Hệ Thống DNS

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

BÁO CÁO TIỂU LUẬN

HỆ THỐNG TÊN MIỀN DNSHỆ THỐNG TÊN MIỀN DNS

Giảng viên: TS. Nguyễn Chiến Trinh

Sinh viên: Phạm Thùy Linh, Nguyễn Thị Mai Hương, Chu Ngọc Hoàng, Hoàng Xuân Hổ, Nguyễn Văn Tuấn.

Nhóm báo cáo: IV


INTERNET VÀ GIAO THỨCINTERNET VÀ GIAO THỨC

www.ptit.edu.vn NHÓM BÁO CÁO: IV

Hệ thống tên miền DNS (Domain Name System)Trang 2

Nội dung

Kết luận

Vấn đề bảo mật trong DNS

Cơ sở dữ liệu DNS

Tổng quan về hệ thống tên miền DNS

PHẦNPHẦN

1

2

3

4





Phần 1: Tổng quan về hệ thống DNS

1. Giới thiệu hệ thống tên miền DNS

2. Chức năng của DNS





1. Giới thiệu hệ thống tên miền DNS

DNS (Domain Name System) được định nghĩa trong các RFC 1034 và 1035, chỉ một hệ thống cho phép thiết lập tương ứng giữa địa chỉ IP và tên miền.

DNS dùng cổng 53 để truyền tải thông tin.

DNS sử dụng UDP hoặc TCP





2. Chức năng của DNS

Các DNS trợ giúp qua lại với nhau để dịch địa chỉ "IP" thành "tên" và ngược lại.

=> Không phải nhớ địa chỉ IP

Chỉ định tên miền cho các nhóm người sử dụng Internet theo một cách có ý nghĩa, độc lập với mỗi địa điểm của người sử dụng.

=> WWW duy trì tính ổn định khi dòng internet thay đổi

Hệ thống tên miền phân phối trách nhiệm gán tên miền và lập bản đồ những tên tới địa chỉ IP bằng cách định rõ những máy chủ có thẩm quyền cho mỗi tên miền.

=> Tăng khả năng chịu đựng lỗi, tránh việc quá tải





Phần 2: Cơ sở dữ liệu DNS

1. Cách phân bố dữ liệu

2. Cơ chế phân giải tên miền

3. Hệ thống cache

4. Các bản ghi DNS

5. Cấu trúc gói tin DNS





1. Cách phân bố dữ liệu

Hệ thống tên miền được sắp xếp theo cấu trúc phân cấp.

Mức trên cùng được gọi là root và ký hiệu là “.”

Tên miền ở dưới mức root được gọi là Top - Level Domain. Tên miền cấp cao dùng chung- gTLDs như .com, .net, .org … Tên miền cấp cao quốc gia – ccTLD như .vn, .jp, .kr, … Ngoài ra: iTLD ( .int, .arp …) và usTLD ( .gov, .edu …)





Vị trí của 13 root name server trên bảng đồ thế giới

Máy chủ tên gốc (root name server):•Kết nối server tên có thẩm quyền nếu không biết ánh xạ tên •Lấy kết quả ánh xạ•Trả về kết quả ánh xạ cho server tên khu vực





2. Cơ chế phân giải tên miềnDNS service có 2 chức năng chính là phân giải tên --> IP và IP --> tên.

Trạm (host) ở cis.poly.edu muốn tìm địa chỉ IP

của gaia.cs.umass.edu

Truy vấn lặp lại : Server được kết nối (liên hệ)

trả lại tên miền của server cần để kết nối

“Tôi không biết tên miền này, nhưng hãy hỏi server này”

Có 2 dạng truy vấn (query)





2. Cơ chế phân giải tên miềnDNS service có 2 chức năng chính là phân giải tên --> IP và IP --> tên.

Trạm (host) ở cis.poly.edu muốn tìm địa chỉ IP

của gaia.cs.umass.edu

Truy vấn đệ quy trong DNS : Đưa trọng trách xử lý tên

miền cho server được kết nối.

Có 2 dạng truy vấn (query)





3. Hệ thống cache Mỗi lần server tên miền học được

ánh xạ, nó sẽ lưu đệm ánh xạ đó Các mục lưu đệm quá thời hạn

bị loại bỏ (biến mất) sau một thời gian (TTL)

Server tên miền mức cao (TLD) thường lưu đệm trong các server tên miền khu vực (cục bộ)

Mục đích Làm tăng tốc độ phân giải bằng cách sử dụng cache. Giảm bớt gánh nặng phân giải tên máy cho các Name Server. Giảm việc lưu thông trên những mạng lớn.





4. Các bản ghi DNS Bản ghi DNS (Resource Record) là mẫu thông tin dùng để mô tả các

thông tin về cơ sở dữ liệu DNS.






Phần mở đầu (The message header): 12 bytes, bao gồm các cờ và các giá trị điều khiển quá trình trao đổi.

Trong DNS: Bản tin truy vấn - query và trả lời - reply có cùng khuôn dạng.






Phần truy vấn (The DNS question): Thông thường, chỉ có 1 truy vấn mỗi bản tin, tuy nhiên số lượng truy vấn được cho phép 1 cách bất kỳ, xác định bởi trường QDCOUNT.







Phần phản hồi (The DNS Answer): Chứa 3 thành phần: thành phần trả lời, thành phần máy chủ xác

thực và thông tin thêm. Bản thân phần trả lời đã chứa thành phần trả lời.







Phần quyền truy nhập (Authority section): Authority record có cấu cấu trúc giống hệt với phần phản hồi (Answer). Ngoài ra chúng bao gồm bản ghi của các server bắt buộc khác.







Phần bản ghi bổ sung (Additional Information): Tương tự với phần trên, phần bản ghi bổ sung có cấu trúc giống với phần phản hồi. Ngoài ra nó chứa các bản ghi hữu ích khác.






Phần 3: Vấn đề bảo mật trong DNS

1. Các điểm yếu của DNS

2. Bảo mật DNS Server





Tấn công đầu độc cache (cache poisoning attack) Cách 1: Thiết lập một DNS Server giả mạo với các record độc

hại Cách 2: Gửi một spoofed reply đến client nạn nhân thông qua

sự giúp đỡ của 1 sniffer Cách 3: Gửi một lượng lớn snoofing reply đến client nạn nhân Cách 4: Attacker gửi một lượng lớn snoofed reply đến DNS

Server Tấn công tràn bộ đệm (buffer overflow attack) Tấn công trong quá trình zone transfer (Zone transfer attack) Tấn công từ chối dịch vụ (Denial of Service Attack) Tấn công phương thức cập nhật động (Dynamic update attack)

1. Các điểm yếu của DNS





2. Bảo mật DNS Server Dùng chuẩn DNSSEC để cung cấp chế độ bảo vệ, chống tấn công vào

cache.

Đặt mật khẩu mạnh cho các DNS server

Tắt tính năng đệ quy trên các server được ủy quyền (Delegated Name Servers). Theo mặc định thì name server hỗ trợ tính năng recursive, chúng ta tắt tính năng này đi vì bản thân các name server liên lạc với nhau theo kiểu nonrecursive.

Ngăn không cho thực hiện chuyển vùng trái phép bằng cách sử dụng Access control list, chỉ những máy tính nào có địa chỉ IP nằm trong danh sách này được thực hiện quá trình chuyển vùng với DNS Server chính.





Phần 4: Kết luậnTài liệu tham khảo:1. Computer Networking A Top Down Approach - James F. Kurose.

2. Routing bit - Ruhann Du Plessis

3. Slide Internet và Giao thức

4. Các bài viết và tư liệu trên mạng…