DNS

Adam Krumplovič, xkrumpl@fi.muni.cz

Obsah

Co je DNS a proč se používá
Systém domén
Jak to funguje
Vlastnosti DNS
Tools
Serverové implementace
Konfigurace BINDUu
Význam některých slov v zónových záznamech
Hinty

Co je to DNS a proč se používá

DNS je zkratka anglického Domain Name System někdy bývá uváděno také jako Domain Name Service. Provádí překlad ip adres ze špatně zapamatovatelného číslicového tvaru (případně dvojtečkového hexa hybridu ipv6) na jména, která se nám vybaví podstatně lépe. Její jediná funkce tedy spočívá v tom, že pomáhá lidské paměti. V malých LAN je DNS celkem zbytečná, ale zkuste si představit Internet bez jmen domén a www serverů. Dalším příkladem nezbytnosti této služby je elektronická pošta, posílat emaily na adresu kas@147.251.48.1 by asi taky nebylo to pravé. Méně známou feature je tzv. reverzní mapování, možnost překladu i opačným směrem, tedy jméno stroje na ip adresu. Alternativou k DNS bylo NIS/YP.

Systém domén

Delegování autorit (cz -> muni -> fi -> lab)
InterNIC = autorita
ripe - evropa
Internet vznikl v USA, proto .COM, .NET, .ORG, .EDU, .INT, .MIL a .GOV
2-znakové domény zemí jsou podle ISO3166-1
Budoucnost: .eu .shop .info

Jak to funguje

Vše je založeno na architektuře klient - server. Respektive množina klientů a množina serverů. Zdůrazňuji množinu serverů, protože ty si mezi sebou musí vyměňovat dotazy klientů, případně replikovat DNS záznamy. Pro Internet je tedy nezbytné aby byly všechny servery spolu propojeny v jedné globální struktuře a každý z nich přijal své místo v této struktuře. Naopak klienti v některých případech potřebují znát jen ip adresu v číselném tvaru některého z DNS serverů zapojeného v globální struktuře.

Příklad: klient chce zjistit ip adresu FQDN www.microsoft.cz . Nejdříve se dozví IP adresu nameserveru pro doménu prvního řádu (cz). Poté se zeptá nameserveru pro cz na IP adresu nameserveru pro doménu druhého řádu (microsoft.cz). A nakonec mu nameserver pro microsoft.cz prozradí IP adresu www.microsoft.cz.

Nameserver může mít různé modely chování. Může si například sám hrát na klienta v případě, že nezná požadovanou informaci a může se ji snažit zjistit od jiných nameserverů. Další možností je jen cachovací nameserver.
Nameserver může být neregistrovaný (neznámý nadřazeným), nebo registrovaný - nadřazené servery jej znají.
Nameservery obvykle pracují v párech, tedy máme pro jednu doménu primární a sekundární nameserver.
Nameservery si udržují soubory se záznamy typu jméno - adresa pro dopředné mapování a pro reverzní mapování mají také soubory s opačným pořádkem, tedy adresa - jméno.
Komunikace mezi klientem a serverem je popsána v RFC 1035.

Vlastnosti DNS

stromová hierarchie
název z částí každá max 63 znaků, celkem maximálně 255 znaků, nezaměňovat s URL!
název domény by neměl začínat číslicí
porty:53 (domain)
routovatelnost

Tools

Linux - man resolver (resolver je součástí knihovny libc)

Domain Information Groper
dig @nameserver jmeno_stroje [typ_zaznamu]
dig @nameserver -x 123.123.123.123
host [-t typ_zaznamu] jmeno_stroje nameserver

windows
nslookup jmeno_stroje

Serverové implementace

BIND (isc.org/isc/bind9)
- vznik 80 léta minulého století (Paul Vixie)
- nejrozšířenější
- aktuální verze je 9, ale hodně se používá 8
djbdns (cr.yo.to/djbdns.html)
- autor qmailu Daniel J. Bernstein
- jako qmail je složeno z mnoha malých částí (modulů), proto vyšší bezpečnost než BIND, ale závislost na modulech a dalších nadstavbových knihovnách.
- $500 odměna za nalezení bezpečnostní chyby

Konfigurace BINDu

Následující konfigurace je pro fiktivní doménu middlearth.cz, správce ma email gandalf@middlearth.cz a náš nameserver je spojen se světem a ve spolupráci s root servery umí přeložit i adresy z Internetu. Konfigurace je pro primární nameserver.

