Baixe o app para aproveitar ainda mais
Prévia do material em texto
Edgard Jamhour DNS: Domain Name System Edgard Jamhour Serviço DNS: Domain Name System Nome? nome - ip nome - ip nome - ip IP nome - ip Edgard Jamhour Árvore de nomes br pucpr www ufpr eureka br Pucpr Ufpr www ppgia www FOLHA RAIZ www Edgard Jamhour ZONAS DNS br pucpr www ufpr www RAIZ www ppgia ZONA .br ZONA ufpr.br ZONA pucpr.br servidor A.dns.br servidor alpha.pucpr.br servidor ns.ufpr.br Edgard Jamhour Arquivo de ZONA ZONA pucpr.br $TTL 1D pucpr.br. IN SOA alpha.pucpr.br. [ ....] IN NS alpha.pucpr.br. IN NS beta.pupcr.br. IN MX 10 smtp.pucpr.br. IN MX 20 smtp2.pupcr.br. alpha IN A 200.17.99.2 beta.pucpr.br. IN A 200.17.99.3 dns IN CNAME alpha www IN A 200.192.112.141 smpt1 IN A 200.192.112.20 smpt1 IN A 200.192.112.21 Edgard Jamhour Servidores Primários e Secundários zona pucpr.br master zona pucpr.br slave zona pucpr.br slave alpha.pucpr.br beta.pucpr.br gama.pucpr.br Edgard Jamhour Arquivos de Configuração (named.conf) options { directory “/var/named/”; }; zone “pucpr.br” { type master; file “pucpr.br”; }; options { directory “pasta de zonas”; }; zone “nome da zona” { type master; file “master/arquivo de zona”; }; zone “nome da zona” { type slave; file “slave/arquivo de zona”; masters { ipmaster1; ipmaster2; } }; named.conf primário options { directory “/var/named/”; }; zone “pucpr.br” { type slave; file “slave/pucpr.br”; masters { 200.17.99.2; }; }; named.conf secundário Edgard Jamhour Delegação de SubDominios br pucpr www ufpr www RAIZ www ppgia ZONA .br ZONA ufpr.br ZONA pucpr.br NS NS Edgard Jamhour Zonas com Delegação de Sub-Domínios ufpr.br. IN SOA dns.ufpr.br IN NS dns.ufpr.br dns.ufpr.br. IN A 200.101.0.12 www IN A 200.101.0.15 ZONA ufpr.br pucpr.br. IN SOA dns.pucpr.br IN NS dns.pucpr.br IN NS beta.pucpr.br dns IN A 200.17.99.2 beta IN A 200.17.99.3 www IN A 200.17.99.3 www.ppgia IN A 200.17.98.174 ZONA pucpr.br br. IN SOA dns.br IN NS dns.br dns IN A 200.1.2.3 pucpr IN NS dns.pucpr.br. IN NS beta.pupcr.br. ufpr IN NS dns.ufpr.br. dns.pucpr IN A 200.17.99.2 beta.pucpr IN A 200.17.99.3 dns.ufpr IN A 200.101.0.12 ZONA br Edgard Jamhour Consulta Recursiva br pucpr www dns www dns www.pucpr.br? A 200.17.99.3 ufpr dns www.pucpr.br? NS dns.pucpr.br recursivo não recursivo Edgard Jamhour Consulta Recursiva e Iterativa br pucpr www www ufpr dns Q1) www.ufpr.br. TYPE A Recursivo para usuários da PUCPR Não Recursivo Recursivo para usuários da UFPR Q2) www.ufpr.br. TYPE NS A3) dns.ufpr.br. TYPE NS 1 2 3 pucpr ufpr NS NS A 4 5 6 Q4) www.ufpr.br. TYPE A A5) www.ufpr.br. TYPE A A6) www.ufpr.br. TYPE A Edgard Jamhour Exemplo de Consulta não Autoritária > www.google.com. Servidor: thor01.ppgia.pucpr.br Address: 10.32.1.14 HEADER: opcode = QUERY, id = 14, rcode = NOERROR header flags: response, want recursion, recursion avail. questions = 1, answers = 1, authority