La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

1 Le système DNS Pourquoi ? Les communications sont basées sur: Les adresses IP pour lInternet Les noms pour lhumain Besoin dun mécanisme de mise en correspondance.

Présentations similaires


Présentation au sujet: "1 Le système DNS Pourquoi ? Les communications sont basées sur: Les adresses IP pour lInternet Les noms pour lhumain Besoin dun mécanisme de mise en correspondance."— Transcription de la présentation:

1 1 Le système DNS Pourquoi ? Les communications sont basées sur: Les adresses IP pour lInternet Les noms pour lhumain Besoin dun mécanisme de mise en correspondance DNS Base de données hiérarchique distribuée Implémentation en couche Application

2 2 Le service de nommage DNS Découplage entre nom et localisation Conception À plat.fr,.de,.fi,.be Hiérarchique Centralisée Distribuée Racine. Racine. de fr uk univ-reims.fr chalons.univ-reims.fr Conception hiérarchique Conception centralisée Conception distribuée.fr.de.uk.

3 3 Fonctionnalités Espace de noms de domaines Arborescence indépendante de la topologie réseau Architecture de stockage distribuée Zones affectées à des serveurs de noms dans larborescence hiérarchique Serveurs de sauvegarde pour la redondance et la disponibilité Administration répartie suivant la hiérarchie des noms Rôle le plus simple: client DNS, ou resolver Protocole client/serveur sur le port 53 (domain) Protocole UDP utilisé par les clients Protocole TCP utilisé pour les échanges entre serveurs

4 DNS: Terminologie 4 Zone DNS Une zone est une structure arborescente de lespace des noms. Chaque zone comporte les données générales sur chaque noeud de la zone qui définissent le noeud supérieur de la zone qui décrivent les sous-zones qui permettent d'accéder aux serveurs de noms qui gèrent les sous-zones

5 Zone chalons.univ-reims.fr DNS: Terminologie 5 Formation des zones Racine. edu com gov mil org net de fr uk TLD: Top Level Domain gTLD: geographical Top Level Domain Légende univ-reims.fr chalons.univ-reims.fr ns1 ns2 www rt gim Sous-zone de univ-reims.fr

6 Types de serveurs Chaque zone comporte des serveurs redondants: Serveur primaire Serveur unique Administré manuellement Contient les enregistrements originaux dans le fichier de zone Serveur secondaire Serveur(s) redondant(s) (nombre illimité) Administré(s) automatiquement par transfert des enregistrements de zone du serveur primaire Partage la charge Permet de secourir le serveur primaire en cas de panne Peut gérer jusquà 10 serveurs primaires.

7 7 DNS: Résolution Deux modes symétriques de fonctionnement: Résolution directe A partir dun FQDN, on désire connaître ladresse IP Résolution inverse A partir de ladresse IP, on désire connaître le FQDN

8 8 Fonctionnement en résolution locale Mode de résolution locale Quelle est ladresse de B ? 2 Ladresse de B est » 3 Message à B

9 9 Fonctionnement en résolution distante Utilisation du cache DNS Quelle est ladresse de B ? 2 Ladresse de B est » 3 Message à B La réponse du cache ne fait pas autorité !

10 Exemple Une réponse à une requête DNS ne fait pas autorité si le serveur DNS utilisé formule une réponse provenant de son cache Microsoft Windows XP [version ] (C) Copyright Microsoft Corp. C:\>nslookup Serveur : dns2.proxad.net Address: Réponse ne faisant pas autorité : Nom : Address: C:\>

11 11 Fonctionnement en résolution distante Utilisation du mode itératif

12 12 Fonctionnement en résolution distante Mode récursif de résolution distante ?www.google.fr 4 ? 6 ? 8 Message à i.j.k.l ? 2 3 R: ns.fr. = a.b.c.d 5 R: ns1.google.fr. = e.f.g.h 7 R: = i.j.k.lwww.google.fr

13 13 Gestion du cache Conservation des résultats des requêtes en mémoire (résolue ou non !) Optimise la charge des hôtes supérieurs Les enregistrements ont une durée de validité (TTL) fixé par le gestionnaire de zone TTL élevé: Moins de trafic Possibilité de stocker des informations périmées TTL faible: Plus de trafic Informations à jour

14 14 Vision hiérarchisée des serveurs Chaque serveur ne maintient quun sous-ensemble de larborescence Chaque serveur contient tous les enregistrements dhôtes de son domaine Chaque serveur a besoin de connaître les autres serveurs responsables des autres parties de larborescence Un serveur connaît la liste des serveurs racines Un serveur racine connaît tous les TLDs et gTLDs

