DNS

Pavel Schneider, schneider@mail.muni.cz

Obsah

• Historie DNS
• DNS
• �daje v DNS
• Typy z�znam�
• Resolver
• Konfigurace
• DNS servery v Linuxu
• BIND
• djbdns
• Dal��
• Zdroje informac�

Historie DNS

Ji� v dob�ch ARPAnetu byla pot�eba si pamatovat adresy jednotliv�ch po��ta��. A jeliko� si �lov�k pamatuje sp��e jm�na �i n�zvy ne� skupiny ��sel vznikla my�lenka p�evodu ��seln�ch adres na jmenn� adresy. V t�to dob� ARPAnetu byl p�eklad na UNIXov�ch stroj�ch �e�en pomoc� souboru /etc/hosts, kter� byl distribuov�n na v�echny po��ta�e (dodnes se pou��v� pro ��ely p�ezd�vek �asto nav�t�vovan�ch server� a pro pou�it� p�ed dotazem na DNS server nebo v p��pad� v�padku DNS serveru). Tato koncepce p�estala v�ak vyhovovat p�edev��m kv�li n�rok�m na rychlou aktualizaci a na zvy�uj�c� se mno�stv� adres d�ky Internetu. A tak v roce 1983 vyvinul Paul Mockapetris DNS protokol, kter� je pops�n v RFC 882, 883 a aktualizov�n v RFC 1034, 1035.

DNS

DNS (Domain Name System, syst�m dom�nov�ch jmen) - je ucelen� celek, umo��uj�c� u�ivatel�m pou��vat symbolick� dom�nov� jm�na m�sto ��seln�ch adres. Sou��st� tohoto syst�mu jsou jak pravidla pro tvorbu dom�nov�ch jmen i dom�n jako takov�ch, tak i mechanismy a prost�edky pro praktick� p�evod symbolick�ch jmen na ��seln� IP adresy. Syst�m tzv. name server� dohromady tvo�� distribuovanou datab�zi obsahuj�c� pot�ebn� p�evodn� informace.

Prostor dom�nov�ch jmen tvo�� strom. Ka�d� uzel stromu obsahuje informace o ��sti jm�na neboli dom�n�. Ko�enem stromu je tzv. ko�enov� dom�na, kter� se zapisuje te�kou. Pod n� se v hierarchick� �rovni nach�zej� tzv. dom�ny nejvy��� �rovn� Top-Level Domain neboli TLD, nap��klad st�tn� cz, sk a dal�� jako com, edu, org. Ka�d� koncov� po��ta� m� ve sv� konfiguraci s��ov�ch parametr� obsa�enu i adresu lok�ln�ho DNS serveru, na n�j� se m� obracet s dotazy. V opera�n�ch syst�mech odvozen�ch od Unixu je obsa�ena v souboru /etc/resolv.conf. Pokud po��ta� hled� ur�itou informaci v DNS (nap�. IP adresu k dan�mu jm�nu), obr�t� se s dotazem na tento lok�ln� server. Ka�d� DNS server m� ve sv� konfiguraci uvedeny IP adresy ko�enov�ch server�. Obr�t� se tedy s dotazem na n�kter� z nich. Ko�enov� servery maj� autoritativn� informace o ko�enov� dom�n�. Konkr�tn� znaj� v�echny existuj�c� dom�ny nejvy��� �rovn� a jejich servery. Dotaz je tedy n�sledn� sm�rov�n na n�kter� ze server� dom�ny nejvy��� �rovn�, v n�� se nach�z� c�lov� jm�no. Ten je op�t schopen poskytnout informace o sv� dom�n� a posunout �e�en� o jedno patro dol� v dom�nov�m strom�. T�mto zp�sobem �e�en� postupuje po jednotliv�ch patrech dom�nov� hierarchie sm�rem k c�li, a� se dostane k serveru autoritativn�mu pro hledan� jm�no, kter� po�le definitivn� odpov��.

DNS servery se chovaj� dv�ma zp�soby:

• rekurzivn� �e�en� dotazu - server se chop� vy��zen� dotazu, najde odpov�� a po�le ji tazateli. Rekurzivn� p��stup server zat�uje (mus� sledovat postup �e�en�, ukl�dat si meziv�sledky apod.), ale projde j�m odpov�� a tu si m��e ulo�it do vyrovn�vac� pam�ti. Typicky se tak chovaj� lok�ln� servery, aby si plnily vyrovn�vac� pam�ti a mohly dal��m tazatel�m poskytovat odpov�di rovnou.
• nerekurzivn� �e�en� dotazu - server dotaz ne�e��, pouze poskytne tazateli adresy dal��ch server�, jich� se m� pt�t d�l. Takto se chovaj� servery ve vy���ch patrech dom�nov� hierarchie (ko�enov� a autoritativn� servery TLD), kter� by rekurzivn� chov�n� kapacitn� nezvl�daly.

