Parte 1 - Características e Conceitosadriano/aulas/topicos/2013/4... · • EnRdade(sem(ﬁns(lucravos(e(de(âmbito(internacional,(responsável(pela: (• Distribuição de numeração

Tópicos em Sistemas de Computação 10/9/13

UNESP -‐ São José do Rio Preto 1

DNS

Parte 1 - Características e Conceitos

Tópicos em Sistemas de Computação – 2013

Prof. Dr. Adriano Mauro Cansian [email protected]

Estagiário Docente: Adriano Ribeiro [email protected]

Adriano Mauro Cansian & Adriano Ribeiro 1

Referência para estudo •  O tratamento uRlizado neste tópico é o mesmo adotado pelo livro Craig Hunt -‐

TCP/IP Network Administra5on. Este tratamento é excelente e suficiente para o administrador de redes e UNIX. Entretanto, por algumas vezes, este texto é pouco formal, ou seja, ignora alguns conceitos, considerando-‐se o ponto de vista acadêmico e mais aprimorado. Para alunos que desejam ir mais a fundo na questão, e aprimorar sua formação e seus conhecimentos em gerenciamento, recomenda-‐se uma leitura atenta do capítulo 14 (DNS: The Domain Name System) de TCP/IP Illustrated -‐ Volume 1 -‐ The Protocols, de Richard Stevens . Trata-‐se de um texto muito bom, de fácil compreensão e com excelentes ilustrações que auxiliam no entendimento.

•  Créditos -‐ este material foi produzido a parRr do livro texto adotado no curso: Hunt, Craig -‐ TCP/IP Network Administra5on -‐ O’Reilly & Associates, Inc. -‐ 1.a Edição -‐ Capítulo 3, pag. 51 e Capítulo 8, pag 167.




Nomes e endereços Nomes e endereços: Toda interface de rede ligada aendereço IP formado por 32 bits uma rede TCP/IP é idenRficada por um. Este endereço é representado na forma numérica como:

xxx . yyy . zzz . Kkk 200.145.1.1

Entretanto, os projeRstas consideraram que lembrar de endereços de um computador pelo número (ou seja, pelo seu endereço IP) era muito desconfortável e pouco prá@co.


Nomes e endereços

•  Além disso, o endereço de um computador poderia necessitar ser alterado, devido a, por exemplo, uma mudança de rede jsica ou de roteamento.

•  Neste caso, todos os usuários daquele computador

precisariam ser avisados de que o endereço foi mudado. •  Em virtude principalmente destes fatos, foi considerado que

um nome poderia ser atribuído e associado a qualquer disposi@vo que possua um endereço IP.




Nomes e endereços •  A atribuição de nomes aos endereços se deve ao

fato de que é muito mais fácil uma pessoa se lembrar de nomes do que de números. •  Além do fato do nome poder ser man@do numa

eventual mudança de endereço IP. Entretanto à O soDware de rede e a pilha TCP/IP trabalham apenas com os endereços numéricos.

Na maior parte dos casos, os nomes e números podem ser usados indisRntamente, mas os nomes são sempre lembrados com mais facilidade.


Tradução Por exemplo: % ssh METAL.dcce.ibilce.unesp.br!!% ssh 200.145.202.125! à conduzem ao mesmo computador. Existe um processo de “conversão” à Quando se uRlizam nomes é necessário que exista um serviço que efetue a conversão deste nome em um número IP para que se estabeleça a conexão.

•  Também chamado de processo de TRADUÇÃO.




Tradução x /etc/hosts

•  A tradução entre nomes e números passou por diversos estágios durante o desenvolvimento da Internet e das redes que a precederam.

•  Inicialmente exisRa uma tabela, chamada hosts.txt,

manRda pelo DDN-‐NIC, e que era distribuída para todos os computadores da Internet à usada no /etc/hosts.txt •  (análoga à atual tabela /etc/hosts )

•  Com o crescimento da Internet este esquema se tornou

inviável, exigindo a criação de um serviço mais eficiente para a resolução de nomes.


Do /etc/hosts.txt para o DNS hosts.txt à foi subsRtuído por um banco de dados distribuído denominado Domain Name Service, conhecido simplesmente como DNS, que foi concebido por Paul Mockapetris, em 1983.

•  Em 1984, 4 estudantes da Universidade de Berkeley -‐ Douglas Terry, Mark Painter, David Riggle and Songnian Zhou — escreveram a primeira implementação do DNS para o UNIX, que era manRda por Ralph Campbell e denominada Berkeley Internet Name Daemon.

