Como funciona a InternetDNS

Antonio M. MoreirasJosé Luiz Ribeiro Filho12/08/2014 – 11h00 às 12h30

Como funciona a InternetVocê sabe?• Como descubro quem é o “dono” de um nome na

Internet? • Quem controla o DNS pode “desligar” a Internet?• A tecnologia do DNSSEC pode ter algum efeito no

mercado de certificados para sites?

O DNS é apenas uma GRANDE tabela (catálogo), que associa nomes fáceis de lembrar (para nós seres humanos), em números IP que os computadores utilizam.

Nome IP

www.meusite.com.br 200.10.52.10

www.sitio.org 210.120.5.20

www.nome.eng.br 172.55.23.15

www.rnp.br 200.130.35.4

www.nic.br 2001:db8:a:b::c

www.cgi.br 2001:db8::coco

Como funciona a InternetO que é o DNS?

Como funciona a InternetPara que serve o DNS?

Implementa o serviço de nomes da arquitetura

TCP/IP

Provê um esquema para atribuir nomes às

estações

Especifica um mecanismo de mapeamento

automático de nomes de estações para seus

respectivos endereços IP

Implementado em um conjunto hierárquico e

geograficamente distribuído de

servidores de nomes

Como funciona a InternetHierarquia de domínios

gTLDsccTLDs

Como funciona a InternetComo é feita a tradução de um nome em um IP?

Regras:• Cada nível só conhece os endereços IP dos servidores de

nomes para os domínios imediatamente inferiores (subdomínios)• Cada domínio possui pelo menos um servidor de nomes

autoritativo conhecido pelos servidores dos níveis superiores• A hierarquia de domínios não tem limite para a

quantidade/profundidade de subdomínios• Para fazer a tradução de um nome podem ser necessárias tantas

consultas quantos forem os níveis de subdomínios até chegar ao servidor raíz

• Um servidor de nomes local ou intermediário pode conhecer a tradução de um nome de estação (por um período de tempo – TTL)

• Mais de um nome de estação pode estar associado a um mesmo endereço IP

Como funciona a InternetComo é feita a tradução de um nome em um IP?

Exemplo:

root conhece oIP do servidor .br

.br conhece oIP do servidor .rnp

.rnp conhece oIP do servidor www(200.130.35.4)

www.rnp.br .

Como funciona a InternetDNS - Servidores raíz oficiais (13)

Como funciona a InternetComo é feita a tradução de um nome em um IP

Exemplo:

www.rnp.br(200.130.35.4)

notebook15.xpto.com(11.183.12.56)

.xpto é o serividor de nomes para notebook151)notebook15 pergunta para .xpto se conhece www.rnp.br2).xpto retorna para notebook15 o IP do servidor .com3)notebook15 pergunta para .com se conhece www.rnp.br4).com responde para notebook15 o IP do servidor raiz (.)5)notebook15 pergunta para raiz (.) se conhece www.rnp.br6)raiz (.) retorna para notebook15 o IP do servidor .br7)notebook15 pergunta para .br se conhece www.rnp.br8).br retorna para notebook15 o IP do servidor de .rnp9)notebook15 pergunta para .rnp se conhece www.rnp.br10).rnp retorna para notebook15 o endereço 200.130.35.411)notebook15 envia pacotes de dados para 200.130.35.4

Esta sequência é sempre executada?•Ao longo do processo os servidores intermediários de nomes podem armazenar as respostas parciais às consultas.•Os dados são mantidos pelos servidores intermediários de nomes por um periodo de tempo pré-definido (TTL – Time To Live) •Nas próximas consultas o servidor intermediário de nomes verifica na sua memória temporária (cache) se já possui a informação antes de retornar o IP do servidor de nomes acima na árvore.•A estação que iniciou a consulta também guarda o resultado da tradução na sua memória local para evitar solicitar novamente a tradução do mesmo nome de dominio.

Por que o resultado da tradução do nome para o IP não deve ser guardada localmente para sempre?

Como funciona a InternetComo é feita a tradução de um nome em um IP

Como funciona a InternetSequestro de DomíniosÉ possível sequestrar um domínio?

•Se um dos servidores de nomes de domínio na árvore tiver sua base de dados comprometida então retornará um endereço IP incorreto, apontando para um IP destino falso ou para um IP de um outro servidor de nome de domínio falso.

•Se a memória (cache) local da estação também for alterada o próximo acesso ao mesmo nome de domínio levará a um IP falso.

Como funciona a InternetServidores DNS: zonas, tipos e funções

Além de dividir o espaço de nomes em domínios, existe também o conceito de zonas. A zona é uma fonte de informações autoritativas sobre cada dominio de DNS pertencente à zona.