records = 0, additional = 0 QUESTIONS: www.google.com, type = A, class = IN ANSWERS: www.google.com internet address = 172.217.29.196 ttl = 281 (4 mins 41 secs) ------------ Não é resposta autoritativa: HEADER: opcode = QUERY, id = 15, rcode = NOERROR header flags: response, want recursion, recursion avail. questions = 1, answers = 1, authority records = 0, additional = 0 QUESTIONS: www.google.com, type = AAAA, class = IN ANSWERS: www.google.com AAAA IPv6 address = 2800:3f0:4001:807::2004 ttl = 209 (3 mins 29 secs) Edgard Jamhour Exemplos de Consultas Autoritária www.ppgia.pucpr.br. Servidor: thor01.ppgia.pucpr.br Address: 10.32.1.14 HEADER: opcode = QUERY, id = 26, rcode = NOERROR header flags: response, auth. answer, want recursion, recursion avail. questions = 1, answers = 1, authority records = 0, additional = 0 QUESTIONS: www.ppgia.pucpr.br, type = A, class = IN ANSWERS: www.ppgia.pucpr.br internet address = 10.32.1.22 ttl = 3600 (1 hour) HEADER: opcode = QUERY, id = 27, rcode = NOERROR header flags: response, auth. answer, want recursion, recursion avail. questions = 1, answers = 0, authority records = 1, additional = 0 QUESTIONS: www.ppgia.pucpr.br, type = AAAA, class = IN AUTHORITY RECORDS: ppgia.pucpr.br ttl = 3600 (1 hour) primary name server = thor01.ppgia.pucpr.br responsible mail addr = hostmaster.ppgia.pucpr.br serial = 326 refresh = 900 (15 mins) retry = 600 (10 mins) expire = 86400 (1 day) default TTL = 3600 (1 hour) Edgard Jamhour Cache e Respotas de Autorização br pucpr www dns www dns www.pucpr.br? A 200.17.99.3 Autoritative ufpr dns recursivo para usuários pucpr não recursivo www.ufpr.br? A 200.3.3.3 Não Autoritative recursivo para usuários ufpr Edgard Jamhour Tipos de Servidores DNS • MASTER – Pode ter um ou mais “zone files” armazenadas localmente. – Suas respostas são do tipo “Autoritative” pois ele obtém suas respostas de arquivo local – Um servidor configurado como “Autoritative Only” não faz cache, e responde com erro a todas as consultas que não estejam em suas zones. • SLAVE – Obtém cópias do arquivos zone do Master pela rede (zone transfer). – Não permite alteração das zones. – Responde como “Autoritative” para as zones que obteve do Master. • CACHING (RESOLVER) – Obtém informações de outros servidores via consultas recursivas e armazena o resultado em cache. – Os registros em cache são armazenados até o TTL espirar. – Responde como “No Autoritative” para registros vindos da cache • FORWARDING (DNS PROXY, CLIENTE, REMOTE) – Redireciona a consulta para outro servidor DNS remoto e armazena a resposta em cache. – Usualmente não efetua consultas recursivas, essa função é usualmente feita pelo servidor remoto. – Responde como “No Autoritative” para registros vindos da cache – O Redicionamento pode ser feito por domínio ou de forma global. Edgard Jamhour Relacionamento Master Slave zone "example.com" in{ type master; also-notify {192.168.0.2;}; file "pri/pri.example.com"; }; zone "example.com" in{ type slave; file "sec/sec.example.com"; masters {192.168.23.17;}; }; 192.168.0.2 192.168.23.17 Autoritative www.example.com? www.example.com? Autoritative Zone File AXRF protocol TCP (53) Edgard Jamhour Resolver options { directory "/var/named"; version "not currently available"; recursion yes; }; zone "." IN { type hint; file "root.servers"; }; www.terra.com.br? Não Autoritative se vier da cache Cache a.dns.br. 200.160.0.10 NS ns1.cdn.trrsf.com200.215.195.1 NS A A Edgard Jamhour Proxy options { directory "/var/named"; version "not currently available"; forwarders {10.0.0.1; 10.0.0.2;}; forward only; }; www.terra.com.br? Não Autoritative se vier da cache Cache a.dns.br. 200.160.0.10 NS ns1.cdn.trrsf.com 200.215.195.1 NS A A A A 10.0.0.1 zone "example.com" IN { type forward; forwarders {10.0.0.1; 10.0.0.2;}; }; Redirecionamento por domínio Redirecionamento global Edgard Jamhour A Zona Raiz (.) = root.zone • Servidores que fazem cache precisam conhecer os servidores no da árvore de nomes DNS. • Essa informação está no arquivo root.zone – http://www.internic.net/domain/root.zone br. 172800 IN NS a.dns.br. br. 172800 IN NS b.dns.br. a.dns.br. 172800 IN A 200.160.0.10 a.dns.br. 172800 IN AAAA 2001:12ff:0:0:0:0:0:10 b.dns.br. 172800 IN A 200.189.41.10 c.dns.br. 172800 IN A 200.192.233.10 com. 172800 IN NS a.gtld-servers.net. com. 172800 IN NS b.gtld-servers.net. net. 172800 IN NS a.gtld-servers.net. net. 172800 IN NS b.gtld-servers.net. a.gtld-servers.net. 172800 IN A 192.5.6.30 a.gtld-servers.net. 172800 IN AAAA 2001:503:a83e:0:0:0:2:30 b.gtld-servers.net. 172800 IN A 192.33.14.30 b.gtld-servers.net. 172800 IN AAAA 2001:503:231d:0:0:0:2:30 Edgard Jamhour Zone Type Hint (Cache) • Quando o servidor DNS é inicializado, se ele possuir uma zona do tipo “hint”, ele precisará obter uma cópia do arquivo root.zone • Por questões de desempenho e segurança, o arquivo root.zone está replicado e diversos servidores pelo mundo. • Esses servidores estão listados no arquivo named.root – https://www.internic.net/domain/named.root – http://public-root.com/root-server-locations.htm A.ROOT-SERVERS.NET. 3600000 A 198.41.0.4 A.ROOT-SERVERS.NET. 3600000 AAAA 2001:503:ba3e::2:30 B.ROOT-SERVERS.NET. 3600000 A 192.228.79.201 B.ROOT-SERVERS.NET. 3600000 AAAA 2001:500:84::b C.ROOT-SERVERS.NET. 3600000 A 192.33.4.12 C.ROOT-SERVERS.NET. 3600000 AAAA 2001:500:2::c ... M.ROOT-SERVERS.NET. 3600000 A 202.12.27.33 M.ROOT-SERVERS.NET. 3600000 AAAA 2001:dc3::35 Edgard Jamhour Os servidores DNS Raiz (Root Servers) .com .org .edu .pucpr .com root-servers hints-file zona root.zone ... M A .br Existem 13 servidores lógicos root Muitos servidores operam em anycast Em anycast, muitos servidores compartilham o mesmo endereço. Nesse modo, o servidor mais próximo a origem é