•  Em 1985, Kevin Dunlap da DEC Digital Equipament Co. (comprada pela

HP) significaRvamente re-‐escreveu a implementação do e mudou seu nome para BIND -‐ Berkeley Internet Name Domain.




Bind O BIND é manRdo pela Internet Systems ConsorGum (www.isc.org) •  DNS à foi desenvolvido para oferecer uma alternaRva à

resolução de nomes através do arquivo /etc/hosts.txt, e que pudesse garanRr seu funcionamento eficiente mesmo em face do crescimento explosivo da Internet. •  PermiRndo ao mesmo tempo que informações sobre

computadores novos sejam rapidamente disseminadas conforme a necessidade.

•  As especificações do DNS encontram-‐se descritas na RFC-‐1034 e RFC-‐1035


DNS x /etc/hosts

O DNS resolve dois problemas com relação ao /etc/hosts: •  DNS é facilmente escalonável à a base é distribuída e não

reside numa única tabela. •  DNS dissemina facilmente à isso garante que novas

informações sobre novos hosts, sejam disseminados para o resto da rede. •  Além disso a informação só é disseminada para aqueles

que precisam dela. Isso será discuRdo em seguida.




Como o DNS funciona (1) •  Um cliente faz uma requisição a UM SERVIDOR DE DNS

LOCAL, previamente configurado.

•  Servidor de DNS local recebe um request de informações sobre um host para o qual ele (servidor) não possui cache da informação.

•  O servidor passa a requisição para um authoritaGve server: •  server responsável por manter informação correta e

atualizada sobre o domínio consultado.

(Mais adiante veremos detalhadamente como esta passagem é feita)


Como o DNS funciona (2) •  Quando o authoritaGve server responde à o server local

armazena (faz cache) a resposta para uso futuro. •  Na próxima vez que o server local receber um request

sobre aquele domínio, ele responde por si próprio.




Como o DNS funciona (3)


(DNS: 53/udp)

•  O serviço de DNS é associado à porta 53 UDP, e é chamado de “domain”.

•  Não confundir com um anRgo serviço de nomes associado à porta 42, chamado “nameservice”.

•  Consulte /etc/services , e/ou a documentação do seu sistema.




Hierarquia de domínios •  DNS NÃO possui uma base de dados central com todos os

IPs da Internet.

•  A Informação é distribuída ao longo de milhares de nameservers.

•  Organizados numa hierarquia similar à estrutura de diretórios de um filesystem UNIX.


Hierarquia de domínios

!

Hierarquia de domínios comparada com um filesystem Unix





•  DNS tem um root domain (domínio raiz) no topo da hierarquia de domínio. •  Este root domain é servido por root servers.


Hierarquia de domínios •  DNS tem um root domain (domínio raiz) no topo da hierarquia de domínio.

•  Representado por um ponto “. “ •  Este root domain é servido por root servers.

•  Sob o root domain à estão os top level domains = TLD

•  Dois Rpos básicos de top level domains: Organizacional e Geográfico.

•  Organizacional são nomes de domínios genéricos de primeiro nível com códigos genéricos (ou gTLD – Generic TLD) •  gTLD à .com .org .net .mil .edu .gov .....





•  Geográfico: Nomes de domínios de primeiro nível com códigos de países.

•  Chamados de ccTLD – Country Code TLD Geográfico ou ccTLD à .br .jp .ar .uk .nz .au Geográfico-‐organizacional à .com.br .org.br .gov.br


Root servers (1) Os root servers à somente possuem informações completas sobre os domínios de top level (TLDs: gTLD e ccTLD). •  São os root servers que possuem os apontadores para os

servidores de top level ou para os “registry” (ver governança mais adiante) Nenhum servidor (nem mesmo os root servers) possui informações completas sobre todos os domínios, mas os root servers possuem ponteiros para os servers dos gTLDs e ccTLDs. Assim à os root servers não possuem a resposta para um request, mas eles sabem para quem perguntar.




Root servers (2) •  Root servers são operados por 13 organizações conhecidas

como "root server operators".

•  Esta localização e seus respecRvos endereços raramente são alterados. Atualmente são 377 root servers, incluindo os espelhos.

•  Os nomes são da seguinte forma:

“letter”.root-servers.net! onde “leUer” é a letra do root nameserver, de A até M. •  Relação dos endereços:

•  h{p://www.root-‐servers.org/ •  h{p://www.internic.net/zones/named.root


Root servers map

Os nomes são formados da seguinte forma: “lemer”.root-‐servers.net, onde “leUer” é a letra do root nameserver, variando de A até M.




