Upload
mirko-mirkovic
View
12
Download
1
Embed Size (px)
DESCRIPTION
dns
Citation preview
7/21/2019 RM1.11. DNS Servis
http://slidepdf.com/reader/full/rm111-dns-servis 1/33
1
Računarske mreže 1
11. deo: DNS servis
Predavač:
doc. dr Slavko Gajin, [email protected]
Asistent:
Dražen Drašković, [email protected]
Stefan Tubić, [email protected]
http://elearning.rcub.bg.ac.rs
2015. god
7/21/2019 RM1.11. DNS Servis
http://slidepdf.com/reader/full/rm111-dns-servis 2/33
2
DNS - Domain Name System• Potreba
– IP adrese (integer od 4 bajta) su zgodne za “mašinsko” korišćenje, ali
nepraktične za korisnike
– potrebno ih je prevesti u formu koja je upotrebljivija za svakodnevni radkorisnika – simbolička imena
• Inicijalno
– nazivi svih računara su bili definisani u jendoj datoteci - HOSTS.TXT
– datoteka je hostovana i ažurirana u Stanford Research Institute – korisnici su preko mreže preuzimali ovu datoteku i koristili
• Primer – sadržaj fajla HOSTS.TXT:127.0.0.1 localhost
64.233.183.104 www.google.com
• Danas
– hosts.txt datoteka postoji lokalno u operativnim sistemima i omogućava
razrešavanje imena bez korišćenja DNS
– DNS – distribuirano definisanje i translacija IP adresa i imena
7/21/2019 RM1.11. DNS Servis
http://slidepdf.com/reader/full/rm111-dns-servis 3/33
3
DNS - Domain Name System• DNS je sistem za:
– mapiranje simboličkih imena računara u IP adrese• www.google.com => 64.233.183.104
– mapiranje IP adresa u simbolička imena računara• 64.233.183.104 => www.google.com
– definisanje hijerarhije domena – naziva u simboličkom imenu• rs -> ac.rs -> bg.ac.rs -> etf.bg.ac.rs
– definisanje drugih podataka od interesa za domene• email server za domen, email adresa adminisratora...
• DNS za komunikaciju koristi UDP i TCP po portu 53
• Dizajniran 1983 i definisan u seriji RFC dokumenata:
– RFC 882, 883, 1034, 1035...
7/21/2019 RM1.11. DNS Servis
http://slidepdf.com/reader/full/rm111-dns-servis 4/33
4
DNS struktura• Jedinstvana logička struktura - hijerarhija imena u topologiji stabla
– koren stabla – root domen u oznaci praznog stringa (“ “)
– čvor u stablu – simbolički nazi (ime)
• Domen
– putanja od jednog čvora do korena stabla
– pun naziv domena – Fully Qualified Domain Name (FQDN) – putanja čvorova dokorena stabla – nazivi čvorova odvojeni znakom tačkaprimer: “peanut.candy.foobar.com.”
– koren stabla se ne piše (“ “), pa se na kraju stavlja znak tačka
– relativni naziv domena – “poddomen” nekog domenaprimer: “peanut” je poddomen domena “candy.foobar.com.”“candy” je poddomen domena “foobar.com.”
– ako se ne stavi tačka na kraju naziva, implicitno sepodrezumeva pun naziv domenaili naziv poddomena u zavisnosti od
konteksta (npr. kod konfigurisanja)
• Nazivi računara (hostova)
– pripadaju određenom domenu (čvoru)
– listovi u stablu
7/21/2019 RM1.11. DNS Servis
http://slidepdf.com/reader/full/rm111-dns-servis 5/33
5
DNS struktura• Ime domena ili hosta se sastoji od više delova (labela, segmenata):
• Svaka labela maksimalno 63 karaktera
• Maksimalna dužina imena – 255 karaktera
• ASCII karakteri: slova, brojevi, “_”, “-”
• Naziv: aaaa.bbb.cc. – cc je Top Level Domain (TLD)
– aaaa, bbb – labele - poddomeni
– aaaa može da bude i ime računara i ime poddomena
• Primeri:etf.bg.ac.rs.
rti.etf.bg.ac.rs.
www.etf.bg.ac.rs.www.etf.rs.