Protokol DNS pou��v� k p�enosu dat UDP nebo TCP protokol. Z�kladn� komunikace prob�h� p�es protokol UDP av�ak jen do velikosti 512B, nad tuto velikost je pou��v�n protokol TCP stejn� jako pro ���en� datab�ze DNS server�. Pro p�enos prost�ednictv�m obou protokol� je pou��v�n port 53.

�daje v DNS

Informace o dom�nov�ch jm�nech a jejich IP adres�ch, stejn� jako v�echny ostatn� informace DNS z�znamu jsou ulo�eny v pam�ti DNS server� ve tvaru zdrojov�ch v�t (Resource Records - RR).

• NAME - dom�nov� jm�no, pro n� z�znam vytv���te. Zpravidla pat�� do aktu�ln� definovan� dom�ny, pak se p��e jen samotn� jm�no bez te�ky na konci a bude k n�mu dopln�na aktu�ln� dom�na. Pokud jm�no ukon��te te�kou, nic se k n�mu nedopl�uje a bere se jako kompletn�. Nemus� b�t uvedeno, pak se p�eb�r� z p�edchoz�ho z�znamu.
• TYPE - typy z�znam� - viz. n��e
• CLASS - ur�uje rodinu protokol�, k n�� se z�znam vztahuje.
• TTL - time to live - 32bitov� ��slo ud�vaj�c� dobu, po kterou m��e b�t tento RR udr�ov�n v cache serveru jako platn�. Po vypr�en� doby je v�ta pova�ov�na za neplatnou. Hodnota 0 znemo��uje serveru ulo�it RR do cache.
• RDLENGTH - 16bitov� ��slo specifikuj�c� d�lku pole RDATA
• RDATA - vlastn� data ve tvaru �et�zce prom�nn� d�lky. Form�t z�vis� na typu a t��d� RR

Typy z�znam�

Nej�ast�ji pou��van� typy zdrojov�ch z�znam� jsou tyto:

• SOA - (Start Of Authority) - ur�uje autoritativn� jmenn� server pro z�nu, je v�dy pr�v� jeden a to na po��tku souboru. D��ve se musely hodnoty zad�vat v sekund�ch dnes lze pou��t i z�pis v minut�ch (m), hodin�ch (h), dnech (d) a t�dnech (w).



@ IN SOA ns.kdesi.cz. franta.kdesi.cz. ( 200605140 - seriov� ��slo 1h - refresh 5m - retry 1w - expire 1d - TTL )



• s�riov� ��slo - verze datab�zov�ho souboru. P�i zm�n� souboru mus�me toto ��slo zv��it. Doporu�en� tvar ��sla rrrrmmdd�� (�� = ��slo aktualizace v r�mci dne).
• refresh - uv�d� jak �asto maj� sekund�rn� NS ov��ovat sv�
data.
• retry - jesli�e sekud�rn� NS nem��e kontaktovat prim�rn� po uplynut� intervalu refresh, bude to d�le zkou�et ka�d�ch Retry sekund.
• expire - jestli�e se sekund�rn�mu NS nepoda�� kontaktovat prim�rn� NS do Expire> sekund, p�estane poskytovat informace (data jsou p��li� star�).
• TTL - hodnota se vztahuje ke v�em z�znam�m v db souboru (jako v�choz� hodnota) a je poskytov�na NS v ka�d� jeho odpov�di. ��k�, jak dlouho mohou ostatn� servery (tj. neautoritativn� servery) udr�ovat dan� z�znam ve sv� pam�ti cache (nula znemo��uje ukl�d�n� v�t do cache).


• NS - (Name Server) - definuje autoritativn� jmenn� server pro dom�nu. Pokud je n�zev name serveru zad�n bez te�ky nakonci, je k n�mu n�sledn� p�i�azena dom�na serveru.



aaa IN NS ns IN NS ns.jinde.cz.



