Prof. André Moraes - Redes de Computadores III 1 Redes de Computadores III Roteiro 8: DNS (Domain Naming System) André Moraes 2012 Faculdade de Tecnologia

Prof. André Moraes - Redes de Computadores III Prof. André Moraes - Redes de Computadores III 11

Redes de Computadores IIIRedes de Computadores III

Roteiro 8:Roteiro 8:DNS (DNS (Domain Naming SystemDomain Naming System))

André MoraesAndré Moraes20122012

Faculdade de Tecnologia SENAC Pelotas/RSFaculdade de Tecnologia SENAC Pelotas/RS

Curso Superior de Tecnologia em Redes de Computadores Curso Superior de Tecnologia em Redes de Computadores


SUMÁRIOSUMÁRIO

• HistóricoHistórico• ObjetivosObjetivos• ComponentesComponentes• FuncionalidadesFuncionalidades• ProtocoloProtocolo• AplicaçõesAplicações• SegurançaSegurança• Referências BibliográficasReferências Bibliográficas


HistóricoHistórico• No início da ARPANET, começou a ser necessária uma forma mais fácil de No início da ARPANET, começou a ser necessária uma forma mais fácil de

encontrar os hosts do que endereços numéricosencontrar os hosts do que endereços numéricos• Foi criado um arquivo com o nome de HOSTS.TXT que continha o Foi criado um arquivo com o nome de HOSTS.TXT que continha o

mapeamento entre endereços e nomesmapeamento entre endereços e nomes• Este arquivo era mantido pelo SRI’s NIC (Stanford-Research-Institute: Network-Este arquivo era mantido pelo SRI’s NIC (Stanford-Research-Institute: Network-

Information-Center)Information-Center)• Os administradores enviavam as mudanças de endereços e nomes para o Os administradores enviavam as mudanças de endereços e nomes para o

SRI NICSRI NIC• O SRI NIC atualiza periodicamente o arquivo HOSTS.TXTO SRI NIC atualiza periodicamente o arquivo HOSTS.TXT• Os administradores de rede faziam o download por FTP do arquivo Os administradores de rede faziam o download por FTP do arquivo

HOSTS.TXTHOSTS.TXT


HistóricoHistórico• Com o aumento no número de hosts, o arquivos HOSTS.TXT começou a Com o aumento no número de hosts, o arquivos HOSTS.TXT começou a

apresentas problemas:apresentas problemas:• Escalabilidade (tráfego e carga no repositório)Escalabilidade (tráfego e carga no repositório)• Colisões de nomesColisões de nomes• Inconsistência do arquivoInconsistência do arquivo

• Em 1984, Em 1984, Paul MockapetrisPaul Mockapetris disponibilizou as primeiras RFCs (882 e 883) do disponibilizou as primeiras RFCs (882 e 883) do DNSDNS• As RFCs 1034 e 1035 foram as sucessoras e as melhorias continuam…As RFCs 1034 e 1035 foram as sucessoras e as melhorias continuam…• A motivação inicial foi a organização do serviço de e-mailA motivação inicial foi a organização do serviço de e-mail

• Dificuldade para encontrar a caixa postal a qual entregar o e-mailDificuldade para encontrar a caixa postal a qual entregar o e-mail• O primeiro domínio no DNS foi isi.edu (O primeiro domínio no DNS foi isi.edu (Information Sciences InstituteInformation Sciences Institute))

Entrevista com Paul Mockapetris -Entrevista com Paul Mockapetris -

http://www.youtube.com/watch?v=VLahF1zwAog


ObjetivosObjetivos• DNS (Domain Name System)DNS (Domain Name System)

• Sistema de gerenciamento de nomes hierárquico e distribuído Sistema de gerenciamento de nomes hierárquico e distribuído • Protocolo de camada de aplicaçãoProtocolo de camada de aplicação• Baseado em cliente/servidorBaseado em cliente/servidor

• Cliente solicita ao servidor de nomes a resolução de nome para Cliente solicita ao servidor de nomes a resolução de nome para endereçoendereço

• Complexidade na “borda” da redeComplexidade na “borda” da rede• FuncionalidadesFuncionalidades

• Nomes canônicos e alias (apelidos)Nomes canônicos e alias (apelidos)• Definição de servidor de e-mail por domínioDefinição de servidor de e-mail por domínio• Distribuição de carga (WWW, DNS)Distribuição de carga (WWW, DNS)