List of root servers

h{p://www.iana.org/domains/root/servers


Governança de DNS

ICANN, Registry e Registrar




ICANN

Os TLDs são delegados pelo ICANN aos “registry” ou “registrador”. O que é a ICANN? -‐ hmp://www.icann.org/ ICANN -‐ Internet CorporaGon for Assigned Names and Numbers •  Órgão mundial responsável por estabelecer regras do uso da Internet. •  EnRdade sem fins lucraRvos e de âmbito internacional, responsável pela:

•  Distribuição de numeração IP. •  Designação de identificações de protocolos. •  Controle dos sistemas de nomes de domínios de primeiro nível

gTLD e ccTLD. •  Administração central da rede de servidores.


ICANN e IANA

•  AnRgamente estas aRvidades eram originalmente prestadas mediante contrato com o governo dos EUA, pela Internet Assigned Numbers Authority (IANA) e outras enRdades.

•  A ICANN hoje cumpre a função da IANA. Recomendado: veja a explicação da evolução da governança em h{p://www.icann.org/en/about/unique-‐authoritaRve-‐root




ICANN e o DNS Qual é a função da ICANN no DNS? •  A ICANN é responsável por coordenar o controle dos elementos técnicos do DNS que garantem a “resolução universal”.

•  Manter uma Raiz unificada do DNSS (Unified Root Servers).

•  Isso é realizado através da supervisão da distribuição das idenRficações exclusivas usadas nas operações da Internet e a distribuição de nomes de domínio de primeiro nível (como .com, .info, org, etc....)

•  Na práRca isso é o que permite os usuários da Internet a encontrar qualquer endereço válido.


Registry (1) •  REGISTRY é a enRdade delegada pela ICANN para armazenar

e administrar os registros de um determinado TLD, seja ele um gTLD ou ccTLD.

•  O REGISTRY mantém disponível em seus servidores as

informações dos endereços IP dos nomes de domínio de segundo nível relaRvos ao TLD que administra.

•  Um REGISTRY também é chamado de NIC -‐ Network InformaGon Center.

Ver: h{p://en.wikipedia.org/wiki/Network_InformaRon_Centre




Registry (2) •  Cada gTLD ou ccTLD tem apenas um Registry.

•  O Registry opera a raiz do seu TLD. •  Tecnicamente opera seu TLD apontando para os servidores autorizados.

•  O Registry mantém apenas informações de servidores de DNS.

•  Controla as políRcas de alocação de nomes. •  O Registry gerencia o registro de domínios de um TLD, operando em conjunto com o REGISTRAR.

•  É tecnicamente diferente de um REGISTRAR. Adriano Mauro Cansian & Adriano Ribeiro 29

Registrar (1)

Registrar, ou agente de registro, é a enRdade credenciada por um Registry para proceder o registro de nomes de domínio requerido por qualquer pessoa ou enRdade. •  Um TLD pode ter vários Registrars. •  Registrar mantém as informações do proprietário do

domínio em um banco de dados. •  O Registrar informa o Registry que um determinado

domínio está sob sua reponsabilidade. •  Informa apenas o ponteiro para os servidores de DNS

daquele domínio.




Registrar (2) •  Funcionamento de um Registrar:

h{p://en.wikipedia.org/wiki/Domain_name_registrar •  Aspectos históricos e de mercado sobre como evoluiu o sistema de

registro de nomes: h{p://www.icann.org/en/resources/registrars/accreditaRon/history

•  ICANN atualmente tem os seguintes domínios de nível superior

genéricos (gTLD): h{p://www.iana.org/domains/root/db (root zone database) h{p://www.icann.org/registrar-‐reports/accredited-‐list.html Em alguns países o Registry também atua como Registrar.


Alguns TLDs e Registrys




Registrant

•  Registrant é a enRdade ou pessoa que registra um domínio.

•  Como ocorre o registro de um domínio:

•  Consiste em ter um domínio publicado nos sistemas de um Registry para que, quando o Registry for quesRonado sobre "-‐ Qual o servbidor de DNS do domínio taldominio.com?" ele responda com um apontador. •  Registrant faz o registro de seu domínio no Registrar e informa os

dados técnicos (os servidores de DNS), os dados administraRvos (contatos, endereços, pessoas) e os dados de cobrança.

•  O Registrar informa para o Registry o nome do domíno sobre aquele TLD e os apontadores IP dos servidores de DNS.


Registro de um domínio

•  Ter um domínio registrado significa "exisRr" na internet, ou seja, um Registry (e somente um Registry) é capaz de responder a pergunta:

"sim, eu sei quem é o domínio xyz.com, e o servidor DNS que contém informações detalhadas sobre esse domínio é o abc.com". Exemplificando, a registro.br, que é o registry de domínios terminados em .br sabe que os servidores de DNS do domínio adr.pro.br são: adr.pro.br nameserver = ns7.zoneedit.com.!adr.pro.br nameserver = ns14.zoneedit.com.! Authoritative answers can be found from:!ns7.zoneedit.com internet address = 216.122.7.155!