• A - (host Adress) - p�i�azuje dom�nov�mu jm�nu IPv4 adresu.



www IN A 1.2.3.4



• AAAA - (host Adress) - p�i�azuje dom�nov�mu jm�nu IPv6 adresu



www IN AAAA 2001:718:1c01:1:02e0:7dff:fe96:daa8



• MX - (Mail eXchange) - specifikuje jm�no po�tovn�ho serveru. K tomuto jm�nu se je�t� dod�v� ��seln� priorita serveru. Nejd��ve se zkou�� odeslat po�tu na server s nejvy��� prioritou (nejvy��� prioritu ozna�uje nejmen�� ��slo). Pokud se odesl�n� nezda��, zkou�� se dal�� server atd.



www IN MX 10 mail IN MX 20 mail.jinde.cz.



• CNAME - (Canonical NAME) - definuj�c� synonyma dom�nov�ch jmen.



www IN CNAME neco



• PTR - (PoinTeR) - slou�� k p�ekladu IP adresy na dom�nov� jm�no (reverzn� p�eklad).



1.2.3.4 IN PTR cosi.kdesi.cz.



• TXT - (TeXT) - textov� pozn�mka.

Resolver

Resolver je vlastn� DNS klient, kter� nen� spu�t�n na PC jako d�mon, ale zprost�edkov�v� dan� slu�by pomoc� knihovny resolveru, kter� jsou implementov�ny ve standardn�ch knihovn�ch C.

Konfigurace

Konfigura�n�m souborem pro resolver je /etc/resolv.conf. Slou�� jako seznam name server� a zpravidla obsahuje dva typy ��dk� (druh� se m��e n�kolikr�t opakovat):

• domain - jm�no m�stn� dom�ny
• nameserver - IP adresa name serveru

    domain       mojedomena.cz
    nameserver    1.2.3.4
    nameserver    1.2.3.5

PC m��eme tak� konfigurovat bez pou�it� DNS, v tom p��pad� se ve�ker� dotazy na p�eklad adres prov�d�j� lok�ln� pomoc� souboru /etc/hosts. Nej�ast�ji se tento soubor pou��v� pro vytvo�en� p�ezd�vek. Nap��klad n�sleduj�c� p��klad umo��uje pou��vat p�ezd�vku localhost a umo��uje zadat do browseru jen http://oo m�sto http://www.openoffice.cz.

    127.0.0.1    localhost
    212.47.25.165   oo

Mo�no ob� metody kombinovat (nej�ast�j�� p��pad), pomoc� souboru /etc/host.conf nebo /etc/nsswitch.conf , ve kter�ch se nastavuje po�ad�, v jak�m se budou datab�ze prohl��et. Zpravidla se nejd��ve prohl��� /etc/hosts a posl�ze DNS.

DNS servery v Linuxu

BIND

BIND je bezesporu nejpou��van�j��m DNS serverem na platform� Unix. Je konstruov�n pro obrovsk� zat��en�, a proto se u v�ech velk�ch DNS server� setk�me pr�v� s touto aplikac�.

Instalace

BIND (proces named) se standardn� spou�t� pod u�ivatelem root, co� nen� z hlediska bezpe�nosti p��li� p��v�tiv�. Proto je velmi vhodn� vytvo�it nov�ho u�ivatele, pod kter�m by se BIND spou�t�l a spou�t�t tak BIND v tzv. chrootovsk�m re�imu. Na str�nk�ch Chroot-BIND-HOWTO naleznete velice podrobn� postup jak nastavit chrootovsk� re�im, tady jen ve zkratce:

• vytvo�en� nov�ho u�ivatele a skupiny pro proces nameserveru, nap� named ve skupin� named
• vytvo�en� pot�ebn� adres��ov� struktury



/chroot/named/etc /chroot/named/etc/named /chroot/named/dev /chroot/named/var /chroot/named/var/run



• vytvo�en� speci�ln�ch soubor� /dev/null, /dev/random
• nastaven� pr�v chroot adres��e
• sta�en� BIND
• instalace BIND do adres��ov� struktury chroot

Konfigurace

Konfigurace jmenn�ho serveru BIND prob�h� pomoc� souboru /etc/named.conf, kter� je po startu p�e�ten a n�sledn� zavedeny p��slu�n� DNS datab�ze do pam�ti. P��kazy pro nastaven� v /etc/named.conf:

• acl - definuje seznam IP adres pro ��zen� p��stupu
• controls - definuje ��d�c� kan�ly pro pou�it� rndc utilitou



controls { inet 127.0.0.1 allow { localhost; }; };



• include - vkl�d� soubor



include jmeno_souboru;



