Domain Name System. Hierarchie

Podobné dokumenty
Počítačové sítě II. 16. Domain Name System Miroslav Spousta,

15. DNS. Miroslav Spousta, Domain Name System. eklad ze snadno zapamatovatelných jmen na IP adresy. Historie

Počítačové sítě Aplikační vrstva Domain Name System (DNS)

DNS. Počítačové sítě. 11. cvičení

Přístup k transportní vrstvě z vrstvy aplikační rozhraní služeb služby pro systémové aplikace, služby pro uživatelské aplikace DNS

DNS, DHCP DNS, Richard Biječek

Domain Name System (DNS)

Domain Name System (DNS)

Jmenné služby a adresace

Y36SPS Jmenné služby DHCP a DNS

DNS Domain Name System

9. Systém DNS. Počítačové sítě I. 1 (6) KST/IPS1. Studijní cíl. Představíme si problematiku struktury a tvorby doménových jmen.

Technologie počítačových sítí AFT NAT64/DNS64. Bc. Lumír Balhar (BAL344), Bc. Petr Kadlec (KAD0019)

Poslední aktualizace: 1. srpna 2011

Aplikační vrstva. Přístup k transportní vrstvě z vrstvy aplikační rozhraní služeb služby pro systémové aplikace, služby pro uživatelské aplikace HTTP

Popis nastavení DNS serveru Subjektu

Překlad jmen, instalace AD. Šimon Suchomel

Katedra softwarového inženýrství Matematicko-fyzikální fakulta UK

SOU Valašské Klobouky. VY_32_INOVACE_02_18 IKT DNS domény. Radomír Soural. III/2 Inovace a zkvalitnění výuky prostřednictvím ICT

NAT-PT/DNS64/AFT. Bc. Lumír Balhar (BAL344), Bc. Petr Kadlec (KAD0019)

X36PKO Jmenné služby Jan Kubr - X36PKO 1 4/2007

Technologie počítačových sítí 10. přednáška

Katedra softwarového inženýrství Matematicko-fyzikální fakulta UK

Katedra softwarového inženýrství Matematicko-fyzikální fakulta UK


Ondřej Caletka. 23. května 2014

Rodina protokolů TCP/IP, verze 2.7. Část 4: Systém DNS

Zásobník protokolů TCP/IP

Počítačové sítě 1 Přednáška č.10 Služby sítě

DNSSEC Pavel Tuček

Počítačové sítě Systém doménových jmen a centralizované přidělování IP adres. Leoš Boháč Jan Kubr

Správa linuxového serveru: DNS a DHCP server dnsmasq

DHCP a DNS a jak se dají využít v domácí síti

Serverové systémy Microsoft Windows

Securityworld, 3. června DNSSEC část první aneb je potřeba začít od píky. Princip DNS

Site - Zapich. Varianta 1

pozice výpočet hodnota součet je 255

Systém doménových jmen. DNS Domain Name Systém, systém doménových jmen WINS Windows Internet Name Service

Serverové systémy Microsoft Windows

DNS server (nameserver, jmenný server) Server, který obsahuje všechny veřejné IP adresy a jejich přiřazené doménové jména a překládá je mezi sebou. Po

L i n u x j a k o r o u t e r, f i r e w a l l, D H C P s e r v e r, p r o x y a D N S c a c h e, 2. č á s t

DHCP, DNS, skupiny a domény

3. listopadu Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.

Inovace výuky prostřednictvím šablon pro SŠ

Principy a správa DNS - cvičení

Další nástroje pro testování

Útoky na DNS. CZ.NIC Labs. Emanuel Petr IT10, Praha

Falšování DNS s RPZ i bez

Počítačové sítě. Jan Outrata KATEDRA INFORMATIKY UNIVERZITA PALACKÉHO V OLOMOUCI. přednášky

Adresářové služby, DNS

}w!"#$%&'()+,-./012345<ya

CAD pro. techniku prostředí (TZB) Počítačové sítě

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Serverové systémy Microsoft Windows

Y36SPS: Domain name systém 1. Seznamte se s výchozími místy uložení konfiguračních souborů serveru bind9 v Debianu

Zásobník protokolů TCP/IP

DNS,BIND - jednoduche zaklady Jiri Kubina jiri.kubina@osu.cz Ver. 1.0 unor 2006

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Univerzita Karlova v Praze Matematicko-fyzikální fakulta BAKALÁŘSKÁ PRÁCE. Petr Šťastný. Analýza stavu DNS serverů domén druhé úrovně