ComponentesComponentes• Servidores RaizServidores Raiz

• São contatados pelos servidores de nomes locais que não podem São contatados pelos servidores de nomes locais que não podem resolver um nomeresolver um nome

• Servidores de nomes raiz:Servidores de nomes raiz:• Buscam servidores de nomes autorizados se o mapeamento Buscam servidores de nomes autorizados se o mapeamento

do nome não for conhecido do nome não for conhecido • Conseguem o mapeamentoConseguem o mapeamento• Retornam o mapeamento para o servidor de nomes localRetornam o mapeamento para o servidor de nomes local

Existem 13 Existem 13 servidores de servidores de nomes raiz no nomes raiz no mundomundo


ComponentesComponentes• Servidores top-level domain (TLD):Servidores top-level domain (TLD):

• Responsáveis pelos domínios com, org, net, edu etc. e todos os Responsáveis pelos domínios com, org, net, edu etc. e todos os domínios top-level nacionais (ccTLD – Country Code TLD): br, ar, domínios top-level nacionais (ccTLD – Country Code TLD): br, ar, uk, fr, ca, jp...uk, fr, ca, jp...• Network Solutions mantém servidores para o TLD “com” TLDNetwork Solutions mantém servidores para o TLD “com” TLD• Educause para o TLD “edu”Educause para o TLD “edu”• No Brasil, é Comitê Gestor da Internet no Brasil, a parte No Brasil, é Comitê Gestor da Internet no Brasil, a parte

operacional é no Registro.br (operacional é no Registro.br (http://registro.br))• Servidores DNS autorizadosServidores DNS autorizados

• Servidores DNS de organizações, provêem mapeamento de nomes Servidores DNS de organizações, provêem mapeamento de nomes para endereços de forma autorizada no domínio da organização para endereços de forma autorizada no domínio da organização (ex.: Web e mail).(ex.: Web e mail).• Podem ser mantidos por uma organização ou provedor de Podem ser mantidos por uma organização ou provedor de

serviçosserviços

Lista de TLDs no Brasil -Lista de TLDs no Brasil -http://registro.br/dominio/dpn.html

ccTLD (IANA) - ccTLD (IANA) - http://www.iana.org/domains/root/db/


• Servidor de nomes localServidor de nomes local• Não pertence estritamente a uma hierarquiaNão pertence estritamente a uma hierarquia• Cada ISP (ISP residencial, companhia, universidade) possui umCada ISP (ISP residencial, companhia, universidade) possui um• Também chamado de “servidor de nomes default”Também chamado de “servidor de nomes default”• Quando um host faz uma pergunta a um DNS, a pergunta é Quando um host faz uma pergunta a um DNS, a pergunta é

enviada para seu servidor DNS localenviada para seu servidor DNS local• Age como um Age como um proxyproxy, encaminhando as perguntas para dentro da , encaminhando as perguntas para dentro da

hierarquia de servidoreshierarquia de servidores

ComponentesComponentes


FuncionalidadesFuncionalidades• Cliente quer o IP do domínio Cliente quer o IP do domínio www.amazon.comwww.amazon.com::

• Cliente consulta o servidor local de DNS; Se estiver no cache Cliente consulta o servidor local de DNS; Se estiver no cache responde localmente; responde localmente; • Caso contrário, o Cliente ou o Servidor local, consulta os Caso contrário, o Cliente ou o Servidor local, consulta os

servidores raiz para encontrar o servidor DNS responsável servidores raiz para encontrar o servidor DNS responsável

pelos domínios pelos domínios .com.com• Cliente ou Servidor Local consulta o servidor DNS Cliente ou Servidor Local consulta o servidor DNS .com.com para obter para obter

o servidor de DNS autoritário para o servidor de DNS autoritário para amazon.comamazon.com• Cliente ou Servidor Local consulta o servidor de DNS Cliente ou Servidor Local consulta o servidor de DNS amazon.comamazon.com

para obter o endereço IP de para obter o endereço IP de www.amazon.com• Cliente e Servidor Local armazenam em cache o resultado da Cliente e Servidor Local armazenam em cache o resultado da

consultaconsulta


FuncionalidadesFuncionalidades

• O hospedeiro em O hospedeiro em cis.poly.educis.poly.edu quer o quer o endereço IP para endereço IP para gaia.cs.umass.edugaia.cs.umass.edu


