La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Le système DNS Pourquoi ? Les communications sont basées sur:

Présentations similaires


Présentation au sujet: "Le système DNS Pourquoi ? Les communications sont basées sur:"— Transcription de la présentation:

1 Le système DNS Pourquoi ? Les communications sont basées sur:
Les adresses IP pour l’Internet Les noms pour l’humain Besoin d’un mécanisme de mise en correspondance DNS Base de données hiérarchique distribuée Implémentation en couche Application

2 Le service de nommage DNS
Conception centralisée Découplage entre nom et localisation Conception À plat .fr, .de, .fi, .be Hiérarchique Centralisée Distribuée Conception distribuée .fr .de .uk . Racine . de fr uk univ-reims.fr chalons.univ-reims.fr Conception hiérarchique

3 Fonctionnalités Espace de noms de domaines
Arborescence indépendante de la topologie réseau Architecture de stockage distribuée Zones affectées à des serveurs de noms dans l’arborescence hiérarchique Serveurs de sauvegarde pour la redondance et la disponibilité Administration répartie suivant la hiérarchie des noms Rôle le plus simple: client DNS, ou resolver Protocole client/serveur sur le port 53 (domain) Protocole UDP utilisé par les clients Protocole TCP utilisé pour les échanges entre serveurs

4 DNS: Terminologie Zone DNS Une zone est une structure arborescente de l’espace des noms. Chaque zone comporte les données générales sur chaque noeud de la zone qui définissent le noeud supérieur de la zone qui décrivent les sous-zones qui permettent d'accéder aux serveurs de noms qui gèrent les sous-zones

5 Zone chalons.univ-reims.fr
DNS: Terminologie Formation des zones Racine . edu com gov mil org net de fr uk univ-reims.fr Sous-zone de univ-reims.fr Zone chalons.univ-reims.fr chalons.univ-reims.fr Légende TLD: Top Level Domain ns1 ns2 www rt gim gTLD: geographical Top Level Domain

6 Types de serveurs Chaque zone comporte des serveurs redondants:
Serveur primaire Serveur unique Administré manuellement Contient les enregistrements originaux dans le fichier de zone Serveur secondaire Serveur(s) redondant(s) (nombre illimité) Administré(s) automatiquement par ‘transfert’ des enregistrements de zone du serveur primaire Partage la charge Permet de secourir le serveur primaire en cas de panne Peut gérer jusqu’à 10 serveurs primaires.

7 DNS: Résolution Deux modes symétriques de fonctionnement:
Résolution directe A partir d’un FQDN, on désire connaître l’adresse IP Résolution inverse A partir de l’adresse IP, on désire connaître le FQDN

8 Fonctionnement en résolution locale
Mode de résolution locale 1 Quelle est l’adresse de B ? 2 L’adresse de B est 3 Message à B 1 2 3

9 Fonctionnement en résolution distante
Utilisation du cache DNS 1 Quelle est l’adresse de B ? La réponse du cache ne fait pas autorité ! 2 L’adresse de B est 3 Message à B 1 2 3

10 Exemple Une réponse à une requête DNS ne fait pas autorité si le serveur DNS utilisé formule une réponse provenant de son cache Microsoft Windows XP [version ] (C) Copyright Microsoft Corp. C:\>nslookup Serveur : dns2.proxad.net Address: Réponse ne faisant pas autorité : Nom : Address: C:\>

11 Fonctionnement en résolution distante
Utilisation du mode itératif 1 2 3 4 5 6 7

12 Fonctionnement en résolution distante
1 ? 4 ? 6 ? 8 Message à i.j.k.l ? 2 3 R: ns.fr. = a.b.c.d 5 R: ns1.google.fr. = e.f.g.h 7 R: = i.j.k.l Mode récursif de résolution distante 2 3 4 5 6 1 7 8 9

13 Gestion du cache Conservation des résultats des requêtes en mémoire (résolue ou non !) Optimise la charge des hôtes supérieurs Les enregistrements ont une durée de validité (TTL) fixé par le gestionnaire de zone TTL élevé: Moins de trafic Possibilité de stocker des informations périmées TTL faible: Plus de trafic Informations à jour

14 Vision hiérarchisée des serveurs
Chaque serveur ne maintient qu’un sous-ensemble de l’arborescence Chaque serveur contient tous les enregistrements d’hôtes de son domaine Chaque serveur a besoin de connaître les autres serveurs responsables des autres parties de l’arborescence Un serveur connaît la liste des serveurs racines Un serveur racine connaît tous les TLDs et gTLDs