Inovace výuky prostřednictvím šablon pro SŠ

Linux jako broadband router (2)

Inovace výuky prostřednictvím šablon pro SŠ

Internet. Počítačová síť, adresy, domény a připojení. Mgr. Jan Veverka Střední odborná škola sociální Evangelická akademie

Datum vytvoření. Vytvořeno 18. října Očekávaný výstup. Žák chápe pojmy URL, IP, umí vyjmenovat běžné protokoly a ví, k čemu slouží

Administrace OS UNIX

Internet a zdroje. (ARP, routing) Mgr. Petr Jakubec. Katedra fyzikální chemie Univerzita Palackého v Olomouci Tř. 17. listopadu

Administrace Unixu (DNS)

Úvod do informatiky 5)

Internet - základní pojmy

Principy a správa DNS - cvičení

Jak vylepšujeme DNS infrastrukturu pro.cz? Zdeněk Brůna

Útok na DNS pomocí IP fragmentů

Příklad (obr. 11.1): Chci-li se přihlásit na uzel info.pvt.net s IP adresou , použiji příkaz:

DNS, jak ho (možná) neznáte

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

Elektronická pošta (e mail)

IPv6. RNDr. Ing. Vladimir Smotlacha, Ph.D.

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

DNSSEC Validátor - doplněk prohlížečů proti podvržení domény

BI-AWD. Administrace Webového a Databázového serveru Úvod do problematiky HTTP serveru

WrapSix aneb nebojme se NAT64. Michal Zima.

Celosvětová síť Internet. IKT pro PD1

ISA seminární práce. Zadání č. 4 Konfigurace www serveru ISP

Ondřej Caletka. 2. března 2014

Doménový svět, jak to funguje? CZ.NIC z. s. p. o. Ondřej Filip Seminář MPO

Téma 2 - DNS a DHCP-řešení

Úvod do tvorby internetových aplikací

KLIENT PROTOKOLU DNS S GRAFICKÝM ROZHRANÍM VHODNÝ PRO DEMONSTRATIVNÍ ÚČELY

Úvod do analýzy. Ústav informatiky, FPF SU Opava Poslední aktualizace: 8. prosince 2013

3. Systém DNS. 3.1 Služba DNS

Adresování v internetu

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Osnova dnešní přednášky

DNSSEC. Proč je důležité chránit internetové domény? CZ.NIC z.s.p.o. Pavel Tůma

Identifikátor materiálu: ICT-3-03

Instalace Active Directory

Analýza protokolů rodiny TCP/IP, NAT

Windows Server 2003 Active Directory

Úvod do aplikací internetu a přehled možností při tvorbě webu

Transkript:

Počítačové sít ě II Domain Name System Historie 15. DNS Miroslav Spousta, 2005 DNS = doménový jmenný systém IP používá číselné adresy (32 nebo 128b) těžko zapamatovatelné původní řešení: centralizované v zárodečném ARPANETu existovala centrální autorita, která přidělovala jména (a jejich přiřazení k IP adresám) tyto adresy stačí pro funkci IP, TCP, UDP aktualizace informací probíhala pomocí distribuce tzv. hosts souboru vlastn ě celého Internetu, až na lidi p eklad ze snadno zapamatovatelných jmen na IP adresy řa obráceně hierarchická databáze překlady oběma směry mechanismus pro převod adres s nár stem velikosti souboru p estala tato možnost vyhovovat půř s velikostí a rychlostí aktualizací broblém ylo potřeba databázi distribuovat (rozložení zátěže i pravomocí) počátkém 80. let začíná vznikat DNS dodnes existuje soubor /etc/hosts obsahující statické přiřazení jmen k adresám 1 jmenné servery pravidla pro vytváření jmen 2 ale spravuje se pouze lokáln ě (pro jeden uzel) hodí se pro malé/ad-hoc sítě 3 Vlastnosti DNS Hierarchie Doménová jména DNS je jedna z nejdůležitějších služeb Internetu bez ní Internet fakticky funguje, pro lidi je však nepoužitelný nap ř. e-maily nebudou fungovat vůbec robustnost odolnost proti výpadkům uzl ů (DNS server ů) replikace distribuované místn ě odolnost proti výpadkům sít ě/připojení sít ě, rozložení zátěže distribuce pravomocí aby adresy nemusela p ř id ě lovat centrální autorita mnoho subjekt ů, které si chtějí spravovat jména samy (instituce, firmy,,,,) snadno zapamatovatelné, logické názvy jednoduchá hierarchická struktura, jména jsou jednoznačná rozdělení prostoru na několik částí úrovní 4 jmenný prostor je rozdělený na části domény vytváří stromovou strukturu ko ř en je po č átek prostoru cesta od kořene k listu udává plné jméno uzlu neboli fqdn fully qualified domain name doména je jedna úrove ň stromu je jednoznačn ě určena cestou ke kořeni (.) jsou v ní definovány další domény nebo jména nižší úrovně úrovn ě se čislují od 1 (ale říká se jí nejvyšší) domény se zapisují za sebou, jednotlivé úrovn ě jsou odděleny tečkou zapisuje se zprava doleva (vpravo je nejvyšší doména úrove ń 1) m karlin 5 mohou obashovat velká a malá písmena anglické abecedy, číslice a pomlčku pomlčka nesmí stát na začátku ani na konci jména max. velikost na jedné úrovni je 63 znaků velká a malá písmena se nerozlišují (Sun.COM == sun.com) počet vnoření (poddomén) není explicitn ě omezen ale fqdn musí mít maximáln ě 255 znak ů čemu odpovídá jedna úrove ň (doména)? organizačnímu členění? prostorovému rozdělení? není explicitn ě určeno, záleží na uživateli velikost domény souvisí s její udržovatelností v rámci domény musí být jména jednoznačná doména je většinou spravovaná centráln ě, z jednoho místa 6