FuncionalidadesFuncionalidades• Consulta recursiva:Consulta recursiva:

• Transfere a tarefa de Transfere a tarefa de resolução do nome resolução do nome para o servidor de para o servidor de nomes consultadonomes consultado

• Consulta encadeada:Consulta encadeada:• Servidor contatado Servidor contatado

responde com o nome responde com o nome de outro servidor de de outro servidor de nomes para contatonomes para contato

• ““Eu não sei isto, mas Eu não sei isto, mas pergunte a este pergunte a este servidor”servidor”


FuncionalidadesFuncionalidades• CacheCache

• Uma vez que um servidor de nomes apreende um mapeamento, Uma vez que um servidor de nomes apreende um mapeamento, ele armazena o mapeamento num registro do tipo cacheele armazena o mapeamento num registro do tipo cache• Registros do cache tornam-se obsoletos (desaparecem) Registros do cache tornam-se obsoletos (desaparecem)

depois de um depois de um certo tempocerto tempo• Servidores TLD são tipicamente armazenados em cache nos Servidores TLD são tipicamente armazenados em cache nos

servidores de nome locaisservidores de nome locais• Mecanismos de atualização e notificação estão sendo projetados Mecanismos de atualização e notificação estão sendo projetados

pelo IETFpelo IETF• RFC 2136RFC 2136• http://www.ietf.org/html.charters/dnsind-charter.htmlhttp://www.ietf.org/html.charters/dnsind-charter.html


FuncionalidadesFuncionalidades• Tipos de registrosTipos de registros

• base de dados distribuída que armazena registros de recursos base de dados distribuída que armazena registros de recursos (RR)(RR)• formato dos RR: (name, value, type, ttl)formato dos RR: (name, value, type, ttl)

Type = NSType = NS namename é um domínio (ex.: é um domínio (ex.:

foo.com)foo.com) valuevalue é o endereço IP do é o endereço IP do

servidor de nomes servidor de nomes autorizados para este autorizados para este domíniodomínio

Type = AType = A namename é o nome do é o nome do

computadorcomputador valuevalue é o endereço IP é o endereço IP

Type = CNAMEType = CNAME namename é um “apelido” para algum é um “apelido” para algum

nome “canônico” (o nome real)nome “canônico” (o nome real) www.ibm.com é realmente www.ibm.com é realmente servereast.backup2.ibm.comservereast.backup2.ibm.com valuevalue é o nome canônico é o nome canônico

Type = MXType = MX valuevalue é o nome do servidor é o nome do servidor

de correio associado de correio associado com com namename


ProtocoloProtocolo• Protocolo DNS: mensagem de consulta e resposta, ambas com o Protocolo DNS: mensagem de consulta e resposta, ambas com o

mesmo formato de mensagemmesmo formato de mensagem• Cabeçalho da mensagemCabeçalho da mensagem

• Identificação: número de 16 bits para consulta, resposta usa o Identificação: número de 16 bits para consulta, resposta usa o mesmo númeromesmo número

• Flags:Flags:• Consulta ou respostaConsulta ou resposta• Recursão desejada Recursão desejada • Recursão disponívelRecursão disponível• Resposta é autorizadaResposta é autorizada


ProtocoloProtocolo• Exemplo: empresa recém-criada “Network Utopia”Exemplo: empresa recém-criada “Network Utopia”

• Registrar o nome networkutopia.com num “registrar” (ex.: Network Registrar o nome networkutopia.com num “registrar” (ex.: Network Solutions)Solutions)• É necessário fornecer ao registrar os nomes e endereços IP É necessário fornecer ao registrar os nomes e endereços IP

do seu servidor nomes autorizados (primário e secundário)do seu servidor nomes autorizados (primário e secundário)• Registrar insere dois RRs no servidor TLD do domínio com:Registrar insere dois RRs no servidor TLD do domínio com:

• (networkutopia.com, dns1.networkutopia.com, NS)(networkutopia.com, dns1.networkutopia.com, NS)• (dns1.networkutopia.com, 212.212.212.1, A)(dns1.networkutopia.com, 212.212.212.1, A)