=========== /etc/named.conf ===================================================
#globalni vopsny -> man named.conf
options {
        directory "/var/named";
};

#svet
 zone "." {
         type hint;
         file "root.hinty";
 };

#moje fiktivni domena
zone "middlearth.cz" {
        type master;
        file "zony/middlearth.cz";
};

#vnitrni reverzni
zone "0.168.192.in-addr.arpa" {
        type master;
        file "zony/192.168.0";
};

======= konec named.conf ======================================================

Dopředný pro zónu kde su autorita
======= /var/named/zony/middlearth.cz =========================================
$TTL 3D
@       IN      SOA     middlearth.cz. gandalf.middlearth.cz. (
                        200407031       ; dnesni datum+dnesni seriove cislo
                        1D              ; refresh
                        3H              ; retry
                        4W              ; expire
                        1D )            ; minimum TTL
                NS      middlearth.cz.
;;                NS      dalsi.nameserver.cz. ; zaloha by mela byt mimo nasi domenu!
;;                MX      10 middlearth.cz.  ; Postou se ted nezabyvame
                TXT     "4d4m's test"

;;;;;  hlavni masiny

ns              A       192.168.0.3
middlearth.cz   A       192.158.0.3
ftp             CNAME   middlearth.cz.
gw              A       192.168.0.1


;;;;;  dalsi compy:

widlak          A       192.168.0.2
pepik           CNAME   widlak.
shire           CNAME   ns.
starej          A       192.168.0.4

======= konec middlearth.cz ========================================

Reverzní pro zónu kde su autorita
======= /var/named/192.168.0 =======================================
$TTL 3D
@       IN      SOA     middlearth.cz. gandalf.middlearth.cz. (
                        200407031       ; dnesni datum+dnesni seriove cislo
                        1D              ; refresh
                        3H              ; retry
                        4W              ; expire
                        1D )            ; minimum TTL
                NS      middlearth.cz.
;;                NS      dalsi.nameserver.cz.  ; zaloha by mela byt mimo nasi domenu!
;;                MX      10 middlearth.cz.  ; Postou se ted nezabyvame
                TXT     "4d4m's test"


;;;; hlavni

1       PTR     gw
3       PTR     middlearth.cz.

;;;; dalsi masiny

2       PTR     widlak
4       PTR     starej


======= konec 192.168.0 ========================================

Dále potřebujeme soubor root.hinty s adresami root serverů. Ten je často aktualizován, proto je vhodné si jej čas od času stáhnout na ftp.internic.net. Úvodní část jeho obsahu vypadá asi takto:


======= /var/named/root.hinty ========================================
. IN    SOA     A.ROOT-SERVERS.NET. NSTLD.VERISIGN-GRS.COM. (
                                  2004030701 ;serial
                                  1800 ;refresh every 30 min
                                  900 ;retry every 15 min
                                  604800 ;expire after a week
                                  86400 ;minimum of a day
                                  )
$TTL 518400
. NS A.ROOT-SERVERS.NET.
. NS H.ROOT-SERVERS.NET.
. NS C.ROOT-SERVERS.NET.
. NS G.ROOT-SERVERS.NET.
. NS F.ROOT-SERVERS.NET.
. NS B.ROOT-SERVERS.NET.
. NS J.ROOT-SERVERS.NET.
. NS K.ROOT-SERVERS.NET.
. NS L.ROOT-SERVERS.NET.
. NS M.ROOT-SERVERS.NET.
. NS I.ROOT-SERVERS.NET.
. NS E.ROOT-SERVERS.NET.
. NS D.ROOT-SERVERS.NET.
A.ROOT-SERVERS.NET. A 198.41.0.4
H.ROOT-SERVERS.NET. A 128.63.2.53
C.ROOT-SERVERS.NET. A 192.33.4.12
G.ROOT-SERVERS.NET. A 192.112.36.4
F.ROOT-SERVERS.NET. A 192.5.5.241
B.ROOT-SERVERS.NET. A 192.228.79.201
J.ROOT-SERVERS.NET. A 192.58.128.30
K.ROOT-SERVERS.NET. A 193.0.14.129
L.ROOT-SERVERS.NET. A 198.32.64.12
M.ROOT-SERVERS.NET. A 202.12.27.33
I.ROOT-SERVERS.NET. A 192.36.148.17
E.ROOT-SERVERS.NET. A 192.203.230.10
D.ROOT-SERVERS.NET. A 128.8.10.90
$TTL 172800
PS. NS NS.DOLEH.COM.
PS. NS DNS3.GOV.PS.
PS. NS DNS1.GOV.PS.
PS. NS SLAVE1.STH.NETNOD.SE.
PRO. NS A.IANA-SERVERS.NET.
PRO. NS B.IANA-SERVERS.NET.
MUSEUM. NS NIC.ICOM.ORG.
MUSEUM. NS NS-EXT.VIX.COM.
MUSEUM. NS NS.ICANN.ORG.
MUSEUM. NS NIC.MUSEUM.
MUSEUM. NS NS1.GETTY.EDU.
COOP. NS NS1.NIC.COOP.
COOP. NS NS2.NIC.COOP.
AERO. NS MERAPI.SWITCH.CH.
AERO. NS NS3.KNIPP.DE.
AERO. NS DNS7.DENIC.DE.
AERO. NS TLD1.AERODNS.AERO.
AERO. NS TLD2.AERODNS.AERO.
BY. NS NS.RIPE.NET.
BY. NS NS2.FREE.NET.
BY. NS ARWENA.NASK.WAW.PL.
BY. NS DNS.BELPAK.BY.
BY. NS NS1.OPEN.BY.
BY. NS NS.RU.NET.
======= konec root.hinty =============================================

.
.
.

Pro vyšší bezpečnost bysme měli BIND spouštět se změněným kořenovým adresářem. Pro to je nutná následující adresářová struktura.

/namedchroot
  \--- named
       \--- dev
       \--- etc
             \--- named
       \--- var
             \--- run

Pro logování je třeba mít správný čas, proto: cp /etc/localtime /namedchroot/named/etc/ a dále přesměrovat logováni syslogu pro named na /namedchroot/named/dev/log . Špatný nápad není ani vytvoření chrootovaného null: mknod /namedchroot/named/dev/null c 1 3

Chrootovaný BIND se spouští named -t adresar_chrootnuti

Význam některých slov v zónových záznamech

A	IP adresa	RFC 1035
AAAA	IPv6 adresa	RFC 1886
CNAME	Další název pro stejnou IP adresu	RFC 1035
HINFO	Informace o hardware k usnadnění orientace	RFC 1035
MX	Mail Exchanger - poštovní server pro danou doménu	RFC 1035
NS	Nameserver pro danou doménu	RFC 1035
PTR	Ukazatel	RFC 1035
RP	Zodpovědná osoba	RFC 1183
SOA	Start of authority	RFC 1035
TXT	Textový řetězec	RFC 1035

Hinty

unixový klient /etc/resolv.conf (parametry domain a nameserver) /etc/nsswitch.confs

named:
SIGHUP - znovunačtení konfigurace
SIGINT - uloží záznamy z cache obvykle do /var/tmp/named_dump.db

sledovat /var/log/messages (zapnout logování v /etc/syslog.conf) a pokud není poslední slovo running (ne succeded!), tak kouknout o pár řádků zpět proč to nenaskočilo

Nové sériové číslo slouží k upozornění sekundárního nameserveru že došlo ke změně aby si stáhl novou verzi tabulek

Nespouštět BIND pod rootem, raději vytvořit nového uživatele pro spouštění. Vyšší bezpečnost.

Zkontrolovat, jestli nebrání port 53 firewall

tldp.org/HOWTO/Chroot-BIND-HOWTO
RFC 3658
RFC 3467
RFC 3675
RFC 3655
RFC 3646
google :-)