Domény Zóny Name servery TLD (top level domain domény nejvyšší (první) úrovn ě) jsou centráln ě přidělené a spravované nap ř., sk, uk, com, org, net, us jejich správa (přidělování domén nižší úrovn ě) je delegováno zájemci o nižší (druhou) úrove ň se obracejí na národní registrátory CZ: NIC.CZ, poskytovatelé připojení v rámci své domény si subjekty přidělují poddomény libovolně malé organizace mají většinou všechna jména přímo ve svojí doméně větší doménu mohou dělit (. =>.., natur.., m..,...) 7 zóna: doména s (některými) poddoménami, která je jednotn ě spravovaná tedy jedním subjektem (nap ř. ISP, firmou,...) z podstromu mohou být vykousnuty některé podstromy které spravuje někdo jiný, tedy pravomoce (autorita) jsou delegovány na jiný subjekt zóna je zpravidla uložena v jednom souboru (tzv. zónový soubor) v něm jsou položky vztahující se k dané zón ě resource records (RR) m karlin gh 8 pro každou doménu je potřeba uchovat různé informace p na IP adresy (uzel se jménem procite má adresu 1.2.3.4) křeklad terý uzel přijímá poštu pro danou doménu které y jsou dostupné pro doménu/poddoménu... informace jsou distribuovány po celém Internetu jsou soustředěny na ech které mají informace o určité domén ě (zón ě) a odpovídají na dotazy klientů každá doména má svůj ale může ho sdílet s jinou doménou (jeden pro více domén) 9 Name servery Root s Root s y tvoří stromovou hierarchii root ko ř en stromu je tzv. ko ř enový (root) name server, který uchovává odkazy na všechny y pro TLD ve skutečnosti je těchto ů více (a.root-servers.net m.root-servers.net) odkazy na nižší zóny se řeší pomocí tzv. glue records uchovává informace pro celou zónu pro jednu doménu existují aspo ň dva y..... m.. m karlin.m.. karlin gh ochrana proti výpadkům uzlu/sítě 10 11 12