• No servidor autorizado, inserir um registro Tipo A para No servidor autorizado, inserir um registro Tipo A para www.networkutopia.com e um registro Tipo MX para www.networkutopia.com e um registro Tipo MX para networkutopia.comnetworkutopia.com


ProtocoloProtocolo• Programa do usuário solicita endereço IP para um nome de domínio;Programa do usuário solicita endereço IP para um nome de domínio;

• Módulo tradutor (resolver) no host ou ISP local formula consulta para Módulo tradutor (resolver) no host ou ISP local formula consulta para servidor de nomes local (mesmo domínio do tradutor);servidor de nomes local (mesmo domínio do tradutor);

• Servidor de nomes local verifica banco de dados/cache local;Servidor de nomes local verifica banco de dados/cache local;• se encontrado, retorna endereço IP ao solicitante;se encontrado, retorna endereço IP ao solicitante;• se não encontrado, consulta outros servidores de nomes se não encontrado, consulta outros servidores de nomes

disponíveis, começando pela raiz da árvore do DNS ou o mais disponíveis, começando pela raiz da árvore do DNS ou o mais alto possível na árvore;alto possível na árvore;

• Quando a resposta é recebida, o servidor de nomes local armazena o Quando a resposta é recebida, o servidor de nomes local armazena o mapeamento nome/endereço no cache local;mapeamento nome/endereço no cache local;

• Programa do usuário recebe endereço IP ou mensagem de erro.Programa do usuário recebe endereço IP ou mensagem de erro.


ProtocoloProtocolo• Consulta começa com tradutor de nomes localizado no sistema Consulta começa com tradutor de nomes localizado no sistema

host do usuáriohost do usuário

• Se o nome solicitado não estiver no cache, é enviada uma Se o nome solicitado não estiver no cache, é enviada uma consulta ao servidor de DNS localconsulta ao servidor de DNS local

• retorna um endereço imediatamente, ouretorna um endereço imediatamente, ou• retorna endereço após consultar outros servidoresretorna endereço após consultar outros servidores

• Dois tipos de consultas possíveisDois tipos de consultas possíveis• RecursivaRecursiva• IterativaIterativa


ProtocoloProtocolo• Busca Busca recursivarecursiva para obter a resolução do nome para obter a resolução do nome

gaia.cs.umass.edugaia.cs.umass.edu

11

22 33

4455

66

Host requisitante Host requisitante surf.eurecom.frsurf.eurecom.fr

Servidor de Servidor de nomes local nomes local dns.eurocom.frdns.eurocom.fr

Servidor de Nome RaizServidor de Nome Raiz

Servidor de nomes autoritário Servidor de nomes autoritário (Authoritative) dns.umass.edu(Authoritative) dns.umass.edu

gaia.cs.umass.edugaia.cs.umass.edu


ProtocoloProtocolo• Busca recursiva com um servidor intermediário entre o servidor raiz e Busca recursiva com um servidor intermediário entre o servidor raiz e

o servidor autoritárioo servidor autoritário

11

22

Host requisitante Host requisitante surf.eurecom.frsurf.eurecom.fr

Servidor de Servidor de nomes local nomes local dns.eurocom.frdns.eurocom.fr

Servidor de Nome RaizServidor de Nome Raiz

Servidor de nomes Servidor de nomes intermediário dns.umass.eduintermediário dns.umass.edu

Gaia.cs.umass.eduGaia.cs.umass.edu

33

4455

6677

88

Servidor de nomes autoritário Servidor de nomes autoritário (Authoritative) dns.umass.edu(Authoritative) dns.umass.edu


AplicaçõesAplicações• Clientes e servidores de DNS existem para a maioria dos sistemas Clientes e servidores de DNS existem para a maioria dos sistemas

operacionais. operacionais. • Nos sistemas operacionais, existe, pelo menos, um cliente Nos sistemas operacionais, existe, pelo menos, um cliente

((resolverresolver) nativo) nativo• No Linux, a implementação mais comum é o No Linux, a implementação mais comum é o ISC BINDISC BIND para servidor para servidor• No Windows, o MS DNS Server é o mais utilizadoNo Windows, o MS DNS Server é o mais utilizado• Atualmente, todos os modens/roteadores ADSL possuem uma Atualmente, todos os modens/roteadores ADSL possuem uma

implementação de servidor DNS para cache (implementação de servidor DNS para cache (DNS RelayDNS Relay))