7/21/2019 RM1.11. DNS Servis
http://slidepdf.com/reader/full/rm111-dns-servis 6/33
6
TLD - Top Level Domain• TLD domeni definisani 1985. godine:
– globalni ili SAD TLD (root domen “ “ pripada SAD)
• com.
• edu.• gov.
• net.
• org.
• mil.
– TLD koji pripadaju pojedinačnim državama• dodeljeni su po dvoslovnom ISO 3166 kodu zemlje
• http://www.iana.org/gtld/gtld.htm
primeri:
• yu. - Yugoslavia
• rs. – Republika Srbija
• sr. – Surinam
• eu. – European Union
• ...
7/21/2019 RM1.11. DNS Servis
http://slidepdf.com/reader/full/rm111-dns-servis 7/33
7
TLD - Top Level DomainNajnoviji TLD
• aero.- for the air transport industry
• biz.- for business use
• cat.- for Catalan language/culture
• com. - for commercial organizations, but unrestricted
• coop. - for cooperatives
• edu. - for educational establishments
• gov. - for governments and their agencies in the United States
• info. - for informational sites, but unrestricted
• int. - for international organizations established by treaty
• jobs. - for employment-related sites
• mil. - for the U.S. military
• museum. - for museums
• name. - for families and individuals
• net. - originally for network infrastructures, now unrestricted
• org. - originally for organizations not clearly falling within the other gTLDs, nowunrestricted
• pro. - for certain professions
• travel. - for travel agents, airlines, hoteliers, tourism bureaus, etc.
7/21/2019 RM1.11. DNS Servis
http://slidepdf.com/reader/full/rm111-dns-servis 8/33
8
DNS organizacija• Logička struktura je distribuirano definisana na većem broju servera,tzv. DNS serveri (name servers)
• Celo stablo je podeljeno u zone
– Zona je deo stabla (skup čvorova) koji administrativno pripadaju jednoj celini (firmi,
univerzitetu, državi itd.) i definišu se na jednom DNS serveru – Zona nosi informacije o pripadajućim domenima (čvorovima), obično jedna zona je
jedan čvor (domen)
• Na vrhu hijerarhije su root serveri – Postoji 13 operatera root name servera
7/21/2019 RM1.11. DNS Servis
http://slidepdf.com/reader/full/rm111-dns-servis 9/33
9
DNS organizacija• Resource record (RR)
– osnovne jedinice informacija o pridružene čvoru ili listu (domenu ili hostu)
– definišu se u zonama na DNS serverima
– sadrže informacije o imenima, adresama, ali i druge parametre
Domain_name Time_to_live Class Type Value
- Domain_name – naziv podatka (domen ili host adresa)
- Time_to_live – vreme validnosti podatka u kešu, u sekundama.
- primer: 86400 – jedan dan
- Class – za Internet uvek oznaka “IN”
- Type – tip RR podatka
- SOA, NS, MX, A, AAAA, PTR...
- Value –vrednost koja se pridružuje RR
- primeri:rti.etf.bg.ac.rs. 86400 IN A 147.91.8.42
rti.etf.rs. 86400 IN A 147.91.8.42
7/21/2019 RM1.11. DNS Servis
http://slidepdf.com/reader/full/rm111-dns-servis 10/33
10
DNS organizacija
7/21/2019 RM1.11. DNS Servis
http://slidepdf.com/reader/full/rm111-dns-servis 11/33
11
Princip rada• Primarni DNS server – DNS server na kome je definisan određeni domen sa svim potrebnim podacima (RR)
– određuje se u odnosu na domen (“primarni DNS server odeređenog domena”)
• Sekundarni DNS server
– DNS server koji periodično preuzima definiciju domena od primarnog DNS servera – preporuka je da postoji bar jedan sekundarni DNS server za svaki domen
– određuje se u odnosu na domen (“sekundarni DNS server odeređenog domena”)
– ravnopravno i istovremeno radi kao i primarni DNS server
• Autoritativni DNS serveri – DNS serveri koji imaju RR podatke za određene domene
– primerni i svi sekundarni DNS serveri
– određuje se u odnosu na domen (“autoritativni DNS server odeređenog domena”)
• Osnovna potreba – da klijenti (hostovi) za zadata imena računara dobiju njihove IP adrese, kako bi se
ostvarila komunikacija na TCP/IP nivou
7/21/2019 RM1.11. DNS Servis
http://slidepdf.com/reader/full/rm111-dns-servis 12/33
12
Princip rada
Primary
.rs
.ac
.org .co
Secondary
.bg.ni.kg
authoritative
.
authoritative authoritative
Secondary c o p yc o p y
• Primer:
– domen “bg.ac.rs.”