15 Visibilité pour les dns de chalons.univ-reims.fr
Visibilité pour les dns de univ-reims.fr ns1 www ns1 www ns2 ns2 rt gim

16 Les serveurs racines Contiennent la ‘base’ des noms de domaines
Gérés par l’ICANN Internet Corporation For Assigned Names and Numbers Répartis sur le globe pour des raisons évidentes de sécurité

17 Les serveurs racines (source: http://root-servers.org)
Lettre Ancienne appellation Operateur Location Adresse IP A ns.internic.net VeriSign Dulles, Virginia, USA B ns1.isi.edu ISI Marina Del Rey, California, USA IPv4: IPv6: 2001:478:65::53 C c.psi.net Cogent Herndon VA; Los Angeles; New York City; Chicago D terp.umd.edu University of Maryland College Park, Maryland, USA E ns.nasa.gov NASA Mountain View, California, USA F ns.isc.org ISC Ottawa; Palo Alto; San Jose CA; New York City; San Francisco; Madrid; Hong Kong; Los Angeles; Rome; Auckland; Sao Paulo; Beijing; Seoul; Moscow; Taipei; Dubai; Paris; Singapore; Brisbane; Toronto; Monterrey; Lisbon; Johannesburg; Tel Aviv; Jakarta; Munich; Osaka; Prague; Amsterdam; Barcelona; Nairobi; Chennai; London IPv4: IPv6: 2001:500::1035 G ns.nic.ddn.mil U.S. DoD NIC Vienna, Virginia, USA H aos.arl.army.mil U.S. Army Research Lab Aberdeen Proving Ground, Maryland, USA IPv4: IPv6: 2001:500:1::803f:235 I nic.nordu.net Autonomica Stockholm; Helsinki; Milan; London; Geneva; Amsterdam; Oslo; Bangkok; Hong Kong; Brussels; Frankfurt; Ankara; Bucharest; Chicago; Washington DC; Tokyo; Kuala Lumpur; Palo Alto; Jakarta; Wellington; Johannesburg; Perth; San Francisco; New York; Singapore; Miami; Ashburn (US); Mumbai; Beijing J Dulles VA (4 locations); Mountain View CA; Seattle WA; Atlanta GA; Los Angeles CA; Miami FL; Sunnyvale CA; Amsterdam; Stockholm; London; Tokyo; Seoul; Singapore K RIPE NCC London (UK); Amsterdam (NL); Frankfurt (DE); Athens (GR); Doha (QA); Milan (IT); Reykjavik (IS); Helsinki (FI); Geneva (CH); Poznan (PL); Budapest (HU); Abu Dhabi (AE); Tokyo (JP); Brisbane (AU); Miami (US); Delhi (IN) IPv4: IPv6: 2001:7fd::1 L ICANN Los Angeles, California, USA M WIDE Project Tokyo; Seoul (KR); Paris (FR) IPv4: IPv6: 2001:dc3::35

18 Les serveurs racine, Domaine de l’APNIC (source: http://www.apnic.net)
APNIC: Asia Pacific Network Information Center

19 Le roadmap de l’APNIC 12/2005 F-Root nameservers installed in Karachi, Pakistan and Dhaka, Bangladesh 08/ root nameservers installed in India:F-Root (Chennai), I-Root (Mumbai), K-Root (Noida). 06/2005 K-Root installed in Brisbane, Australia. 04/2005 K-Root installed in Tokyo, Japan 03/2005 I-Root installed in Jakarta, Indonesia. 10/2004 F-Root installed in Osaka, Japan. 09/2004 I-Root installed in Bangkok, Thailand. 08/2004 I-Root installed in Kuala Lumpur, Malaysia 07/2004 M-Root installed in Seoul, Korea. 06/2004 F-Root installed in Jakarta, Indonesia. 02/2004 F-Root installed in Brisbane, Australia 12/2003 F-Root installed in Singapore. 12/2003 F-Root, installed in Taipei, Taiwan. 11/2003 F-Root installed in Hong Kong. 10/2003 F-Root installed in Beijing, People's Republic of China. 08/2003 F-Root installed in Seoul, Korea 07/2003 F-Root installed in Auckland, New Zealand 01/2003 APNIC calls for Expressions of Interest for support of APNIC PoPs 11/2002 APNIC announces project to bring new root server sites into the Asia Pacific region 08/1997 M-Root installed in Tokyo, Japan

20 Le service de nommage DNS
Sensibilité aux attaques… Le 21 octobre 2002, 9 de ces 13 serveurs racines ont subi simultanément une attaque par déni de service distribué (DDoS) pendant une heure. Voici les statistiques d'octobre 2002 pour le serveur H-Root (nombre de requêtes par seconde) : L'attaque est cependant passée pratiquement inaperçue, grâce au mécanisme de cache utilisé par les serveurs DNS

21 DNS: Terminologie FQDN: Fully Qualified Domain Name C’est le nom absolu d’un hôte sur l’Internet Exemple: Donne la vision hiérarchique: La première chaîne (avant le 1er point) est le nom de l’hôte Le reste constitu le domaine de l’hôte

22 Configuration du client: Les redirecteurs
Rôle: Les redirecteurs servent à indiquer qui l’hôte doit interroger pour effectuer une résolution Configuration Le client doit avoir connaissance des serveurs DNS de son organisation, ou de son FAI En général, récupération automatique (via PPP, BOOTP ou DHCP)

23 Le service de nommage DNS
En pratique Configuration du resolver Configuration de NSS (Name Service Switch) saphir:~# cat /etc/resolv.conf search chalons.univ-reims.fr nameserver nameserver saphir:~# cat /etc/nsswitch.conf hosts: files dns Attention: Hôte client (ie non serveur DNS): indiquer les serveurs de l’organisation (ou du FAI) Serveur DNS: l’adresse du redirecteur est lui-même !!

24 Le service de nommage DNS
Configuration du serveur: les bases de données La base de données DNS est constituée d’enregistrements (RR: Resource Record) de la forme: classe type valeur Les classes: IN: Internet (TCP/IP) CH: Chaosnet (ancien concurrent de TCP/IP)

25 Le service de nommage DNS
Les types de la classe IN (Internet): A adresse IPv4 AAAA adresse IPv6 NS serveur DNS (Name Server) CNAME alias (Canonical Name) HINFO information sur le système d’hôte ne devrait pas être utilisé MX serveur de messagerie (Mail eXchange) PTR adressage inversé (Pointer) adresse IP vers l’hôte SOA déclaration de zone (Start Of Authority)

26 Le service de nommage DNS
Les types de la classe CH (Chaosnet) version.bind numéro de version de bind (dangereux !!!) authors.bind liste des auteurs du logiciel DNS

27 Le service de nommage DNS
Les outils host Utilitaire permettant d’effectuer une recherche DNS en direct en indirect debian:# host has address debian:# host in-addr.arpa domain name pointer www1.free.fr. Notation inverse in-addr: adresse internet racine arpanet

28 Le service de nommage DNS
Les outils host (suite) -c classe IN ou CH -r mode récursif -T mode TCP -t ns|mx|… type d’enregistrement debian:/etc/bind# host -t ns chalons.univ-reims.fr chalons.univ-reims.fr name server ns1.chalons.univ-reims.fr. chalons.univ-reims.fr name server mercure.chalons.univ-reims.fr. debian:/etc/bind# host -t mx chalons.univ-reims.fr chalons.univ-reims.fr mail is handled by 10 pandore.chalons.univ-reims.fr.

29 Le service de nommage DNS
Les outils dig debian:~# dig ; <<>> DiG <<>> ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 41070 ;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;www.google.fr IN A ;; ANSWER SECTION: IN CNAME IN CNAME IN A IN A IN A ;; Query time: 43 msec ;; SERVER: #53( ) ;; WHEN: Thu Dec 22 15:20: ;; MSG SIZE rcvd: 127

30 Le service de nommage DNS
Les outils dig: Interrogation par type d’enregistrement debian:~# dig google.fr ns ; <<>> DiG <<>> google.fr ns ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 28296 ;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;google.fr IN NS ;; ANSWER SECTION: google.fr IN NS ns1.google.com. google.fr IN NS ns2.google.com. google.fr IN NS ns3.google.com. google.fr IN NS ns4.google.com. ;; Query time: 43 msec ;; SERVER: #53( ) ;; WHEN: Thu Dec 22 15:18: ;; MSG SIZE rcvd: 109 debian:/etc/bind# dig google.fr mx ; <<>> DiG <<>> google.fr mx ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 61746 ;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;google.fr IN MX ;; ANSWER SECTION: google.fr IN MX smtp1.google.com. google.fr IN MX smtp2.google.com. google.fr IN MX smtp3.google.com. ;; Query time: 67 msec ;; SERVER: #53( ) ;; WHEN: Thu Dec 22 15:18: ;; MSG SIZE rcvd: 103 debian:~# dig google.fr soa ; <<>> DiG <<>> google.fr soa ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 41753 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;google.fr IN SOA ;; ANSWER SECTION: google.fr IN SOA ns1.google.com. dns-admin.google.com ;; Query time: 73 msec ;; SERVER: #53( ) ;; WHEN: Thu Dec 22 15:19: ;; MSG SIZE rcvd: 87

31 Le service de nommage DNS
debian:~# dig +trace ; <<>> DiG <<>> +trace ;; global options: printcmd IN NS J.ROOT-SERVERS.NET. IN NS K.ROOT-SERVERS.NET. IN NS L.ROOT-SERVERS.NET. IN NS M.ROOT-SERVERS.NET. IN NS F.ROOT-SERVERS.NET. IN NS G.ROOT-SERVERS.NET. IN NS H.ROOT-SERVERS.NET. IN NS I.ROOT-SERVERS.NET. ;; Received 228 bytes from #53( ) in 44 ms fr IN NS A.EXT.NIC.fr. fr IN NS C.EXT.NIC.fr. fr IN NS C.NIC.fr. fr IN NS A.NIC.fr. fr IN NS B.NIC.fr. fr IN NS D.EXT.NIC.fr. fr IN NS E.EXT.NIC.fr. fr IN NS E.NIC.fr. fr IN NS B.EXT.NIC.fr. ;; Received 411 bytes from #53(J.ROOT-SERVERS.NET) in 76 ms google.fr IN NS ns2.google.com. google.fr IN NS ns3.google.com. google.fr IN NS ns4.google.com. google.fr IN NS ns1.google.com. ;; Received 177 bytes from #53(A.EXT.NIC.fr) in 58 ms IN CNAME IN CNAME l.google.com IN NS a.l.google.com. l.google.com IN NS b.l.google.com. l.google.com IN NS c.l.google.com. l.google.com IN NS d.l.google.com. l.google.com IN NS e.l.google.com. l.google.com IN NS g.l.google.com. ;; Received 271 bytes from #53(ns2.google.com) in 70 ms

32 Le service de nommage DNS
rubis:~# fr ; <<>> DiG fr ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36837 ;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 9, ADDITIONAL: 12 ;; QUESTION SECTION: ;fr. IN A ;; AUTHORITY SECTION: fr IN NS A.EXT.NIC.fr. fr IN NS C.EXT.NIC.fr. fr IN NS C.NIC.fr. fr IN NS A.NIC.fr. fr IN NS B.NIC.fr. fr IN NS D.EXT.NIC.fr. fr IN NS E.EXT.NIC.fr. fr IN NS E.NIC.fr. fr IN NS B.EXT.NIC.fr. ;; ADDITIONAL SECTION: A.EXT.NIC.fr IN A C.EXT.NIC.fr IN A C.NIC.fr IN AAAA 2001:660:3006:1::1:1 C.NIC.fr IN A A.NIC.fr IN A B.NIC.fr IN AAAA 2001:660:3005:1::1:2 B.NIC.fr IN A D.EXT.NIC.fr IN AAAA 2001:4f8:0:2::8 D.EXT.NIC.fr IN A E.EXT.NIC.fr IN A E.NIC.fr IN A B.EXT.NIC.fr IN A ;; Query time: 240 msec ;; SERVER: #53(b.root-servers.net) ;; WHEN: Thu Dec 22 09:08: ;; MSG SIZE rcvd: 400

33 Le service de nommage DNS
Configuration Fichier de zone: /etc/bind/named.conf options { }; // prime the server with knowledge of the root servers zone "." { type hint; file "/etc/bind/db.root"; // be authoritative for the localhost forward and reverse zones, and for // broadcast zones as per RFC 1912 zone "localhost" { type master; file "/etc/bind/db.local"; zone "127.in-addr.arpa" { file "/etc/bind/db.127"; zone "lpisvd.org" { file "db.lpisvd.org"; zone " in-addr.arpa" { file "db.lpisvd.org.reverse";

34 Le service de nommage DNS
Configuration Fichier de zone directe $TTL @ IN SOA localhost. root.localhost. ( 2 ; Serial ; Refresh ; Retry ; Expire ) ; Negative Cache TTL; lpisvd.org. IN NS debian.lpisvd.org. debian IN A pc1 IN A pc2 IN A

35 Le service de nommage DNS
Configuration Fichier de zone inverse $TTL @ IN SOA localhost. root.localhost. ( 2 ; Serial ; Refresh ; Retry ; Expire ) ; Negative Cache TTL; @ IN NS debian.coredumped.org. 9 IN PTR debian 2 IN PTR pc1 6 IN PTR pc2

36 Le service de nommage DNS
Bibliographie: DNS: Philippe LATU (Linux France)


Télécharger ppt "Le système DNS Pourquoi ? Les communications sont basées sur:"

Présentations similaires


Annonces Google