Exemplo de configuração Exemplo de configuração do ISC BINDdo ISC BIND


AplicaçõesAplicações• Cliente DNS (resolver)Cliente DNS (resolver)

• Responsável por solicitar as consultas ao servidorResponsável por solicitar as consultas ao servidor• No Microsoft Windows e no Linux, o utilitário No Microsoft Windows e no Linux, o utilitário

nslookupnslookup possui funcionalidades para diagnóstico possui funcionalidades para diagnóstico do serviço de DNSdo serviço de DNS

• No Linux, o utilitário No Linux, o utilitário digdig substituiu o substituiu o nslookupnslookup na na distribuições mais recentesdistribuições mais recentes


SegurançaSegurança• Problemas de segurança mais comuns ao serviço de DNS :Problemas de segurança mais comuns ao serviço de DNS :

• Ataques de negação de serviço (DOS – Denial of Service)Ataques de negação de serviço (DOS – Denial of Service)• Clientes ficam impossibilitados de resolver nomesClientes ficam impossibilitados de resolver nomes• Se o usuário souber o IP do host destino, poderá Se o usuário souber o IP do host destino, poderá

acessar sem problemas. acessar sem problemas. Você sabe o IP do Terra de Você sabe o IP do Terra de cabeça? cabeça?

• Envenenamento de DNSEnvenenamento de DNS• Enganar o cache do DNS e forçar a resolução de nomes para Enganar o cache do DNS e forçar a resolução de nomes para

um IP maliciosoum IP malicioso• Os usuários poderiam ser direcionados para qualquer Os usuários poderiam ser direcionados para qualquer

endereço que o atacante desejasse, mesmo buscando de endereço que o atacante desejasse, mesmo buscando de forma correta o domínioforma correta o domínio

• Conhecida como Kaminsky Vulnerabilty Conhecida como Kaminsky Vulnerabilty (http://unixwiz.net/techtips/iguide-kaminsky-dns-vuln.html)(http://unixwiz.net/techtips/iguide-kaminsky-dns-vuln.html)


Referências BibliográficasReferências Bibliográficas• RFC 1034 - RFC 1034 - DOMAIN NAMES - CONCEPTS AND FACILITIESDOMAIN NAMES - CONCEPTS AND FACILITIES• RFC 1035 – DOMAIN NAMES - IMPLEMENTATION AND SPECIFICATIONRFC 1035 – DOMAIN NAMES - IMPLEMENTATION AND SPECIFICATION• Serviço WHOIS da ARIN - http://whois.arin.net/ui/Serviço WHOIS da ARIN - http://whois.arin.net/ui/• Serviço WHOIS da RIPE - http://www.ripe.net/db/whois.htmlServiço WHOIS da RIPE - http://www.ripe.net/db/whois.html• Serviço WHOIS da APNIC - http://www.apnic.net/apnic-info/whois_search2Serviço WHOIS da APNIC - http://www.apnic.net/apnic-info/whois_search2

• Arquivos HOSTS.TXT antigos - Arquivos HOSTS.TXT antigos - http://pdp-10.trailing-edge.com/bb-ev83b-http://pdp-10.trailing-edge.com/bb-ev83b-bm/01/new-system/hosts.txt.htmlbm/01/new-system/hosts.txt.html

• Servidores Raiz (IANA) - http://www.iana.org/domains/root/db/index.htmlServidores Raiz (IANA) - http://www.iana.org/domains/root/db/index.html

• Informações e localização dos servidores raiz - http://www.root-Informações e localização dos servidores raiz - http://www.root-servers.org/servers.org/

• Os cinco piores incidentes de segurança no serviço DNS - Os cinco piores incidentes de segurança no serviço DNS - http://www.securityweek.com/top-five-worst-dns-security-incidentshttp://www.securityweek.com/top-five-worst-dns-security-incidents

• ALBITZ, Paul; LIU, Cricket. DNS and BIND. 4th edition, O’Reilly, 2001.ALBITZ, Paul; LIU, Cricket. DNS and BIND. 4th edition, O’Reilly, 2001.

Documents

Prof. André Moraes - Redes de Computadores III 1 Redes de Computadores III Roteiro 8: DNS (Domain Naming System) André Moraes 2012 Faculdade de Tecnologia