automaticamente selecionado Edgard Jamhour Zonas Reversas • Alguns servidores de email não aceitam receber emails de origens que não estejam possam ser resolvidos por um consulta reversa (reverse DNS lookup) FROM: edgard.jamhour@pucpr.br TO: ejamhour@gmail.com seg-l.pucpr.br 200.192.112.21 2) email (SMTP) NS pucpr.br ? alpha.pucpr.br 200.192.112.2 DNS pucpr.br servidor email gmail DNS .br alpha.pucpr.br 1 3 4 5 PTR 200.192.112.21? 6 alpha.pucpr.br Edgard Jamhour Zonas Reversa • Zonas reversas representam uma subrede, esão criadas com o sufixo especial in-addr.arpa.zone • Por exemplo: A zona 200.2.1.0/24 é representado abaixo: $TTL 1D @ORIGIN 1.2.200.in-addr.arpa.zone @ IN SOA dns.pucpr.br. jamhour.pucpr.br ( 2 ; serial 28800 ; refresh (s) 7200 ; retry (s) 604800 ; expire (s) 86400 ) ; ttl (s) IN NS dns.pucpr.br. 1 IN PTR dns.pucpr.br. 2 IN PTR www.pucpr.br. Edgard Jamhour Protocolo DNS • O protocolo DNS é transportado por UDP • A porta padrão do DNS é 53 • O comportamento default de uma consulta DNS (Windows) é listado a seguir: Tempo (s) Ação 0 Cliente envia a consulta DNS 1 Se não houver resposta em 1s, o cliente re-envia 2 Se não houver resposta em 1s, o cliente re-envia 4 Se não houver resposta em 2s, o cliente re-envia 8 Se não houver resposta em 4s, o cliente re-envia 10 Se não houver resposta em 2s, o cliente para de re-enviar OBS. Windows escolhe o servidor DNS, primário ou secundário, randomicamente a cada consulta Edgard Jamhour DNSSEC • O DNSSEC oferece um serviço protegido de consultas a servidores DNS utilizando um mecanismo de chaves públicas. • DNSSEC e transportado sobre TCP, porta 53. • O DNSSEC inclui assinaturas digitais nas respostas fornecidas pelo servidor. Isso permite ao receptor verificar a autenticidade do servidor DNS. gmail. 172800 IN NS ns-tld1.charlestonroadregistry.com. GMAIL. 86400 IN DS 42016 8 2 5A4715A5FCF219E5A31E167506C2B1FD68FDDD1015A5F5BC04A322F062DAF497 GMAIL. 86400 IN RRSIG DS 8 1 86400 20170608050000 20170526040000 14796 . bwCQdFHnOETpPK1ohUBXLvrbxWvOc8pIiSyy2RBZKmWK36MGq/sXqY8Aiq05BasIWRAk2VWVq3imT+aGIN20UFKTq hwluHhVhDEog8OFi6cSuoATJq85ltfST9GH/oPuAxZDigkWIeTI5N7Aee4B+DmVWag8q4viKaOCjLK9OaCHDwxsyj/9+18z LoC6UjcgUQ9HG4ZBGfhN/1kM0JKOvzN2v5ePoXiit+rTA/qd2oz19tUm//5yR3sClHjumYE0WSWJ5btxu6hB/ncRjN9DxT32 uLVEXBu43YgjgLr+Yt7Hop9h4L+yo1eZwofcZO0qG16Q4H4KQ74aOVmWhnsJpg== gmail. 86400 IN NSEC gmbh. NS DS RRSIG NSEC gmail. 86400 IN RRSIG NSEC 8 1 86400 20170608050000 20170526040000 14796 . TgBYKkmMYXqFmMAs0TonYgVMZbquFhY5nOmhUcda9DUCY1Dri0isqzrROGYT4mbxfDyHhx2z8F1160yOR6BSTlVWfB AYsb1c+hDVjRV1tLDRhWSOftsK5cMrthXbJ0SwVE1/HjCHBqSA6jvBfyxapy4Q/kuKrHA+6OJZHbH18kfFXm43RNgzUdto0 AVNq/uPKeAYkB0LNVtfX2DervaQg2l9H8PC/usgSXlxZ636AMlwHWh7KJ8pMjVQtynThxk23Mp4Gc2matlGyoB5PCiodLE5 bjTjm0Qgbw0mytFtU/7tJn+lZ2S98NoFATTnmRxeXQHStYQ0OCpfrlpJGwSEwQ== Edgard Jamhour Conclusão DNS - Domain Name System
Compartilhar