7/21/2019 RM1.11. DNS Servis
http://slidepdf.com/reader/full/rm111-dns-servis 13/33
13
Princip rada• Transfer zone (Zone transfer) – prenos informacija o zoni (domenu) sa primarnog na sekundarni DNS server
• Delegacija zona (Zone delegation) – kontrola (definisanje) zona za poddomene se prenosi na druge DNS servere (druge
administrtivne celine) – omogućava distribuirano konfigurisanje DNS domena
• Topologija domena je tehnički potpuno nezavisna od topologijepovezivanja – pripadnost računara nekom domenu ne znači i fizičku pripadnost toj mreži, mada je
obično tako, jer i domen i mreža često pripada istoj administrativnoj celini
– npr. web server www.moja-firma.rs može biti bilo gde na Internetu, tj. imaće IP adresuiz mreže na koju je povezan, iako pripada nacionalnom top-level domenu .rs
– računari iz istog domena mogu pripadati različitim IP mrežama
– računari iz iste IP mreže mogu pripadati različitim domenima
7/21/2019 RM1.11. DNS Servis
http://slidepdf.com/reader/full/rm111-dns-servis 14/33
14
Princip rada• Kako klijetni (hostovi) pristupaju DNS podacima koji su definisani na
DNS serverima?
– Svi klijenti (hostovi) imaju lokalno konfigurisan jedan ili više DNS servera
(ne treba mešati sa primarnim i sekundarnim DNS serverima)
7/21/2019 RM1.11. DNS Servis
http://slidepdf.com/reader/full/rm111-dns-servis 15/33
15
Princip rada• Kako klijetni (hostovi) pristupaju DNS podacima koji su definisani na
DNS serverima?
– klijent od lokalno definisanog DNS servera traži upit za određeno ime računara
– DNS server treba da na osnovu imena nađe i vrati IP adresu – DNS server obično komunicira sa drugim DNS serverima
Client
Client’s
server
7/21/2019 RM1.11. DNS Servis
http://slidepdf.com/reader/full/rm111-dns-servis 16/33
16
Razrešavanje imena• DNS Resolver
– deo DNS softvera koji razrešuje imena (uparuje nazive sa IP adresama)
– resolver na strani klijenta
• traži informacije od lokalno konfigurisanog DNS servera (UDP/TCP port 53)(ne od primarno DNS servera!)
– resolver na strani servera
• traži informacije od drugih DNS servera, autoritativhnih za određene domene
(primerni ili sekundarni za određene domene)
– Resolver cache
• jednom dobijene informacije se pamte (keširaju) na određeno vreme
• Caching-only DNS server
– DNS server koji nije autoritativan ni za jednu zonu
– prikuplja i kešira informacije od drugih DNS servera
– opslužuje lokalne klijente
7/21/2019 RM1.11. DNS Servis
http://slidepdf.com/reader/full/rm111-dns-servis 17/33
17
Razrešavanje imenaDve vrste DNS upita pri razrešavanju imena – iterativni i rekurzivni
• Rekurzivni upit:DNS server koji se pita vraća konačan odgovor ili grešku
– generalno je namenjen za klijente
– serveri dozvoljavaju da ih rekurzivno pitaju samo “lokalni” klijenti
– treba zabraniti rekurziju za proizvoljne spoljne klijente - preventivna zaštita oddenial-of-service napada (DoS)
• Iterativni upit:DNS server koji se pita vraća “najbolji mogući odgovor”
– autoritativne podatke, ako ih ima
– referiše (ukazuje) na druge servere u hijerarhiji koji mogu da dalje razrešavaju upit
7/21/2019 RM1.11. DNS Servis