Relacionamento registry x registrar


Registro de nomes no .BR •  No Brasil o REGISTRO.BR é o REGISTRY do domínio .br •  h{p://www.registro.br (No Brasil, o REGISTRY também atua como REGISTRAR) •  registro.br é coordenado pelo NIC.BR

•  Núcleo de Informação e Coordenação do Ponto br •  hmp://www.nic.br/

•  NIC É uma en@dade civil, sem fins lucra@vos, que desde

dezembro de 2005 implementa as decisões e projetos do Comitê Gestor da Internet no Brasil (CGI.BR). •  O NIC.br é considerado o braço execuRvo do CGI.br




Atribuições do NIC.BR (1) •  Manter os nomes de domínios que usam o <.br> , e a

distribuição de números de Sistema Autônomo (ASN#) e endereços IPv4 e IPv6 no País, por meio do Registro.br;

•  Realizar o tratamento e resposta a incidentes de segurança em computadores envolvendo redes conectadas à Internet no Brasil, atividades do CERT.br;

•  Desenvolver projetos de suporte ou melhoria da infra-estrutura de redes no País:

•  Interconexão direta entre redes (PTT.br); •  Distribuição da Hora Legal brasileira (NTP.br) •  Estes Projetos estão a cargo do CEPTRO.br.


Atribuições do NIC.BR (2) •  Produzir e divulgar indicadores, estatísticas e

informações estratégicas sobre o desenvolvimento da Internet no Brasil, sob responsabilidade do CETIC.br;

•  Promover estudos e recomendar procedimentos, normas e padrões técnicos e operacionais, para a segurança das redes e serviços de Internet (pelo GTER e GTS).

•  Dar suporte técnico e operacional ao LACNIC - Registro de Endereços da Internet para a América Latina e Caribe.

•  Hospedar o escritório brasileiro do W3C, que tem como principal atribuição desenvolver padrões para Web.




Composição do nic.br •  Registro.br -‐ Registro de domínios no ccTLD ".br”. •  CERT.br -‐ Centro de Estudos, Resposta e Tratamento de Incidente de Segurança no Brasil.

•  CETIC.br -‐ Centro de Estudos sobre as Tecnologias da Informação e da Comunicação.

•  CEPTRO.br -‐ Centro de Estudos e e Pesquisas em Tecnologia de Redes e Operações.

•  W3C Brasil -‐ Escritório brasileiro do W3C (World Wide Web Consor5um).


CGI.br •  NIC.BR é definido pelo CGI.br – Comitê Gestor da Internet no Brasil.

•  Entre as diversas atribuições do CGI.br destacam-‐se:

•  A coordenação da atribuição de endereços internet (IPs) e do registro de nomes de domínios usando <.br>;

•  O estabelecimento de diretrizes estratégicas relacionadas ao uso e desenvolvimento da internet no Brasil;

•  A coleta, organização e disseminação de informações sobre os serviços internet, incluindo indicadores e esta�sRcas.




Organograma CGI.br e nic.br

h{p://www.nic.br/sobre-‐nic/nicbr.htm Adriano Mauro Cansian & Adriano Ribeiro 43

Composição do cgi.br

h{p://www.cgi.br/sobre-‐cg/definicao.htm Adriano Mauro Cansian & Adriano Ribeiro 44



Funcionamento do DNS

Questões técnicas e tecnológicas a respeito da operação do DNS


Como ocorre uma resolução de nome (1)

Quem é www.acme.com.br ? (qual o IP de www.acme.com.br ?)




Como ocorre uma resolução de nome (2)

Root server

Registry para .net

Autorita@vo para Domínio Unixwiz.net


Bind, resolver e named Algumas definições: •  No Unix à o serviço DNS é implementado através do so�ware

BIND. •  BIND : Berkeley Internet Name Domain •  O BIND é um sistema cliente servidor. •  O lado cliente do BIND à chama-‐se resolver. •  resolver à envia perguntas relaRvas a informações conRdas no

DNS a servidores de nomes (nameservers). O servidor DNS responde à estas perguntas.

•  O lado servidor do DNS à chama-‐se named.