Zona Primária - mantém um servidor autoritativo que conhece a tradução dos nomes de todos os subdomínios da sua respectiva zona. As alterações da correspondência entre nomes de domínio / estações e números IP é feita na base de dados dos servidores de zonas primárias.

Zona Secundária – o servidor de nomes da uma zona secundária mantém uma cópia dos registros de um servidos de zona primária (backup). Os registros de uma zona secundária não podem ser alteradas diretamente.

Como funciona a InternetServidores DNS: zonas, tipos e funções

DNS Autoritativo- responsável oficial pela base de dados de tradução de um nome de domínio / estação para endereços IP em um domínio ou zona.

DNS Recursivo –.servidor intermediário que mantém tabelas com dados temporários com traduções de nomes de domínios / estações para IPs e endereços IP dos servidores autoritativos de um domínio (incluindo os raíz). Os dados não são tão confiáveis quanto os mantidos pelos DNS autoritativos.

Resolver (cliente) – componente que existe no sistema operacional da estação (cliente) para o qual são encaminhados os pedidos de tradução de nomes de domínio. Pode manter uma lista permanente (arquivo hosts) e uma memória temporária localmente. Os dados do arquivo hosts é de responsabilidade do usuário/cliente.

Como funciona a InternetArquivo local hostsNas estações Windows o arquivo hosts é encontrado em: C> /Windows/System32/drivers/etc/hosts

Como funciona a InternetGestão administrativa

Registries x Registrars

http://en.wikipedia.org/wiki/Domain_name_registry

DNS Registry

Os DNS registries são as base de dados que contém os domínios e as informações administrativas (nome do “dono”do domínio, contatos técnicos, etc.) de cada um dos ‘top level domains’ da Internet. A maioria dos DNS registries operam somente com bases de informações dos top level e second level.

Um operador de DNS registry, também chamado Network Information Center (NIC), mantém os dados administrativos dos domínios em uma base de informações onde estão os endereços IP dos servidores de nomes autoritativos de cada domínio. Cada Registry é uma organização que gerencia o processo de registro e atualização dos dados dos domínio pelo qual é responsável (ex: .com, .net, .org). Controla as políticas de alocação de nomes. Pode acumular também a função de DNS registrar ou delegá-la para outras organizações.

Como funciona a InternetGestão administrativa

Registries x Registrars

http://en.wikipedia.org/wiki/Domain_name_registrar

DNS Registrar

Os DNS registrars é uma organização comercial que gerencia o processo de reserva de nomes de domínio da Internet. Um DNS registrar precisa ser credenciado por um DNS registry operador de pelo menos um generic top level domains (gTLD) e/ou um detentor de country code top level domain (ccTLD).

A administração de DNS registrars é realizada seguindo regras estabelecidas pelos DNS Registry responsável por um determinado domínio.

Na prática o DNS registrar opera como um “serviço de vendas”de nomes de domínio e remunera o DNS registry com um percentual do preço do nome de domínio vendido.

Uma parcela dos recursos recebidos pelos DNS Registries contribuem para o financiamento das organizações de governança da Internet como a ICANN.

Como funciona a InternetServidores DNS - mitos

• O tráfego da Internet não passa pelos servidores raíz• A tradução de nomes não depende dos servidores raíz

localizados nos Estados Unidos• Não são necessários mais servidores raíz• As transações para tradução de nomes não consomem banda

na Internet• O Brasil possui cópias das bases de dados dos servidores raíz.• A IANA não está obrigada a conceder a gestão de um nome de

dominio nacional (ccTLD) a um governo/instituição governamental

Como funciona a InternetServidores raíz DNS – cópias no Brasil

Como funciona a InternetDNSSEC• O DNS é susceptível a ataques

– Man in the middle– Cache poisoning

• O DNSSEC acrescenta criptografia a cada uma das interações do DNS– Para funcionar bem, todos os elementos devem

suportar:• Os autoritativos• O recursivo• O resolver

• Com o DNSSEC também é possível armazenar no DNS certificados usados em outros protocolos.

Como funciona a InternetConsultando um domínio• Whois – programa para consultar as bases de dados do DNS

$ whois moreiras.eng.br

domain: moreiras.eng.browner: Antonio Marcos Moreirasownerid: 152.619.338-89country: BRowner-c: AMM193admin-c: AMM193tech-c: AMM193billing-c: AMM193

nic-hdl-br: AMM193person: Antonio Marcos Moreirase-mail: moreiras@gmail.comcreated: 20001016changed: 20090521

http://whois.registro.br

ObrigadoAntonio M. Moreiras

moreiras@nic.brJosé Luiz Ribeiro Filho

jose.luiz@rnp.br