www.lsi.usp.br/
2
Agendao o o o o o o
O que DNS? Servidores DNS Requisio DNS Caching Autoritative e
Delegated Implementaes de servidor de DNS Portas UDP e TCP
utilizadas
3
O que DNS?
4
O que DNS?o o o
o
Domain Name System Servio necessrio para todos os computadores
que utilizam a Internet Servio que permite a resoluo dos nomes de
um domnio v traduo: nome -> IP v traduo: IP -> nome Protocolo
DNS v RFC 1034 - Domain Names - Concepts and Facilities v RFC 1035
- Domain Names - Implementation and Specification
5
O que DNS?o
O funcionamento do protocolo DNS: v Existem dois tipos de
entidades: Resolveru u
entidade cliente realizam requisies para de resoluo de
nomes/endereos
Nameu u u u
Server
entidade servidora respondem s requisies de resoluo de
nome/endereo so capazes de traduzir nome para IP e vice versa
necessrio existir no mnimo 2 servidores por domnio 1 servidor
primrio 1 ou mais servidores secundrios
6
O que DNS?o
Cliente (resolver) pede uma traduo ao servidor DNSServidor DNS
Resolver
Domnio DNS
Resolver Resolver Resolver
Resolver
7
O que DNS?o
Parece um servio simples, mas complexo v Base de dados
distribuda pelo mundo v Um servidor de nomes tambm pode realizar
requisies para outros Servidores de nomes
8
O que DNS?o
Servidor pede traduo a um outro servidorServidor DNS
Resolver
Servidor DNS Resolver Domnio DNS
Resolver Resolver Resolver
Resolver
9
O que DNS?o
rvore de nomes da Internet v Semelhante a uma hierarquia de
arquivos Exemplo: apolo.lsi.usp.br
.
raiz
com
gov
edu
br
com
gov
usp
lsi
lua
apolo
marte
10
O que DNS?o
Nomes do primeiro nvel v com v edu v gov v mil v net v org v
arpa v br v fr v us v .....
11
O que DNS?o
o
Nome v Absoluto ou Full-qualified domain name (FQDN)
apolo.lsi.usp.br. v Relativo apolo apolo.lsi apolo.lsi.usp
apolo.lsi.usp.br Restries v Um n no pode ter dois ns filhos com o
mesmo nome v Nomes so de no mximo de 63 bytes v Caracteres vlidos:
a-Z a-z 0-9 . -
12
O que DNS?o
Domnio de nomes v Sub-rvorecom gov
.edu br
domnio usp.br.usp
com
gov
lsi
router apolo jujuba
domnio lsi.usp.br.
13
Exemploo
Pedindo para traduzir um nome v nslookup apolo.lsi.usp.br
www.lsi.usp.br exit Pedindo para traduzir um endereo v nslookup
143.107.161.220 exit
o
14
Exemploo
Perguntando quais so os name servers de um domnio v nslookup set
q=NS lsi.usp.br exit Perguntando dados sobre um domnio v nslookup
set q=SOA lsi.usp.br exit
o
15
Exemploo
Perguntando quais so os mail exchangers de um domnio v nslookup
set q=MX lsi.usp.br exit
16
Servidores DNS
17
Servidores DNSo
Existem milhares de servidores de nomes espalhados pelo mundo.