Domínio •  Parte da hierarquia de um domínios é idenRficada por um

“nome de domínio” ou domain name. •  Um domínio sempre está relacionado como uma “zona” e os

termos podem ser usados de forma equivalente. •  Os nomes de domínio são escritos a parRr do nome mais

específico (ou seja, o nome do host) até o menos específico (o top-‐level domain), com cada uma das partes do domínio separada por um ponto “ . ”

•  O root domain é idenRficado por um único ponto “ . ”


Zona •  O termo “zona” (zone) refere-‐se a informações

conRdas em um arquivo do banco de dados do DNS. •  Tecnicamente a zona é o conjunto de

informações que descreve um domínio. •  As configurações de zona estão associadas às

definições do domínio. •  Alguns dos arquivos de configuração de DNS são

chamados de “arquivos de zona” (zone files).




FQDN FQDN à Fully Qualified Domain Name •  Começa com um nome de host específico, e termina com

um top-‐level domain •  Por exemplo: firewall.sjrp.unesp.br é o FQDN

de um host chamado “firewall” dentro do sub-‐domínio “sjrp”, do domínio unesp.br.

•  Um domínio pode delegar subdomínios a outras partes da

organização à delega5on


Delegation e subdomain




Delegation e subdomain


CaracterísRcas do sistema de nomes

Funcionamento do bind server




Características do bind

•  O so�ware BIND pode ser configurado de diversas maneiras.

•  Os conceitos para as configurações mais comuns são apresentadas a seguir.

•  É muito importante estar familiarizado com a nomenclatura e os termos uRlizados.


Servidor primário •  Servidor primário ou servidor MASTER à é a fonte oficial de todas as

informações a respeito de um domínio específico.

•  É o que deve manter todas as informações atualizadas sobre o domínio. •  Ele carrega as informações a respeito do domínio a parRr de arquivos

locais (arquivos de zona e outros) manRdos pelo administrador do domínio.

•  O servidor primário é o servidor mestre devido ao fato de que pode

responder a qualquer pergunta sobre seu domínio com total autoridade à por isso é chamado de authoritaGve server.

Importante à Deve exis@r um único servidor primário (master) para cada domínio !




Servidores secundários (1) •  Servidores secundários (ou escravos – “slave”) à são

aqueles que transferem (copiam) um conjunto completo de informações a par@r do servidor primário.

•  Servidores secundários não possuem arquivos de zona

próprios. •  Os arquivos descrevendo as zonas à são transferidos do

servidor primário, e armazenados no servidor secundário como arquivos locais.

•  Esta transferência chama-‐se zone transfer.


Servidores secundários (2)

•  Os servidores secundários também são frequentemente conhecidos como backup servers.

•  Mantém uma cópia backup dos arquivos do servidor

primário. •  O servidor secundário mantém uma cópia completa de

todas as informações a respeito do domínio, e responde a perguntas com autoridade.

•  Consequentemente, um servidor secundário também é considerado autorita@vo para um domínio.




Servidores secundários (3)

•  Server secundário à deve responder sempre.

•  Para quem está de fora da organização não é possível disRnguir um servidor primário de um secundário, pois ambos respondem com autoridade pelo domínio.

•  É usado para manter o sistema de resolução de nomes de um domínio em funcionamento no caso de uma falha ou sobrecarga do servidor primário.

•  Pode (e deve) exisRr mais de um servidor secundário para cada domínio.


Redundância do secundário

•  Os RFCs recomendam que, para cada domínio, exista pelo menos um servidor secundário fora da rede jsica onde reside o servidor primário do domínio.

•  Por redundância, visando evitar a paralisação total de um domínio inteiro, no caso de uma falha no segmento de rede onde reside o servidor primário.




Servidores recursivos

Servidores recursivos ou Caching-‐only: •  São servidores que rodam o programa named, mas não são fontes

oficiais de informação a respeito de domínios. Servem como intermediários para uma rede local ou um ISP. Fazem as perguntas recursivas

•  Estes servidores obtém a resposta a todas as perguntas que lhe são

direcionadas a par@r de algum servidor remoto, primário ou secundário, ou eventualmente de outro cache (depende de como a estrutura da rede está organizada).


Client only

Client only à são apenas clientes de DNS, e não mantém processos servidores. É o caso da maioria das máquinas de um domínio. Ou seja, a maioria das máquinas uRliza a resolução de nomes dos servidores. Estas máquinas não rodam o bind (processo named).




Resumo

Até aqui vimos: •  Funcionamento do DNS.

•  Governança de DNS e Internet.

•  Funcionamento do sistema de nomes.

•  Operação do Bind.


Documents

Parte 1 - Características e Conceitosadriano/aulas/topicos/2013/4... · • EnRdade(sem(ﬁns(lucravos(e(de(âmbito(internacional,(responsável(pela: (• Distribuição de numeração