15 Visibilité pour les dns de chalons.univ-reims.fr Visibilité pour les dns de univ-reims.fr Visibilité www rt gim ns1 ns2 ns1 ns2 www

16 16 Les serveurs racines Contiennent la base des noms de domaines Gérés par lICANN Internet Corporation For Assigned Names and Numbers Répartis sur le globe pour des raisons évidentes de sécurité

17 17 Les serveurs racines (source: Lettre Ancienne appellation OperateurLocationAdresse IP A ns.internic.netVeriSignDulles, Virginia, USA B ns1.isi.eduISIMarina Del Rey, California, USA IPv4: IPv6: 2001:478:65::53 C c.psi.netCogentHerndon VA; Los Angeles; New York City; Chicago D terp.umd.eduUniversity of MarylandCollege Park, Maryland, USA E ns.nasa.govNASAMountain View, California, USA F ns.isc.orgISC Ottawa; Palo Alto; San Jose CA; New York City; San Francisco; Madrid; Hong Kong; Los Angeles; Rome; Auckland; Sao Paulo; Beijing; Seoul; Moscow; Taipei; Dubai; Paris; Singapore; Brisbane; Toronto; Monterrey; Lisbon; Johannesburg; Tel Aviv; Jakarta; Munich; Osaka; Prague; Amsterdam; Barcelona; Nairobi; Chennai; London IPv4: IPv6: 2001:500::1035 G ns.nic.ddn.milU.S. DoDU.S. DoD NICVienna, Virginia, USA H aos.arl.army.milU.S. Army Research LabAberdeen Proving Ground, Maryland, USA IPv4: IPv6: 2001:500:1::803f:235 I nic.nordu.netAutonomica Stockholm; Helsinki; Milan; London; Geneva; Amsterdam; Oslo; Bangkok; Hong Kong; Brussels; Frankfurt; Ankara; Bucharest; Chicago; Washington DC; Tokyo; Kuala Lumpur; Palo Alto; Jakarta; Wellington; Johannesburg; Perth; San Francisco; New York; Singapore; Miami; Ashburn (US); Mumbai; Beijing J VeriSign Dulles VA (4 locations); Mountain View CA; Seattle WA; Atlanta GA; Los Angeles CA; Miami FL; Sunnyvale CA; Amsterdam; Stockholm; London; Tokyo; Seoul; Singapore K RIPERIPE NCC London (UK); Amsterdam (NL); Frankfurt (DE); Athens (GR); Doha (QA); Milan (IT); Reykjavik (IS); Helsinki (FI); Geneva (CH); Poznan (PL); Budapest (HU); Abu Dhabi (AE); Tokyo (JP); Brisbane (AU); Miami (US); Delhi (IN) IPv4: IPv6: 2001:7fd::1 L ICANNLos Angeles, California, USA M WIDE ProjectTokyo; Seoul (KR); Paris (FR) IPv4: IPv6: 2001:dc3::35

18 18 Les serveurs racine, Domaine de lAPNIC (source: APNIC: Asia Pacific Network Information Center Source:

19 19 Le roadmap de lAPNIC 12/2005F-Root nameservers installed in Karachi, Pakistan and Dhaka, Bangladesh 08/20053 root nameservers installed in India:F-Root (Chennai), I-Root (Mumbai), K-Root (Noida). 06/2005K-Root installed in Brisbane, Australia. 04/2005K-Root installed in Tokyo, Japan 03/2005I-Root installed in Jakarta, Indonesia. 10/2004F-Root installed in Osaka, Japan. 09/2004I-Root installed in Bangkok, Thailand. 08/2004I-Root installed in Kuala Lumpur, Malaysia 07/2004M-Root installed in Seoul, Korea. 06/2004F-Root installed in Jakarta, Indonesia. 02/2004F-Root installed in Brisbane, Australia 12/2003F-Root installed in Singapore. 12/2003F-Root, installed in Taipei, Taiwan. 11/2003F-Root installed in Hong Kong. 10/2003F-Root installed in Beijing, People's Republic of China. 08/2003F-Root installed in Seoul, Korea 07/2003F-Root installed in Auckland, New Zealand 01/2003APNIC calls for Expressions of Interest for support of APNIC PoPs 11/2002APNIC announces project to bring new root server sites into the Asia Pacific region 08/1997M-Root installed in Tokyo, Japan

20 20 Le service de nommage DNS Sensibilité aux attaques… Le 21 octobre 2002, 9 de ces 13 serveurs racines ont subi simultanément une attaque par déni de service distribué (DDoS) pendant une heure. Voici les statistiques d'octobre 2002 pour le serveur H-Root (nombre de requêtes par seconde) : L'attaque est cependant passée pratiquement inaperçue, grâce au mécanisme de cache utilisé par les serveurs DNS

21 21 DNS: Terminologie FQDN: Fully Qualified Domain Name Cest le nom absolu dun hôte sur lInternet Exemple: Donne la vision hiérarchique: La première chaîne (avant le 1 er point) est le nom de lhôte Le reste constitu le domaine de lhôte

22 22 Configuration du client: Les redirecteurs Rôle: Les redirecteurs servent à indiquer qui lhôte doit interroger pour effectuer une résolution Configuration Le client doit avoir connaissance des serveurs DNS de son organisation, ou de son FAI En général, récupération automatique (via PPP, BOOTP ou DHCP)

23 23 Le service de nommage DNS En pratique Configuration du resolver Configuration de NSS (Name Service Switch) Attention: Hôte client (ie non serveur DNS): indiquer les serveurs de lorganisation (ou du FAI) Serveur DNS: ladresse du redirecteur est lui-même !! saphir:~# cat /etc/resolv.conf search chalons.univ-reims.fr nameserver nameserver saphir:~# cat /etc/nsswitch.conf … hosts: files dns …

24 24 Le service de nommage DNS Configuration du serveur: les bases de données La base de données DNS est constituée denregistrements (RR: Resource Record) de la forme: classetypevaleur Les classes: IN:Internet (TCP/IP) CH:Chaosnet (ancien concurrent de TCP/IP)

25 25 Le service de nommage DNS Les types de la classe IN (Internet): Aadresse IPv4 AAAAadresse IPv6 NSserveur DNS (Name Server) CNAMEalias (Canonical Name) HINFOinformation sur le système dhôte ne devrait pas être utilisé MXserveur de messagerie (Mail eXchange) PTRadressage inversé (Pointer) adresse IP vers lhôte SOAdéclaration de zone (Start Of Authority)

26 26 Le service de nommage DNS Les types de la classe CH (Chaosnet) version.bindnuméro de version de bind (dangereux !!!) authors.bindliste des auteurs du logiciel DNS

27 27 Le service de nommage DNS Les outils host Utilitaire permettant deffectuer une recherche DNS en direct en indirect debian:# host has address debian:# host in-addr.arpa domain name pointer www1.free.fr. Notation inverse in-addr: adresse internet racine arpanet

28 28 Le service de nommage DNS Les outils host (suite) -c classeIN ou CH -rmode récursif -Tmode TCP -t ns|mx|…type denregistrement debian:/etc/bind# host -t ns chalons.univ-reims.fr chalons.univ-reims.fr name server ns1.chalons.univ-reims.fr. chalons.univ-reims.fr name server mercure.chalons.univ-reims.fr. debian:/etc/bind# host -t mx chalons.univ-reims.fr chalons.univ-reims.fr mail is handled by 10 pandore.chalons.univ-reims.fr.

29 29 Le service de nommage DNS Les outils dig debian:~# dig ; > DiG > ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;www.google.fr. IN A ;; ANSWER SECTION: IN CNAME IN CNAME IN A IN A IN A ;; Query time: 43 msec ;; SERVER: #53( ) ;; WHEN: Thu Dec 22 15:20: ;; MSG SIZE rcvd: 127

30 30 debian:~# dig google.fr soa ; > DiG > google.fr soa ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;google.fr. IN SOA ;; ANSWER SECTION: google.fr IN SOA ns1.google.com. dns-admin.google.com ;; Query time: 73 msec ;; SERVER: #53( ) ;; WHEN: Thu Dec 22 15:19: ;; MSG SIZE rcvd: 87 Le service de nommage DNS Les outils dig: Interrogation par type denregistrement debian:/etc/bind# dig google.fr mx ; > DiG > google.fr mx ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;google.fr. IN MX ;; ANSWER SECTION: google.fr IN MX 10 smtp1.google.com. google.fr IN MX 20 smtp2.google.com. google.fr IN MX 30 smtp3.google.com. ;; Query time: 67 msec ;; SERVER: #53( ) ;; WHEN: Thu Dec 22 15:18: ;; MSG SIZE rcvd: 103 debian:~# dig google.fr ns ; > DiG > google.fr ns ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;google.fr. IN NS ;; ANSWER SECTION: google.fr. 730 IN NS ns1.google.com. google.fr. 730 IN NS ns2.google.com. google.fr. 730 IN NS ns3.google.com. google.fr. 730 IN NS ns4.google.com. ;; Query time: 43 msec ;; SERVER: #53( ) ;; WHEN: Thu Dec 22 15:18: ;; MSG SIZE rcvd: 109

31 Le service de nommage DNS 31 debian:~# dig +trace ; > DiG > +trace ;; global options: printcmd. 818 IN NS J.ROOT-SERVERS.NET IN NS K.ROOT-SERVERS.NET IN NS L.ROOT-SERVERS.NET IN NS M.ROOT-SERVERS.NET IN NS F.ROOT-SERVERS.NET IN NS G.ROOT-SERVERS.NET IN NS H.ROOT-SERVERS.NET IN NS I.ROOT-SERVERS.NET. ;; Received 228 bytes from #53( ) in 44 ms fr IN NS A.EXT.NIC.fr. fr IN NS C.EXT.NIC.fr. fr IN NS C.NIC.fr. fr IN NS A.NIC.fr. fr IN NS B.NIC.fr. fr IN NS D.EXT.NIC.fr. fr IN NS E.EXT.NIC.fr. fr IN NS E.NIC.fr. fr IN NS B.EXT.NIC.fr. ;; Received 411 bytes from #53(J.ROOT-SERVERS.NET) in 76 ms google.fr IN NS ns2.google.com. google.fr IN NS ns3.google.com. google.fr IN NS ns4.google.com. google.fr IN NS ns1.google.com. ;; Received 177 bytes from #53(A.EXT.NIC.fr) in 58 ms IN CNAME IN CNAME l.google.com IN NS a.l.google.com. l.google.com IN NS b.l.google.com. l.google.com IN NS c.l.google.com. l.google.com IN NS d.l.google.com. l.google.com IN NS e.l.google.com. l.google.com IN NS g.l.google.com. ;; Received 271 bytes from #53(ns2.google.com) in 70 ms

32 Le service de nommage DNS 32 rubis:~# fr ; > DiG fr ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 9, ADDITIONAL: 12 ;; QUESTION SECTION: ;fr.INA ;; AUTHORITY SECTION: fr INNSA.EXT.NIC.fr. fr INNSC.EXT.NIC.fr. fr INNSC.NIC.fr. fr INNSA.NIC.fr. fr INNSB.NIC.fr. fr INNSD.EXT.NIC.fr. fr INNSE.EXT.NIC.fr. fr INNSE.NIC.fr. fr INNSB.EXT.NIC.fr. ;; ADDITIONAL SECTION: A.EXT.NIC.fr INA C.EXT.NIC.fr INA C.NIC.fr INAAAA2001:660:3006:1::1:1 C.NIC.fr INA A.NIC.fr INA B.NIC.fr INAAAA2001:660:3005:1::1:2 B.NIC.fr INA D.EXT.NIC.fr INAAAA2001:4f8:0:2::8 D.EXT.NIC.fr INA E.EXT.NIC.fr INA E.NIC.fr INA B.EXT.NIC.fr INA ;; Query time: 240 msec ;; SERVER: #53(b.root-servers.net) ;; WHEN: Thu Dec 22 09:08: ;; MSG SIZE rcvd: 400

33 Le service de nommage DNS Configuration Fichier de zone: /etc/bind/named.conf options { … }; // prime the server with knowledge of the root servers zone "." { type hint; file "/etc/bind/db.root"; }; // be authoritative for the localhost forward and reverse zones, and for // broadcast zones as per RFC 1912 zone "localhost" { type master; file "/etc/bind/db.local"; }; zone "127.in-addr.arpa" { type master; file "/etc/bind/db.127"; }; zone "lpisvd.org" { type master; file "db.lpisvd.org"; }; zone " in-addr.arpa" { type master; file "db.lpisvd.org.reverse"; };

34 Le service de nommage DNS 34 Configuration Fichier de zone directe root.localhost. ( 2; Serial ; Refresh 86400; Retry ; Expire ); Negative Cache TTL; lpisvd.org.INNSdebian.lpisvd.org. debianINA pc1INA pc2INA

35 35 Le service de nommage DNS Configuration Fichier de zone inverse root.localhost. ( 2; Serial ; Refresh 86400; Retry ; Expire ); Negative Cache 9INPTRdebian 2INPTRpc1 6INPTRpc2

36 36 Le service de nommage DNS Bibliographie: DNS: Philippe LATU (Linux France)


Télécharger ppt "1 Le système DNS Pourquoi ? Les communications sont basées sur: Les adresses IP pour lInternet Les noms pour lhumain Besoin dun mécanisme de mise en correspondance."

Présentations similaires


Annonces Google