http://slidepdf.com/reader/full/rm111-dns-servis 18/33
18
Razrešavanje imenaPrimer
• Klijent šalje rekurzivni zahtev lokalnom DNS serveru da mu razreši neko ime
• Ako server nema par (IP,ime) u svojoj konfiguraciji ili cache-u, šalje iterativiniupit root serveru da mu se razreši traženo ime
• Root server ne zna tačno ime, ali odgovara IP adresom odgovarajućeg DNSservera koji je zadužen za TLD domen, npr. com (referral)
• Ovaj postupak može da se ponovi više puta za svaki poddomen u imenu
• Na kraju server koji je zadužen za domen (zonu) u kojoj je dato ime vraća par(IP, ime)
• Lokalni server vraća odgovor klijentu
iterativni upitirekurzivni upit
7/21/2019 RM1.11. DNS Servis
http://slidepdf.com/reader/full/rm111-dns-servis 19/33
19
Vrste podataka u DNS bazamaResource Records - RR:
• SOA – Start of authority record
• NS – Name server record
• MX record – mapira ime domena u mail servere u datom domenu
• A record – mapira ime u IPv4 adresu
• AAAA record – mapira ime u IPv6 adresu
• CNAME – canonical name – uvođenje višestrukih naziva (aliasa) za istu
adresu
• PTR record – obrnuto mapira IP adresu u ime
7/21/2019 RM1.11. DNS Servis
http://slidepdf.com/reader/full/rm111-dns-servis 20/33
7/21/2019 RM1.11. DNS Servis
http://slidepdf.com/reader/full/rm111-dns-servis 21/33
21
SOA polje – primeri$ORIGIN . ; podrazumevani domen ako se ne navede tačna na kraju naziva
etf.bg.ac.rs IN SOA NS1.NIC.RS. HOSTMASTER.ETF.RS. (
2011042000 ; serial (yyyymmddnn)
10800 ; refresh (3 hours)
3600 ; retry (1 hour)2419200 ; expire (4 weeks)
86400 ; minimum (1 day)
)
$ORIGIN example.com.
example.com. IN SOA ns1.example.net. hostmaster.example.com. (
2003080800 ; serial number
3h ; refresh = 3 hours
15M ; update retry = 15 minutes
3W12h ; expiry = 3 weeks + 12 hours
2h20M ; minimum = 2 hours + 20 minutes
)
7/21/2019 RM1.11. DNS Servis
http://slidepdf.com/reader/full/rm111-dns-servis 22/33
22
NS, MX i A polja
bg.ac.rs IN SOA ns.rcub.bg.ac.rs. helpdesk.rcub.bg.ac.rs. (2011032502 ; serial
10800 ; refresh (3 hours)
3600 ; retry (1 hour)
604800 ; expire (1 week)
86400 ; minimum (1 day)
) NS ns.rcub.bg.ac.rs. ; autoritativni server za zonu
NS gaea.rcub.bg.ac.rs. ; autoritativni server za zonu
NS ns1.uns.ac.rs. ; autoritativni server za zonu
NS ban.junis.ni.ac.rs. ; autoritativni server za zonu
NS ns.unic.kg.ac.rs. ; autoritativni server za zonu
NS ns.etf.bg.ac.rs. ; autoritativni server za zonu
A 147.91.79.3 ; predefinisani veb server za zonu MX 147.91.79.3 ; predefinisani email server za zonu
etf IN NS ns.etf.bg.ac.rs. ; uvodi se novi poddomen
IN NS ns.rcub.bg.ac.rs. ; sa autoritativnim serveri
rcub IN NS ns.ni.ac.rs. ; uvodi se novi poddomen
IN NS ns.rcub.bg.ac.rs. ; sa autoritativnim serveri
www IN A 147.91.79.3 ; adresa veb servera
• NS polje definiše autoritativne DNS servera za tekuću zonu ili poddomene
• MX polje definiše email server za tekuću zonu ili poddomene
• A polje definiše adresu za navedeno ime ili predefinisani server za tekuću zonu
7/21/2019 RM1.11. DNS Servis
http://slidepdf.com/reader/full/rm111-dns-servis 23/33
23
Glue Records
bg.ac.rs IN SOA ns.rcub.bg.ac.rs. helpdesk.rcub.bg.ac.rs. (
.....
etf IN NS ns.etf.bg.ac.rs. ; uvodi se novi poddomenIN NS ns.rcub.bg.ac.rs. ; sa autoritativnim serveri
ns.etf IN A 147.91.8.6 ; glue record - adresa servera
rcub IN NS ns.ni.ac.rs. ; uvodi se novi poddomen
IN NS ns.rcub.bg.ac.rs. ; sa autoritativnim serveri
ns.rcub IN A 147.91.1.5 ; glue record - adresa servera
• Grue record – IP adresa DNS servera pod-domena, definisana u zoni domen
– ako se za pod-domen navodi DNS server preko imena, obavezno mora da bude
definisana i IP adresa tog DNS servera (jer ime servera sadrži poddomen, koji taj
server treba da se razreši)
7/21/2019 RM1.11. DNS Servis
http://slidepdf.com/reader/full/rm111-dns-servis 24/33
24
Inverzni DNS
• Mapiranje IP adresa u nazive
• Kreiran je domen in-addr.arpa, u kojem su sve IP adrese u inverznom
dotted-decimal formatu:
– Adresa 147.91.4.10 se mapira u 10.4.91.147.in-addr.arpa
• Koriste se PTR tipovi resource record-a
$ORIGIN 91.147.in-addr.arpa.
1 IN SOA ns.rcub.bg.ac.rs. helpdesk.rcub.bg.ac.rs. (
2011050501 ; version
3600 ; Refresh 3 hours3600 ; Retry 1 hour
360000 ; Expire 100 hours
86400 ; Minimum 24 hours
)
IN NS ns.rcub.bg.ac.rs.
IN NS ns.etf.bg.ac.rs.IN NS gaea.rcub.bg.ac.rs.
$ORIGIN 1.91.147.in-addr.arpa.
5 IN PTR ns.rcub.bg.ac.rs.
7 IN PTR gaea.rcub.bg.ac.rs.
18 IN PTR webhost.rcub.bg.ac.rs.
7/21/2019 RM1.11. DNS Servis
http://slidepdf.com/reader/full/rm111-dns-servis 25/33
25
DNS alati - nslookup
$ nslookup www.cisco.com
Server: 147.91.1.5
Address: 147.91.1.5#53
Non-authoritative answer:Name: www.cisco.com
Address: 198.133.219.25
$ nslookup www.rcub.bg.ac.rs
Server: 147.91.1.5
Address: 147.91.1.5#53
www.rcub.bg.ac.rs canonical name = afrodita.rcub.bg.ac.rs.
Name: afrodita.rcub.bg.ac.rs
Address: 147.91.1.120
7/21/2019 RM1.11. DNS Servis
http://slidepdf.com/reader/full/rm111-dns-servis 26/33
26
DNS alati - dig$ dig; <<>> DiG 9.2.3 <<>>
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 1024
;; flags: qr rd ra; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 13
;; QUESTION SECTION:
;. IN NS;; ANSWER SECTION:
. 52787 IN NS A.ROOT-SERVERS.NET.
. 52787 IN NS B.ROOT-SERVERS.NET.
. 52787 IN NS C.ROOT-SERVERS.NET.
. 52787 IN NS D.ROOT-SERVERS.NET.
. 52787 IN NS E.ROOT-SERVERS.NET.
. 52787 IN NS F.ROOT-SERVERS.NET.
. 52787 IN NS G.ROOT-SERVERS.NET.
. 52787 IN NS H.ROOT-SERVERS.NET.
. 52787 IN NS I.ROOT-SERVERS.NET.
. 52787 IN NS J.ROOT-SERVERS.NET.
. 52787 IN NS K.ROOT-SERVERS.NET.
. 52787 IN NS L.ROOT-SERVERS.NET.
. 52787 IN NS M.ROOT-SERVERS.NET.
;; ADDITIONAL SECTION:
A.ROOT-SERVERS.NET. 325126 IN A 198.41.0.4
B.ROOT-SERVERS.NET. 163166 IN A 192.228.79.201
C.ROOT-SERVERS.NET. 163166 IN A 192.33.4.12
D.ROOT-SERVERS.NET. 163166 IN A 128.8.10.90
E.ROOT-SERVERS.NET. 163166 IN A 192.203.230.10
.......
7/21/2019 RM1.11. DNS Servis
http://slidepdf.com/reader/full/rm111-dns-servis 27/33
27
DNS alati - dig$ dig rcub.etf.bg.ac.rs A @ns.etf.bg.ac.rs; <<>> DiG 8.3 <<>> rcub.etf.bg.ac.rs A @ns.etf.bg.ac.rs
; (1 server found)
;; res options: init recurs defnam dnsrch
;; got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 5, ADDITIONAL: 5
;; QUERY SECTION:;; rcub.etf.bg.ac.rs, type = A, class = IN
;; ANSWER SECTION:
rcub.etf.bg.ac.rs. 1D IN A 147.91.15.254
;; AUTHORITY SECTION:
etf.bg.ac.rs. 1D IN NS FON.FON.bg.ac.rs.
etf.bg.ac.rs. 1D IN NS ZMAJ.etf.bg.ac.rs.etf.bg.ac.rs. 1D IN NS NS.etf.bg.ac.rs.
etf.bg.ac.rs. 1D IN NS NS.RCUB.bg.ac.rs.
etf.bg.ac.rs. 1D IN NS NS.BEOTEL.NET.
;; ADDITIONAL SECTION:
NS.etf.bg.ac.rs. 1D IN A 147.91.8.6
NS.RCUB.bg.ac.rs. 1H IN A 147.91.1.5NS.BEOTEL.NET. 2h20m10s IN A 194.106.162.2
FON.FON.bg.ac.rs. 1H IN A 147.91.128.4
ZMAJ.etf.bg.ac.rs. 1D IN A 147.91.8.62
;; Total query time: 120 msec
;; FROM: wega to SERVER: ns.etf.bg.ac.rs 147.91.8.6
;; WHEN: Wed Nov 5 13:46:15 2008
;; MSG SIZE sent: 35 rcvd: 238
7/21/2019 RM1.11. DNS Servis
http://slidepdf.com/reader/full/rm111-dns-servis 28/33
28
DNS alati - dig$ dig cisco.com
; <<>> DiG 9.2.3 <<>> cisco.com
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 63843
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2
;; QUESTION SECTION:
;cisco.com. IN A
;; ANSWER SECTION:
cisco.com. 78435 IN A 198.133.219.25
;; AUTHORITY SECTION:
cisco.com. 71514 IN NS ns1.cisco.com.
cisco.com. 71514 IN NS ns2.cisco.com.
;; ADDITIONAL SECTION:
ns1.cisco.com. 78378 IN A 128.107.241.185
ns2.cisco.com. 78378 IN A 64.102.255.44
;; Query time: 21 msec;; SERVER: 147.91.1.5#53(147.91.1.5)
;; WHEN: Sat Dec 24 10:04:43 2011
;; MSG SIZE rcvd: 111
7/21/2019 RM1.11. DNS Servis
http://slidepdf.com/reader/full/rm111-dns-servis 29/33
29
DNS alati
7/21/2019 RM1.11. DNS Servis
http://slidepdf.com/reader/full/rm111-dns-servis 30/33
DNS alati
30
7/21/2019 RM1.11. DNS Servis
http://slidepdf.com/reader/full/rm111-dns-servis 31/33
DNS alati
31
7/21/2019 RM1.11. DNS Servis
http://slidepdf.com/reader/full/rm111-dns-servis 32/33
DNS alati
32
7/21/2019 RM1.11. DNS Servis
http://slidepdf.com/reader/full/rm111-dns-servis 33/33
33
Literatura• CCENT/CCNA ICND1,
official exam certification guide,Wendell Odom, Cisco Press, 2008
• CCNA curriculum, Cisco
• Douglas Comer – “Internetworking with TCP/IP”
• IBM - “TCP/IP Tutorial and Technical Overview”, www.ibm.com/redbooks
• www.wikipedia.org
• Testiranje domena:
– NetVizura.DNS - http://live.netvizura.com/dns/