Primární a sekundární NS DNS dotaz DNS dotaz:.. primární NS pro doménu pro každou doménu existuje práv ě jeden je na něm uložen zónový soubor slouží jako primární zdroj dat sekundární NS obsahuje obraz dat pro doménu primárního NS pravideln ě si aktualizuje tento obraz dat (pomocí zone transfer) odpovídá na dotazy stejn ě jako primární NS měl by být od primárního NS dostatečn ě vzdálen (v jiné síti) pro každou doménu by měl existovat alespo ň jeden primární i sekundární NS jsou autoritativní pro danou doménu neboli vždy vrací platné informace (aspo ň by měly) 13 Q:.karlin.m.. A:.: ns.tld. root ; <<>> DiG 9.2.1 <<>> +trace.. ;; global options: printcmd. 272471 IN NS A.ROOT-SERVERS.NET.. 272471 IN NS B.ROOT-SERVERS.NET.. 272471 IN NS C.ROOT-SERVERS.NET. Q:.karlin.m.... 272471 IN NS I.ROOT-SERVERS.NET. A:..: golias.ruk... 272471 IN NS J.ROOT-SERVERS.NET.. 272471 IN NS K.ROOT-SERVERS.NET.. 272471 IN NS L.ROOT-SERVERS.NET.... 272471 IN NS M.ROOT-SERVERS.NET. ;; Received 324 bytes from 195.113.0.2#53(195.113.0.2) in 36 ms. 172800 IN NS NS2.NIC.FR.. 172800 IN NS NS.RIPE.NET.. 172800 IN NS SUNIC.SUNET.SE.. 172800 IN NS NS-EXT.VIX.COM. m... 172800 IN NS NS.TLD.. Q:.karlin.m... 172800 IN NS NSS.TLD.. m ;; Received 269 bytes from 198.41.0.4#53(A.ROOT-SERVERS.NET) in 122 ms A: m...: ns.ms.m.... 18000 IN NS golias.ruk..... 18000 IN NS ns.ces.net. Q:.karlin.m.. karlin.m.. ;; Received 94 bytes from 192.36.125.2#53(SUNIC.SUNET.SE) in 37 ms... 86400 IN CNAME tarantula.ruk... A: karlin.m...: csmat.karlin.m.. tarantula.ruk... 86400 IN A 195.113.0.123 karlin gh ruk... 86400 IN NS cucc.ruk... ruk... 86400 IN NS golias.ruk... Q:.karlin.m.. ruk... 86400 IN NS ruzenka.prf... A:.karlin.m...: 195.113.30.214 14 ;; Received 187 bytes from 195.113.0.2#53(golias.ruk..) in 0 ms 15 DNS resolver Optimalizace DNS Resource records knihovny, které zajišťují kontakt s DNS serverem DNS: klient server architektura klient přijímá od aplikací dotazy a pokládá je NS vyhodnocuje a vrací odpov ěď aplikaci obvykle forma sdílené knihovny odpovídá na dotazy ohledn ě vlastních domén (vlastní zóny) a ř eší dotazy od klienta, hledá a vrací odpověď musí obsahovat také resolver redundandní y primární a sekundární rozkládání zátěže cachování dotazů nameserver, který vyřeší dotaz pro klienta si ho uloží do dočasné paměti každá položka má dobu, po kterou může zůstat nacachovaná p ř i dalším dotazu vrátí záznam z do č asné pam ě ti (nejv ě tší optimalizace) tzv. neautoritativní odpověď caching only obsah DNS databáze: položky RR (resource records) každá položka RR se skládá z jméno (identifikace položky) TTL (jak dlouho může client držet záznam v cache) class (třída) pro Internet IN typ (A, NS, MX,...) RDATA data, interpretace záleží na typu položky jsou většinou uloženy v jednoduché textové databázi zónovém souboru dotazy si ukládá v cache (non-authoritative answer) 16 NS, který pouze řeší dotazy není autoritativní pro žádnou zónu forwarding ani ne ř eší dotazy, jen p ř eposílá na jiný NS 17 jedna položka na jednom řádku pochází z BIND 18