• key - specifikuje informace pro pou�it� p�i autentizaci a autorizaci
• logging - definuje ud�losti, kter� se maj� zaznamen�vat
• options - glob�ln� nastaven� serveru



options { directory "/var/named"; query-source port 53; forward prvn�_dotazovany_server; forwarders { ostatni_servery; };



• server - nastavuje r�zn� konfigura�n� mo�nosti
• trusted-keys - definuje trusted DNSSEC keys
• zone - definuje z�nu

Typy z�n:

• master - znamen�: tento server vlastn� tzv. master kopii dat pro z�nu a je pro n� prim�rn�m jmenn�m serverem.
• slave - z�na je kopi� master z�ny. Parametr masters �ekne IP stroje kter�ho m� named kontaktovat pro kopii a updaty z�ny.
• forward - p�esm�rov�v�n� dotaz� podle forward a forwarders.
• hint - seznam ko�enov�ch jmenn�ch server�.



zone "xyz.cz" { type master; notify yes; file "xyz.cz.zone"; }; zone "abc.cz" { type slave; masters { 194.149.105.18; }; file "abc.cz.zone"; }; zone "." { type hint; file "root.hints"; };

Konfigurace z�nov�ch soubor� prob�h� pomoc� v�t RR (Resource Records), kter� ji� byly pops�ny d��ve. P��klad zone souboru:

$TTL 1d

@       IN   SOA   ns.kdesi.cz.  franta.kdesi.cz. (
                   200605140 - seriov� ��slo
                   1h        - refresh
                   5m        - retry
                   1w        - expire
                   1d        - TTL
                   )

        IN  NS  ns
        IN  MX  10 mail.ns

www     IN   CNAME   neco

www     IN   A   1.2.3.4

Kontrola

Pro kontrolu v�mi vytvo�en�ch konfigura�n�ch soubor� named.conf a soubor� z�n slou�� programy named-checkconf a named-checkzone.

Spu�t�n�

Spou�t�n� je doporu�eno v chrootovsk�m re�imu pomoc� p��kazu named -u named -t /chroot/named/.

djbdns

Narozd�l od BINDu nen� djbdns jedin�m programem, ale souborem n�kolika mal�ch program�, kter� pln� v�dy jen jedinou funkci.

• dnscache - dnscache pln� pr�v� funkci ke�e a lze jej pou��vat stejn� dob�e tak� samostatn� nap��klad pro urychlen� pr�ce na pomal� vyt��en� lince.
• tinydns - tinydns je vlastn� DNS server, kter� pou�ijete pro poskytnut� informac� o va�ich dom�n�ch. Narozd�l od BINDu pracuje pouze s UDP protokolem.
• axfrdns - pot�ebn�, pokud chcete registrovat nov� dom�ny, nebo� sou��st� registrace je i kontrola spr�vnosti �daj� v DNS, p�i kter� si servery CZ NICu stahuj� z�nu pr�v� p�es AXFR.

Krom� v��e uveden�ch obsahuje djbdns i dal�� dva servery - rbldns a walldns a n�kolik klientsk�ch aplikac�, kter� lze pou��vat nap��klad pro p�evod jmen a adres z p��kazov� ��dky (nap�. nam�sto klasick�ho nslookupu). V neposledn� �ad� je zde je�t� knihovna, kter� umo��uje programovat DNS klienty jednodu���m zp�sobem, ne� jak� nab�z� standardn� resolver.

N�vod jak nainstalovat djbdns.

Dal��

• MyDNS
  - DNS server, kter� pou��v� jako �lo�i�t� z�znamu MySQL datab�zi. Oproti Bindu v n�m nenajdete ��dn� knihovny pro p�evod jmen a adres, nen� rekurzivn� a neobsahuje ke�. Na druhou stranu m� jin� p�ednosti: je mal� a rychl�, z�znamy se spravuj� velmi snadno (rozhran� k MySQL existuj� hromady) a hlavn� se v�echny zm�ny projevuj� okam�it�. Samoz�ejmost� MyDNS je tak� spolupr�ce i s jin�mi ne� MyDNS nameservery.
• MaraDNS
  - pln� funk�n� DNS server podporuj�c� autoritat�vn�, rekurz�vn� a ke�uj�c� DNS.
• Dents
  -serverov� ��st protokolu DNS

Zdroje informac�

www.owebu.cz
www.fi.muni.cz/~xbatko
cs.wikipedi.org
archiv P090
www.earchiv.cz
www.abclinuxu.cz
linux.tosovsky.info
www.isc.org