Podem ser divididos em: v Root Name Servers So os servidores
responsveis pelo domnio da raiz v Servidores de zona (domnio) So os
servidores dos outros domnios
o
18
Servidores DNSo
Root Name Servers v Respondem requisies sobre servidores de
nomes do primeiro nvel da rvore v Existem vrios Root Name Servers
espalhados pelo mundo v Quando um servidor local no consegue
resolver um determinada requisio esta repassada a um Root Name
Server. v Fundamental para o servio DNS: se todos falharem todas as
resolues na Internet iro falhar v Os Name Servers devem possuir uma
lista atualizada de todos os Root Name Servers
19
Servidores DNSo
Para cada domnio Internet so necessrios ao menos 2 servidores: v
um servidor primrio servidor que contm o mapa do domnio geralmente
localizado no prprio domnio v um ou mais servidores secundrios
buscam do servidor primrio os mapas do domnio obrigatoriamente em
um site diferente do domnio garante confiabilidade do servio
20
Resolvers
21
Resolverso o
O resolver deve ser configurado em cada maquina Informaes
necessrias para configurar um resolver: v domain: domnio ao qual o
nome do computador pertence v nameservers: servidores DNS que o
computador deve contactaru u
deve ser especificado o endereo de dois servidores DNS
geralmente os servidores mais prximos
v
search lista de domnios ao qual o nome deve ser procuradou
Exemplo: search lsi.usp.br intranet.lsi.usp.br. Na traduo do
nome terra, ser tentado primeiro terra.lsi.usp.br e em seguida
terra.intranet.lsi.usp.br
22
Requisio DNS
23
Requisio DNS? r
.b .usp i w.ls w r 2w erve s ame br n 3 4 www.lsi.usp.br ?
.root Name Server au br Name Server br fr
1 www.lsi.usp.br ?
Name Server 9 endereo www.lsi.usp.br
Resolver
5 usp.br name server 6 ww w.lsi .usp 7 lsi .br ? .usp .br n ame
8w serv 9e ww er nd .ls er e i.u ow sp .br ww ? . ls i.u sp .br
ufrj usp Name Server
usp com
fau lsi Name Server
lsi
fea
24
Requisio DNSo
Requisio Recursiva v Obriga ao servidor retornar a resposta ou,
se no encontra-la, um erro. v Para isso, o servidor pode necessitar
consultar outros servidores de nomes v Normalmente gerada pelos
resolvers v Mais complexa de ser tratada
25
Requisio DNSo
Requisio Interativa (ou no recursiva) v O servidor consulta sua
base de dados (inclusive o cache) para poder responder. v No ativa
outros servidores de nomes na tentativa de achar a resposta v Se no
puder responder, procura indicar um servidor de nomes que possa ter
a informao requisitada
26
Requisio DNSo
Recursiva
root Name Server
Name Server 1 www.lsi.usp.br ? RECURSIVA 9 endereo
www.lsi.usp.br
br Name Server
usp Name Server
Resolver
lsi Name Server
27
Requisio DNSo
Interativa
.br ? sp si .u IVA .l ww RAT w E r INT erve s ame br n
root Name Server
Name Server
br Name Server
usp Name Server
Resolver
lsi Name Server
28
Caching
29
Cachingo o
o
Utilizado para diminuir o tempo de resposta de uma requisio ao
servidor DNS Time-to-Live (TTL) v Define o tempo de vida de uma
entrada no cache de nomes Importncia v Uma traduo ip-nome, em uma
operao recursiva pode demorar muito tempo. v Se j estiver no cache,
retorna imediatamente
30
Autoritative & Delegated
31
Autoritativeo
o
o
Autoritative v Possuir em sua base de dados as informaes sobre
as resolues de um determinado domnio No autoritative v O servidor
no possui, em sua base de dados local, as informaes sobre uma
resoluo, v Mas, responde pois est em seu cache. Problemas v Um
servidor de uma zona no est resolvendo como autoritative Um
servidor primrio ou secundrio pode se considerar no autoritative se
existir um erro de sintaxe nos mapas das zonas.
32
Delegatedo
Delegated v Ser indicado por um servidor de nvel superior para
responder a um subdomnio seu
33
Delegao de domnioo
o
Para verificar se seu domnio esta delegado: v domnio direto:
nslookup -type=soa v domnio reverso (domnio a.b.c.*) nslookup
-type=soa c.b.a.in-addr.arpa nslookup -type=soa b.a.in-addr.arpa
nslookup -type=soa a.in-addr.arpa Exemplos v nslookup -type=soa
lsi.usp.br v nslookup -type=soa 161.107.143.in-addr.arpa
34
Autoritative x Delegatedo
o
Autoritative e Delegated v aspectos totalmente distintos v porm
relacionados Um servidor (primrio ou secundrio) de uma zona XYZ
deve ser sempre: v autoritative para a zona XYZ ou seja, ser quem
fornece os mapas para a zona v delegated para a zona XYZ ou seja,
os servidores de nvel superior na hierarquia de domnio delegam a
ele a tarefa de responder pela zona
35
Autoritative x Delegatedo
Quando ocorrem problemas v (1) servidor autoritative e no
delegated para a zona XYZ o servidor est fornecendo os mapas da
zona XYZ cuja resoluo no est delegada a ele Possveis causas:u
u
problema nos servidores de nveis superiores (por no delegarem a
zona) ou, este servidor no deveria estar fornecendo as resolues da
zona XYZ afeta somente as mquinas locais
36
Autoritative x Delegatedo
Quando ocorrem problemas (cont.) v (2) no autoritative, mas
delegated para a zona XYZ lame delegation Isto um erro de
configurao Possveis causas:u
u
Erro no servidor da zona XYZ O servidor da zona XYZ esta mal
configurado no contm as entradas NS configuradas de forma correta
(NS XYZ.abc.kmp.) Erro no servidor de nvel superior Os servidores
de nvel superior no deveriam estar delegando a zona XYZ para o
servidor
37
Implementao de servidores DNS
38
Implementaes de servidores DNSo
Bind v Berkeley Internet Name Domain v Mantido pela ISC
(Internet Software Consortium) v Implementao mais utilizada v Livre
para uso, redistribuio e incorporao em outros produtos v Site:
http://www.isc.org/bind v Verses Bind v4.x (com tendncia a ser
descontinuado)u
No possui vrias configuraes de segurana que so suportadas pela
verso 8
Bind
v8.x (primeira verso em maio 1997)
39
Implementaes de servidores DNSo
Acesse o site www.isc.org e verifique qual a verso mais recente
do programa Bind v Verso mais recente do bind v8:
___________________
o
Perguntando qual a verso do programa DNS utilizado: v nslookup
set class=chaos set q=txt version.bind exit
40
Portas UDP e TCP utilizadas
41
Portas UDP e TCP utilizadaso
Requisies entre cliente (resolver) e servidor DNSv
Requisies curtas: Requisio: UDP alto -> 53 Resposta: UDP 53
-> alto Requisies longas Requisio: TCP alto -> 53 Resposta:
TCP 53 -> alto
v
42
Portas UDP e TCP utilizadaso
Requisio (recursiva) entre um servidor DNS bind 4.x e outro
servidor DNSv
Requisies curtas Requisio: Resposta:
UDP 53 -> 53 UDP 53 -> 53
v
Requisies longas, servidor bind 4.x Rer ml m : a ent TCP 53
-> 53 Resposta: TCP 53 -> 53
43
Portas UDP e TCP utilizadaso
Requisio (recursiva) entre um servidor DNS bind 8.x e outro
servidor DNS v Requisies curtas Requisio: UDP alto -> 53
Resposta: UDP 53 -> alto v Requisies longas, servidor bind 4.x
Requisio: TCP alto -> 53 Resposta: TCP 53 -> alto v OBS: Bind
8.x permite alterar endereo e porta UDP query-source address * port
* (default)u
utiliza qualquer endereo da mquina e porta alta
query-sourceu
address 143.107.161.220 port 53
utiliza atravs da interface 143.107.161.220 com porta 53
44
Portas UDP e TCP utilizadas53 53 53Name Server (bind 4.x) 53 53
usp Name Server br Name Server
53
root Name Server
alto
alto
Resolver
lsi Name Server
45
Referncias
46
Refernciaso
Livros: v DNS and BIND Albitz, P; Liu, Cricket. OReilly &
Associates, Inc v Internet Security - Professional Reference
Autikns, Derek et. all New Riders Artigos: v Name Server Operations
Guide for BIND, release 4.9.5. Vixie, Paul.
o
47
Refernciaso
Internet RFCs: v RFC 1034 - Domain Names - Concepts and
Facilities v RFC 1035 - Domain Names - Implementation and
Specification v RFC 1033 - Domain Administrator Guide v RFC 1713 -
Tools for DNS debugging Sites: v www.isc.org/
o