Typy RR Zóna DNS protokol SOA: Start of Authority informace o zóně na začátku každého zónového souboru e-mail na osobu zodpovědnou za danou zónu časy pro synchronizaci mezi primárním a sekundárním NS A: překlad na IP adresu CNAME: alias pro jiné jméno NS: Name Server pro danou doménu (FQDN) MX: Mail exchange mail server pro doménu může jich být více, liší se prioritou, čím nižší číslo, tim vyšší priorita PTR: ukazatel jinam do jiné části DNS stromu pro reverzní překlad 19 $TTL 3D @ IN SOA ns.linux.bogus. hostmaster.linux.bogus. ( 199802151 ; serial, todays date + serial # 8H ; refresh, seconds 2H ; retry, seconds 4W ; expire, seconds 1D ) ; negative TTL ; NS ns ; Inet Address of MX 10 mail.linux.bogus. ; Primary Mail Exchanger MX 20 mail.friend.bogus. ; Secondary MX ; localhost A 127.0.0.1 ns A 192.168.196.2 mail A 192.168.196.4 20 b ží nad UDP (TCP), port 53 ěna dotazy na jméno preferován UDP na transfery zón se používá TCP stejný formát paketu pro dotaz i odpověď Header: hlavička požadavku jestli se jedná o dotaz či odpov ěď, kolik položek je v které části Question: dotaz (třída, typ, jméno) Answer: odpov ěď (RR odpovědi, může jich být více) Authority: NS, odkud záznam(y) pochází Additional: další informace, které souvisí s dotazem nap ř. p ř eklad NS/MX na IP adresu Header Question Answer Authority Additional 21 DNS dotaz nslookup Reverzní záznamy ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 3018 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 3 ;; QUESTION SECTION: ;idnes.. IN A ;; ANSWER SECTION: idnes.. 2940 IN A 194.228.207.200 ;; AUTHORITY SECTION: idnes.. 2940 IN NS ns2.mafra.. idnes.. 2940 IN NS ns.mafra.. idnes.. 2940 IN NS ns2.tel.. ;; ADDITIONAL SECTION: ns.mafra.. 1579 IN A 194.228.207.7 ns2.tel.. 1712 IN A 194.228.2.1 ns2.mafra.. 1579 IN A 62.209.231.7 22 příkazy pro testování DNS nslookup může fungovat také v interaktivním módu hodí se pro jednoduché testování DNS umí automaticky převádět i obráceným směrem: IP -> jméno původem z BIND (Berkeley Internet Name Domain) najdete je všude (Linux, UNIX, Windows,...) pokročilejší nástroj: dig bug:~# nslookup > idnes. Server: 62.24.64.2 Address: 62.24.64.2#53 Non-authoritative answer: Name: idnes. Address: 194.228.207.200 > quit Server: 62.24.64.2 Address: 62.24.64.2#53 ** server can't find quit: NXDOMAIN chceme obrácenou službu: z IP adresy získat doménové jméno nap ř. web/mail server chce do logu zapsat, odkud p ř išel požadavek funguje pomocí záznamu PTR speciální doména: in-addr.arpa v ní je po jednotlivých bytech uveden celý IPv4 rozsah nap ř. pro adresu 195.113.31.125 je to 125.31.113.195.in-addr.arpa bajty jsou uvedeny v obráceném pořadí (!) pro toto jméno existuje překlad pomocí PTR na jméno: artax.karlin.m.. 1.33.168.192.in-addr.arpa 1D IN PTR test1.aups.. 2.33.168.192.in-addr.arpa 1D IN PTR test2.apus.. 3.33.168.192.in-addr.arpa 1D IN PTR test3.apus.. > 23 24

CIDR a reverzní záznamy Diakritika v DNS IDN Překlad výše uvedený postup se příliš nehodí pro CIDR členění na podsít ě nemusí být po byte, je problém s autoritou nad danou zónou řešení: místo PTR ukazatel ů se uvede odkaz (glue records) na NS nižší úrovně v původním návrhu DNS se s národními znaky nepočítalo pouze anglická abeceda, čísla a - byla snaha povolit národní znaky nap ř.: koší č ky. 1.33.168.192.in-addr.arpa. IN NS ns řešení: IDN (Internationalized Domain Names) 2.33.168.192.in-addr.arpa. IN NS ns RFC 3490 3.33.168.192.in-addr.arpa. IN NS ns v doménových jménech je možné používat podmnožinu UNICODE ns.33.168.192.in-addr.arpa IN A 192.168.33.1 nadstavba nad DNS, překládá se na stran ě klienta (neboli v DNS se nic nemění) @ 1D IN SOA ns hostmaster.in-addr.arpa. (0 3600 120 3600 3600) @ 1D IN NS ns jméno se nejprve přeloží do speciální formy (ne-ascii znaky se zakódují ns 1D IN A 192.168.33.1 podobn ě jako UTF-7) 1.33.168.192.in-addr.arpa 1D IN PTR apus.example. toto zakódované jméno se použije pro DNS dotaz 2.33.168.192.in-addr.arpa 1D IN PTR prunella.example. již je v čistém ASCII, jen pro člověka nečitelné 3.33.168.192.in-addr.arpa 1D IN PTR otus.example. 25 26 nejprve se jméno (v UNICODE) převede na kanonický tvar sjednocení variant zápisu (velká a malá písmena) poté se jméno převede na tzv. punycode algoritmus převodu je reverzibilní (je možné převést punycode zpět na UNICODE) p se prefix xn--, za ním znaky bez diakritiky, zakódované znaky nakonec nřidá ap ř. košíčky. => xn koky-wpa6qow. takto převedené jméno (vyhovuje původním požadavkům DNS) se pošle jako dotaz problémy: je potřeba registrovat domény speciálního tvaru ne všude je možné zadat jméno v UNICODE => pak je potřeba používat přeloženou formu pishing 27

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář