résolution des noms cours réseaux SSI-4, février 2003 mars et octobre 2004, et ctobre 2005.
documentation RFC-2535 Donald Eastlake (2000) sécurisation du dns DNS-HOWTO Nicolai Langfeld (1999) mise en route de named RFC 1034 Paul Mockapetris (1985) principe des espaces de noms RFC 1035 Paul Mockapetris (1985) spécification techniques du DNS
plan Généralités Résolution : utilisateur Les espaces de noms Principe de résolution Résolution : serveur. Configuration de named attaques des serveurs de noms
Généralités importance des noms gestion sur arpanet problèmes service de noms de domaine
rhodes.univ-tln.fr ftp.univ-tln.fr mail.univ-tln.fr importance des noms
gestion des noms sur arpanet L’ARPANET des années 80 est constitué d’une centaines d'ordinateurs reliés en réseaux. Un unique fichier hosts.txt rassemble les correspondances entre nom d'hôte et adresse IP. Le fichier est stocké sur le SRI-NIC. Après chaque modification, des copies sont transférées par ftp vers les ordinateurs du réseau. (2) Stanford Research Institutes Network Information Center (1) Advanced Research Program Agency Network
HOSTS.TXT Examples of Host Table Format NET : : ARPANET : NET : : PURDUE-CS-NET : GATEWAY : , : MIT-GW.ARPA, MIT-GATEWAY : PDP-11 : MOS : IP/GW, EGP : HOST : , SRI-NIC.ARPA, SRI-NIC, NIC : DEC-2060 : TOPS-20 : TCP/TELNET, TCP/SMTP TCP/TIME, TCP/FTP TCP/ECHO, ICMP : HOST : : SU-TAC.ARPA, SU-TAC : C/30 : TAC : TCP :m hosts.txt file (extrait)
Les inconvénients La taille du fichier hosts.txt augmente avec le nombre d’hôtes En 1983, le réseau amorce son expansion exponentielle. La fréquence des mises-à-jours des tables devient proportionnelle au nombre de machines La consommation de bande passante est proportionnelle au carré du nombre d’hôtes
Paul Mockapetris et Jon Postel proposent et développent une solution à base de BD distribuée Domain Name System J. Postel P. Mockapetris
standardisation En 1985, l’IETF standardise le DNS au travers des RFC1034 et RFC1035. RR : Record Ressource Protocoles : udp + tcp. (1) Internet Entreprise Task Force
chronologie Décembre 1973 HOSTS.TXT (RFC 606) Novembre 1983 invention du DNS (RFC 882) Octobre 1984.com,.org,.mil,.gov,.edu,.net Janvier 1985 SRI démarre le DNS service Novembre 1987 spécification DNS (RFCs 1034, 1035) Novembre 1988.int domain Avril 1993 NSI/InterNIC Juin 1994 utilisations commerciales
2 Généralités Résolution : utilisateur. objectifs fichiers résolveurs trame dns : ping, ftp. Espace des noms
objectif Le but de la résolution des noms sur un réseau est d’assurer la conversion entre les noms d’hôtes et les adresses ip. machine.domaine.xz résolution inverse
correspondance non bijective Un nom d’hôte peut désigner plusieurs adresses ip pour des interfaces différentes Une adresse ip peut être associée à plusieurs noms alias par exemple : ftp.domaine.xzftp.domaine.xz mail.domaine.xz
résolveurs Les fonctions : gethostbyname() gethostbyaddr() réalisent respectivement résolution et résolution inverse : résolveurs. ex. programme lookup.c travaux- pratiques sur les socketslookup.c
lookup.c /* * exemple de programme * équivalent à nslookup */ #include void erreur( void ) { switch ( h_errno ) { case HOST_NOT_FOUND : puts("L'hôte indiqué est inconnu."); break; case NO_ADDRESS : puts("Le nom est valide mais ne possède pas d'adresse IP."); break; case NO_RECOVERY : puts("Une erreur fatale du serveur de noms est apparue."); break; case TRY_AGAIN : puts("Try again"); } exit(1); int main(int argc, char *argv[]) { struct hostent *infos; struct in_addr addr; unsigned long *tempo; if (inet_aton(argv[1], &addr) != 0 ) { infos = gethostbyaddr( (char *)( &(addr.s_addr)),sizeof(addr.s_addr),AF_INET); if ( ! infos ) erreur(); printf("\nnom:%s",infos -> h_name); } else { infos = gethostbyname(argv[1]); if ( ! infos ) erreur(); tempo = (unsigned long int *)(infos -> h_addr); addr.s_addr = *tempo; printf("\nip:%s",inet_ntoa(addr)); } printf("\nbye...\n"); }
fichiers application résolveur serveur de noms réseau
une règle simple placer les correspondances courantes dans le fichier /etc/hosts résolveur /etc/hosts recherche des correspondance /etc/resolv.conf domaines et serveurs de noms Ex.de résolveurs : nslookup, host, dig
/etc/hosts localhost routeur-ft-utv routeur-ft-coeur-toulon routeur-ft-coeur-marseille routeur-ft-coeur-marseille routeur-rrthd-renater mail.univ-tln.frmail mail1.univ-tln.frmail mail2.univ-tln.frmail mail1-ics member1-icstcp0 # iut.univ-tln.friut www2.univ-tln.frwww listes.univ-tln.frlistes comweb.univ-tln.frcomweb mail mail2-ics member2-icstcp0
/etc/resolv.conf # /etc/resolv.conf search domaine.xz nameserver autre.fr
système des noms de domaine Le Système des Noms de Domaine est un ensemble de règles utilisées par les logiciels pour établir (entre autres choses) la correspondance entre des noms et des adresses. Il utilise un protocole de communication client/serveur udp/tcp sur le port domain 53.
exp. ftp epsilon.ut.fr.1038 > port-aci.ut.fr.ftp: port-aci.ut.fr.ftp > epsilon.ut.fr.1038: epsilon.ut.fr.1038 > port-aci.ut.fr.ftp: port-aci.ut.fr > epsilon.ut.fr.auth: epsilon.ut.fr.auth > port-aci.ut.fr.32779: port-aci.ut.fr > pcs.ut.fr.domain: PTR? in-addr.arpa. pcs.ut.fr.domain > port-aci.ut.fr.32770:15225* 1/1/1 PTR epsilon.ut.fr. port-aci.ut.fr > pcs.ut.fr.domain: A? epsilon.ut.fr. pcs.ut.fr.domain > port-aci.ut.fr.32770:15226* 1/1/1 A epsilon.ut.fr port-aci.ut.fr > pcs.ut.fr.domain: PTR? in-addr.arpa. pcs.ut.fr.domain > port-aci.ut.fr.32770:15227* 1/1/1 PTR epsilon.ut.fr. port-aci.ut.fr.ftp > epsilon.ut.fr.1038: epsilon.ut.fr.1038 > port-aci.ut.fr.ftp: arp who-has pcs.ut.fr tell port-aci.ut.fr arp reply pcs.ut.fr is-at 0:60:8:28:99:d8 epsilon.ut.fr.1038 > port-aci.ut.fr.ftp: port-aci.ut.fr.ftp > epsilon.ut.fr.1038:
3 Résolution : utilisateur. espaces de noms organisation hierarchique top level domain sémantique des noms zone – zone fr. ressources Principe de résolution.
top level domaine hierarchie
domaines géographiques.ac–Ascension Island.ad–Andorra.ae–United Arab Emirates.af–Afghanistan.ag–Antigua and Barbuda.ai–Anguilla.al–Albania.am–Armenia.an–Netherlands Antilles.ao–Angola.aq–Antarctica.ar–Argentina.as–American Samoa.at–Austria.au–Australia.aw–Aruba.az–Azerbaijan.ba–Bosnia and Herzegovina.bb–Barbados.bd–Bangladesh.be–Belgium.bf–Burkina Faso.bg–Bulgaria.bh–Bahrain.bi–Burundi.bj–Benin.bm–Bermuda.bn–Brunei Darussalam.bo–Bolivia.br–Brazil.bs–Bahamas.bt–Bhutan.bv–Bouvet Island.bw–Botswana.by–Belarus.bz–Belize.ca–Canada.cc–Cocos Islands.cd–Congo,.cf–Central African Rep.cg–Congo, Republic of.ch–Switzerland.ci–Cote d'Ivoire.ck–Cook Islands.cl–Chile.cm–Cameroon.cn–China.co–Colombia.cr–Costa Rica.cu–Cuba.cv–Cap Verde.cx–Christmas Island.cy–Cyprus.cz–Czech Republic.de–Germany.dj–Djibouti.dk–Denmark.dm–Dominica.do–Dominican Rep.dz–Algeria.ec–Ecuador.ee–Estonia.eg–Egypt.eh–Western Sahara.er–Eritrea.es–Spain.et–Ethiopia.fi–Finland.fj–Fiji.fk–Falkland Islands.fm–Micronesia,.fo–Faroe Islands.fr–France.ga–Gabon.gd–Grenada.ge–Georgia.gf–French Guiana.gg–Guernsey.gh–Ghana.gi–Gibraltar.gl–Greenland.gm–Gambia.gn–Guinea.gp–Guadeloupe.gq–Equatorial Guinea.gr–Greece.gs–South Georgia Islands.gt–Guatemala.gu–Guam.gw–Guinea-Bissau.gy–Guyana.hk–Hong Kong.hm–Heard and.hn–Honduras.hr–Croatia/Hrvatska.ht–Haiti.hu–Hungary.id–Indonesia.ie–Ireland.il–Israel.im–Isle of Man.in–India.io–British IndiaOce..iq–Iraq.ir–Iran.is–Iceland.it–Italy.je–Jersey.jm–Jamaica.jo–Jordan.jp–Japan.ke–Kenya.kg–Kyrgyzstan.kh–Cambodia.ki–Kiribati.km–Comoros.kn–Saint Kitts and Nevis.kp–Korea, Democratic People's Republic.kr–Korea, Republic of.kw–Kuwait.ky–Cayman Islands.kz–Kazakhstan.la–Lao People's Democratic Republic.lb–Lebanon.lc–Saint Lucia.li–Liechtenstein.lk–Sri Lanka.lr–Liberia.ls–Lesotho.lt–Lithuania.lu–Luxembourg.lv–Latvia.ly–Libyan Arab Jamahiriya.ma–Morocco.mc–Monaco.md–Moldova, Republic of.mg–Madagascar.mh–Marshall Islands.mk–Macedonia, Former Yugoslav Republic.ml–Mali.mm–Myanmar.mn–Mongolia.mo–Macau
.mp–Nth Mariana Isls.mq–Martinique.mr–Mauritania.ms–Montserrat.mt–Malta.mu–Mauritius.mv–Maldives.mw–Malawi.mx–Mexico.my–Malaysia.mz–Mozambique.na–Namibia.nc–New Caledonia.ne–Niger.nf–Norfolk Island.ng–Nigeria.ni–Nicaragua.nl–Netherlands.no–Norway.np–Nepal.nr–Nauru.nu–Niue.nz–New Zealand.om–Oman.pa–Panama.pe–Peru.pf–French Polynesia.pg–Papua New Guinea.ph–Philippines.pk–Pakistan.pl–Poland.pm–St. Pierre and Miquelon.pn–Pitcairn Island.pr–Puerto Rico.ps–Palestinian Territories.re–Reunion Island.ro–Romania.ru–Russian Federation.rw–Rwanda.sa–Saudi Arabia.sb–Solomon Islands.sc–Seychelles.sd–Sudan.se–Sweden.sg–Singapore.sh–St. Helena.si–Slovenia.sj–Svalbard and Jan Mayen Islands.sk–Slovak Republic.sl–Sierra Leone.sm–San Marino.sn–Senegal.so–Somalia.sr–Suriname.st–Sao Tome and Principe.sv–El Salvador.sy–Syrian Arab Republic.sz–Swaziland.tc–Turks and Caicos Islands.td–Chad.tf–French Southern Territories.tg–Togo.th–Thailand.tj–Tajikistan.tk–Tokelau.tm–Turkmenistan.tn–Tunisia.to–Tonga.tp–East Timor.tr–Turkey.tt–Trinidad and Tobago.tv–Tuvalu.tw–Taiwan.tz–Tanzania.ua–Ukraine.ug–Uganda.uk–United Kingdom.um–US Minor Outlying Islands.us–United States.uy–Uruguay.uz–Uzbekistan.va–Holy See.vc–Saint Vincent and the Grenadines.ve–Venezuela.vg–Virgin Islands.vi–Virgin Islands.vn–Vietnam.vu–Vanuatu.wf–Wallis and Futuna Islands.ws–Western Samoa.ye–Yemen.yt–Mayotte.yu–Yugoslavia.za–South Africa.zm–Zambia.zw–Zimbabwe
sémantique des noms
zone Les niveaux supérieurs TLD sont organisés au niveau géographique et/ou thématiques..fr.uz.uk.com.mil top level domain Chaque nœud définit un domaine : suite de noms séparés par des points Certains nœuds définissent une zone sous l’autorité d’un serveur de noms : SOA. start of a zone of authority (sphere of authority).
zone Une zone est un sous arbre de l’arbre des noms de domaines sur lesquels un NS possède une information complète. Une zone est géré par une entité administrative particulière. L’autorité sur ce sous-arbre est déléguée. La délégation est totale : libre organisation, changements sans préavis et délégation de sous-zones.
Network Information Center
zone fr. 1.fr com.fr tm.fr asso.fr nom.fr experts-comptables.fr442 7avocat.fr284 8.presse.fr196 9.cci.fr gouv.fr183 AFNIC (NIC France) domaines délégués serveurs de la zone: dns.cs.wisc.edu dns.inria.fr dns.princeton.edu ns1.nic.fr ns2.nic.fr ns3.domain-registry.nl ns3.nic.fr ns-ext.vix.com
ressources Les nœuds de l’espace sont décrits par des RR (record ressource) maintenus à jour sur des serveurs autorisés : opération manuelle. Le rôle des serveurs de noms est de propager ces informations en répondant aux questions des résolveurs.
RR Un enregistrement de ressource est composé de cinq champs : OWNERTYPECLASSTTLRDATA domaine du RR IN, CH A CNAME HINFO MX NS PTR SOA. durée de vie en cache Sur 32-bits A CNAME MX PTR SOA
RRs : valeurs de type Aadresse d’hote CNAMEnom canonique NSserveur autorisé SOAsphère d’autorité PTRpointeur vers l’espace des noms
Principes de résolution Espaces de noms Principes de résolution format des questions parcours de l’arborescence commandes : nslookup, host et dig exemple format trame dns
Principes de résolution La communication entre clients et serveurs des services des noms utilise le protocole dns à partir des protocoles udp et tcp, usuellement le port 53. Le format des trames dns est identique dans le sens client/serveur (question) et serveur/client (réponse).
Parcours de l’arborescence Pour déterminer l’adresse ip correspondant au nom : Il faut trouver : un NS (serveur de noms) de la racine. interroger pour un obtenir NS de fr. Interroger pour un NS de com.fr. Le NS de security.com.fr. identifie www.
commande host Elle permet d’interroger les ressources d’un serveur arbitraire, voir aussi nslookup (obsolète) et dig (plus efficace). Les principales options : host –a host serveur host –t ns domaine serveur host –t soa domaine serveur host -l domaine serveur
Exemple Partons d’un des serveurs de la racine : a.root-servers.net.
# host -t ns fr. a.root-servers.net. Using domain server: a.root-servers.net. Address: #53 fr. name server DNS.INRIA.fr. fr. name server NS2.NIC.fr. fr. name server DNS.PRINCETON.EDU. fr. name server NS-EXT.VIX.COM. fr. name server NS3.DOMAIN-REGISTRY.NL. fr. name server DNS.CS.WISC.EDU. fr. name server NS1.NIC.fr. fr. name server NS3.NIC.fr. # host -t ns com.fr. a.root-servers.net. Using domain server : a.root-servers.net. Address: #53 # host -t ns com.fr. DNS.INRIA.fr. Using domain server: DNS.INRIA.fr. Address: #53
# host -t ns com.fr. NS2.NIC.fr. Using domain server: NS2.NIC.fr. Address: #53 com.fr. name server ns2.nic.fr. com.fr. name server ns3.nic.fr. com.fr. name server ns1.nic.fr. # host -t ns infosecurity.com.fr. NS2.NIC.fr. Using domain server: Name: NS2.NIC.fr. Address: #53 infosecurity.com.fr. name server ns1.imaginet.net. infosecurity.com.fr. name server ns0.imaginet.net.
#host -a ;; opcode: QUERY, status: NOERROR, id: ;; flags: qr rd ra; QUERY:1, ANSWER:1, AUTHORITY: 2, ADDITIONAL: 2 ;; QUESTION SECTION: ; IN ANY ;; ANSWER SECTION: IN A ;; AUTHORITY SECTION: infosecurity.com.fr. 403 IN NS ns0.imaginet.net. infosecurity.com.fr. 403 IN NS ns1.imaginet.net. ;; ADDITIONAL SECTION: ns0.imaginet.net. 328 IN A ns1.imaginet.net. 328 IN A
format QR dns en-tete réponse question autorité Information
en-tete identificateur de la requête qropcodeaatcrdraZrcode QDCOUNT nombre d’entrées dans la section question ANCOUNT nombre de RR dans la réponse NCOUNT nombre de NS dans la réponse ARCOUNT nombre de RR en information aa : réponse d’autorité tc : message tronqué rd : récursion désiré ra : récursion acceptée:
une réponse type opcode: QUERY, status: NOERROR, id: ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 3 ;; QUESTION SECTION: ;rhodes.univ-tln.fr. INANY ;; ANSWER SECTION: ;rhodes.univ-tln.fr INMX 10 mail.univ-tln.fr. ;rhodes.univ-tln.fr INA ;; AUTHORITY SECTION: univ-tln.fr INNSrhodes.univ-tln.fr. univ-tln.fr INNSdns.inria.fr. ;; ADDITIONAL SECTION: mail.univ-tln.fr IN A rhodes.univ-tln.fr IN A dns.inria.fr IN A
tcpdump -a host -a microbe.utv.fr > pcs.utv.fr.domain: A? microbe.utv.fr. (37) pcs.utv.fr.domain > : 13405* 1/1/1 A (87) tcpdump –a -s128 était nécessaire…
4 principes de résolution Résolution : serveur. schéma exemple de mise en cache zone fichier maître vers la racine opération de maintenance
fichiers maitres serveur de noms cache mémoire résolveur serveur de noms distant schéma
exemple de trames host -a 17:54: > pcs.univ-tln.fr.domain: A? (33) 17:54: pcs.univ-tln.fr.1025 > ns-ext.vix.com.domain: A? OPT UDPsize=2048 (44) 17:54: pcs.univ-tln.fr.1025 > ns3.nic.fr.domain: 71+A? OPT UDPsize=2048 (44) 17:54: pcs.univ-tln.fr.1185 > domain: PTR? in-addr.arpa. (45) 17:54: ns3.nic.fr.domain > pcs.univ-tln.fr.1025: 71- 0/3/4 (161) 17:54: pcs.univ-tln.fr.1025 > riluminy.univ-mrs.fr.domain: 5241+A? OPT UDPsize=2048 (44) 17:54: ns-ext.vix.com.domain > pcs.univ-tln.fr.1025: /3/4 (161) 17:54: domain > pcs.univ-tln.fr.1185: 50676* 1/3/5 (262) 17:54: pcs.univ-tln.fr.1185 > domain: PTR? in-addr.arpa. (43) 17:54: riluminy.univ-mrs.fr.domain > pcs.univ-tln.fr.1025: 5241* 2/3/3 CNAME[|domain] (DF) 17:54: pcs.univ-tln.fr.1025 > ns-ext.vix.com.domain: 72 [1au]A? OPT UDPsize=2048 (44) 17:54: pcs.univ-tln.fr.1025 > dns.cs.wisc.edu.domain: 36 [1au] A? OPT UDPsize=2048 (44) 17:54: pcs.univ-tln.fr.1025 > dns.Princeton.EDU.domain: 44 [1au] A? OPT UDPsize=2048 (44) (DF) 17:54: pcs.univ-tln.fr.1025 > ns1.nic.fr.domain: 22 A? (33) 17:54: pcs.univ-tln.fr.1025 > ns3.domain-registry.nl.domain: 11 A? (33) 17:54: pcs.univ-tln.fr.1025 > dns.inria.fr.domain: 7167 A? (33) 17:54: pcs.univ-tln.fr.1025 > ns2.nic.fr.domain: 8275 A? (33) 17:54: domain > pcs.univ-tln.fr.1185: 50677* 3/3/4 (266) 17:54: pcs.univ-tln.fr.1185 > domain: PTR? in-addr.arpa. (42) 17:54: ns1.nic.fr.domain > pcs.univ-tln.fr.1025: 220/3/3 (154) 17:54: pcs.univ-tln.fr.1025 > romarin.univ-aix.fr.domain: 6995 [1au] A? OPT UDPsize=2048 (44) 17:54: ns3.domain-registry.nl.domain > pcs.univ-tln.fr.1025: 1 0/3/3 (154) 17:54: ns2.nic.fr.domain > pcs.univ-tln.fr.1025: 82750/3/3 (154) 17:54: dns.inria.fr.domain > pcs.univ-tln.fr.1025: 71670/3/3 (154) 17:54: dns.Princeton.EDU.domain > pcs.univ-tln.fr.1025: 44 0/3/4 (165) 17:54: dns.cs.wisc.edu.domain > pcs.univ-tln.fr.1025: 36 FormErr% [0q] 0/0/0 (12) 17:54: domain > pcs.univ-tln.fr.1185: 50678* 1/3/3 (208) 17:54: pcs.univ-tln.fr.1185 > domain: PTR? in-addr.arpa. (43) 17:54: ns-ext.vix.com.domain > pcs.univ-tln.fr.1025: 72- 0/3/4 (165) 17:54: romarin.univ-aix.fr.domain > pcs.univ-tln.fr.1025: 6995* 1/3/2 A (149) 17:54: pcs.univ-tln.fr.domain > : /3/0 CNAME[|domain] host -a 17:55: > pcs.univ-tln.fr.domain: A? (33) 17:55: pcs.univ-tln.fr.domain > : /3/0 CNAME[|domain]
exemple de trame ( bis ) 17:55: > pcs.univ-tln.fr.domain: A? 17:55: pcs.univ-tln.fr.1025 > ns1.nic.fr.domain: [1au] A? 17:55: pcs.univ-tln.fr.1025 > ns-ext.vix.com.domain: 824 [1au] A? 17:55: ns1.nic.fr.domain > pcs.univ-tln.fr.1025: % 0/4/5 17:55: pcs.univ-tln.fr.1025 > taloa.unice.fr.domain: 412 [1au] A? 17:55: pcs.univ-tln.fr.1025 > diamant.unice.fr.domain: 206 [1au] A? 17:55: pcs.univ-tln.fr.1025 > samoa.unice.fr.domain: 103 [1au] A? 17:55: pcs.univ-tln.fr.1025 > dns.inria.fr.domain: A? 17:55: pcs.univ-tln.fr.1025 > taloa.unice.fr.domain: A? 17:55: ns-ext.vix.com.domain > pcs.univ-tln.fr.1025: /4/5 17:55: taloa.unice.fr.domain > pcs.univ-tln.fr.1025: 412* 1/4/4 A 17:55: diamant.unice.fr.domain > pcs.univ-tln.fr.1025: 206 FormErr% [0q] 0/0/0 17:55: dns.inria.fr.domain > pcs.univ-tln.fr.1025: 35223*- 1/4/4 A 17:55: samoa.unice.fr.domain > pcs.univ-tln.fr.1025: 103* 1/4/4 A 17:55: taloa.unice.fr.domain > pcs.univ-tln.fr.1025: 49228* 1/4/3 A 17:55: pcs.univ-tln.fr.domain > : /4/0 A
zone Une zone est contrôlée par un ensemble de serveurs dispersés sur le réseau pour des raisons de sécurité et d’efficacité. Le protocole DNS prévoit des communications de maintenance entre les serveurs d’une même zone.
fichiers maîtres Les fichiers maîtres décrivent les RR d’initialisation d’une zone. Ils renseignent sur les paramètres de maintenance : noms des serveurs secondaires, délais relatifs aux informations cachées. Ils contiennent les enregistrements des hôtes et sous-zones.
accès à la racine ; > DiG ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr rd ra; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 13 ;; QUESTION SECTION: ;.INNS ;; ANSWER SECTION: INNSK.ROOT-SERVERS.NET INNSL.ROOT-SERVERS.NET INNSM.ROOT-SERVERS.NET INNSI.ROOT-SERVERS.NET INNSE.ROOT-SERVERS.NET INNSD.ROOT-SERVERS.NET INNSA.ROOT-SERVERS.NET INNSH.ROOT-SERVERS.NET INNSC.ROOT-SERVERS.NET INNSG.ROOT-SERVERS.NET INNSF.ROOT-SERVERS.NET INNSB.ROOT-SERVERS.NET INNSJ.ROOT-SERVERS.NET. ;; ADDITIONAL SECTION: K.ROOT-SERVERS.NET INA L.ROOT-SERVERS.NET INA M.ROOT-SERVERS.NET INA I.ROOT-SERVERS.NET INA E.ROOT-SERVERS.NET INA D.ROOT-SERVERS.NET INA A.ROOT-SERVERS.NET INA H.ROOT-SERVERS.NET INA C.ROOT-SERVERS.NET INA G.ROOT-SERVERS.NET INA F.ROOT-SERVERS.NET INA B.ROOT-SERVERS.NET INA J.ROOT-SERVERS.NET INA ;; Query time: 358 msec ;; SERVER: #53(mail.univ-tln.fr) ;; WHEN: Sat Mar 1 11:48: ;; MSG SIZE rcvd: 436
traceroute vers b.root.net ( ) ms ms ms ( ) ms ms * 3 marseille-3-a7.routers.proxad.net ( ) ms ms ms 4 cbv-12x-1-a8.routers.proxad.net ( ) ms ms ms 5 blackd-th1-1-a6.routers.proxad.net ( ) ms ms * 6 above.FreeIX.net ( ) ms * ms 7 pos8-0.cr1.cdg2.fr.mfnx.net ( ) ms ms ms 8 * so cr1.lhr3.uk.mfnx.net ( ) ms ms 9 so cr2.lhr3.uk.mfnx.net ( ) ms ms * 10 so cr2.lga1.us.mfnx.net ( ) ms ms * 11 so cr2.iad1.us.mfnx.net ( ) ms ms * 12 so cr1.iad1.us.mfnx.net ( ) ms ms * 13 so mpr1.iad5.us.mfnx.net ( ) ms ms * cogentco.com ( ) ms ms * 15 p15-0.core02.dca01.atlas.cogentco.com ( ) ms ms * 16 p14-0.core01.atl01.atlas.cogentco.com ( ) ms ms ms 17 p15-0.core01.jax01.atlas.cogentco.com ( ) ms ms ms 18 p14-0.core01.mco01.atlas.cogentco.com ( ) ms ms ms 19 p14-0.core01.tpa01.atlas.cogentco.com ( ) ms ms ms 20 p5-0.core01.iah01.atlas.cogentco.com ( ) ms ms ms 21 p14-0.core01.san01.atlas.cogentco.com ( ) ms ms ms 22 p4-0.core01.lax01.atlas.cogentco.com ( ) ms ms ms 23 g50.ba01.b lax01.atlas.cogentco.com ( ) ms * USC_ISI-Los-Nettos.demarc.cogentco.com ( ) ms ms 25 dmz-isi.isi.edu ( ) ms ms ms 26 b.root-servers.net ( ) ms ms ms
opérations de maintenance Numéro de série : serial périodicité des vérifications : refresh délai entre deux tentatives : retry durée de validité : expire Les serveurs secondaires sont informés périodiquement ( refresh) du numéro de série de la zone. En cas d’augmentation, ils contactent la zone pour mise à jour.
4 Résolution : serveurs. configuration de named fichiers /etc/.conf exemple de /etc/named.conf la zone racine zone locale zone bidon
/etc/named.conf Les paramètres d’initialisation du daemon named du système de noms de domaine du package BIND. Berkeley Internet Name Daemon. sont décrits dans /etc/named.conf. Le fichier de configuration qui contient toutes les informations des zones. Voir aussi : /etc/hosts.conf hosts : files dns /etc/nsswitch.conf order hosts, bind multi on
/etc/named.conf // generated by named- bootconf.pl options { directory "/var/named"; }; zone "." IN { type hint; file "named.ca"; }; zone "localhost" IN { type master; file "localhost.zone"; allow-update { none; }; }; zone " in-addr.arpa" IN { type master; file "named.local"; allow-update { none ; }; }; zone "univ-tln.fr" IN { type master; file "named.univ-tln.fr"; }; zone " in-addr.arpa" IN { type master; notify no; file "db.10.1"; };
IN SOA pcs.univ-tln.fr. postmaster.pcs.univ-tln.fr. ( ; serie 28800; refresh; 14400; retry; ; expire; ) IN NS IN MX 20 pcs.univ-tln.fr. ; serveur de noms pcs IN A NS ; noms canoniques www CNAME pcs.univ-tln.fr. ; adresse ip des machines du reseau epsilon IN A microbe IN A
IN SOA pcs.univ-tln.fr. postmaster.pcs.univ-tln.fr. ( ; 14400; ; ) ; ;serveur de IN NS pcs.univ-tln.fr. ;adresse ip inverse 1 IN PTR pcs.univ-tln.fr. 2 IN PTR epsilon.univ-tln.fr. 3 IN PTR microbe.univ-tln.fr.
résolution inverse host -a -r 193.in-addr.arpa. Trying "193.in-addr.arpa." opcode: QUERY, status: NOERROR, id: ;; flags: qr ra; ;; QUERY: 1, ANSWER: 1, AUTHORITY: 6, ADDITIONAL: 8 ;; QUESTION SECTION: ;193.in-addr.arpa.INANY ;; ANSWER SECTION: 193.in-addr.arpa IN SOA ns.ripe.net ;; AUTHORITY SECTION: 193.in-addr.arpa.84858IN NSns.ripe.net. 193.in-addr.arpa.84858IN NSNS.APNIC.net. 193.in-addr.arpa.84858IN NSNS2.NIC.FR. 193.in-addr.arpa.84858IN NSSUNIC.SUNET.SE. 193.in-addr.arpa.84858IN NSAUTH03.NS.UU.net. 193.in-addr.arpa.84858IN NSMUNNARI.OZ.AU. ;; ADDITIONAL SECTION: ns.ripe.net IN AAAA2001:610:240:0:193::193 ns.ripe.net IN A NS.APNIC.net IN A NS2.NIC.FR IN A SUNIC.SUNET.SE IN A AUTH03.NS.UU.net IN A MUNNARI.OZ.AU.5685IN AAAA2001:388:c02:4000::1:21 MUNNARI.OZ.AU IN A Received 384 bytes from #53 in 195 ms
suite host -a -r in-addr.arpa. ns.ripe.net Trying " in-addr.arpa." Using domain server: ns.ripe.net Address: #53 Aliases: ;; opcode: QUERY, status: NOERROR, id: ;; flags: qr; ;; QUERY: 1, ANSWER: 0, AUTHORITY: 2, ADDITIONAL: 0 ;; QUESTION SECTION: ; in-addr.arpa.INANY ;; AUTHORITY SECTION: in-addr.arpa.86400INNSdns.inria.fr in-addr.arpa.86400INNSrhodes.univ-tln.fr. Received 96 bytes from #53 in 194 ms
domaine in-addr.arpa.
attaque des serveurs de noms La prédictibilité des identificateurs de transactions est une faille de sécurité importante. Elle donne lieu à deux attaques : DNS spoofing DNS cache poisening
ns.pirate.fr ns.naif.fr Id0 : any mac.naif.fr ? Id0 : mac ptr mac.naif.fr
ns.pirate.fr ns.naif.fr Id0 q: A ? mc.dom.nil ns.dom.nil Idx q: A ? mc.dom.nil Idz r: