DNS (Domain Name System)

Su finalidad es facilitar el manejo de direcciones IP

www.google.cl es equivalente a 74.125.110.211

DNS

Previo al DNS: el fichero /etc/hosts

Inicialmente se utilizaba (y se utiliza) en Unix el fichero /etc/hosts, que estaba centralizado en un servidor con la relacin de todos los nombres de forma exhaustiva y para utilizarlo, se deben realizar peridicamente copias a los servidores locales Inconvenientes del uso de /etc/hosts

procedimiento poco escalable genera mucho trfico en el servidor inconsistente con copias locales con facilidad aparecan nombres duplicados

En Windows, se encuentra en /system32/drivers/etc/hosts El fichero hosts puede servir para una solucin simple en una red local donde no tengan configurado un servidor DNS

DNS

DNS

El sistema de nombres de dominio se basa en un esquema jerrquico que permite asignar nombres, basndose en el concepto de dominio, utilizando para su gestin una base de datos (BBDD) distribuida.

Las consultas al DNS son realizadas por los clientes a travs de las rutinas de resolucin (resolver o resolvedor o resolutor).
Estas funciones son llamadas en cada host desde

las aplicaciones de red (ping, telnet, ssh, )

DNS

DNS

DNS

Cliente/servidor DNS
Los servidores DNS contienen informacin de un segmento de la BBDD distribuida y la ponen a disposicin de los clientes. Las peticiones de los clientes viajan en paquetes UDP al DNS local (puerto 53).

TCP para transferencias de zona NFS FTP SNMP

HTTP SMTP RPC Telnet DNS ASN1 T RPC F UDPT P XDR

TCP IP
PROTOCOLOS de ACCESO al MEDIO

DNS

Ventajas del DNS

Desaparece la carga excesiva en la red y en los hosts: ahora la informacin esta distribuida por toda la red, al tratarse de una BBDD distribuida. No hay Duplicidad de Nombres: el problema se elimina debido a la existencia de dominios controlados por un nico administrador. Puede
haber nombres iguales pero en dominios diferentes.

Consistencia de la Informacin: ahora la informacin que esta distribuida es actualizada automticamente sin intervencin de ningn administrador.
7

DNS

Funcionamiento del DNS

Servidores DNS Raz . Servidores DNS .cl
5: No lo s. Pregntale a google.cl. 4:IP de www.google.cl?

Servidores DNS google.cl.

3: No lo s. Pregntale a .cl
2:IP de www.google.cl?
(74.125.110.1 alias gong)

ISP

7: www.google.cl es alias, 74.125.110.211

DNS de ISP
1:IP de www.google.cl?

6:IP de www.google.cl?

8: www.google.cl es alias, 74.125.110.211

DNS

Elementos del DNS

La sintaxis del nombre
La implementacin de la base de datos

1.
2.

Comandos y ficheros relacionados con el DNS

DNS

Sintaxis del nombre (1/3): definicin

Nombre de dominio es una cadena de hasta 255 caracteres, formada por etiquetas separadas por puntos (cada etiqueta inferior a 64 caracteres) de forma jerrquica o por niveles (comenzando el nivel superior por la derecha). Cada dominio es un ndice en la BBDD del DNS.
No se distinguen maysculas de minsculas. Esto no se aplica a la parte izquierda de @ en las direcciones de correo.

Ejemplo: robotica.google.cl tiene 3 etiquetas, siendo el dominio de nivel superior es., dominio de 2 nivel google.cl. y dominio de nivel inferior robotica.google.cl.
Adems, de un nombre de dominio puede representar un host.
DNS 10

Sintaxis del nombre (2/3): absoluto y relativo

Los nombres de dominio absolutos terminan con . (ej. google.cl.) y los relativos no.

Se necesita saber el contexto del dominio superior para determinar de manera nica su significado verdadero.

DNS

11

Sintaxis del nombre (3/3): clasificacin de los dominios

En el nivel absoluto superior o raz, los dominios se clasifican en Geogrficos
divisin por pases (o regiones)

Genricos
en funcin del tipo de organizacin

DNS

12

rbol de clasificacin de los dominios

GENRICOS GEOGRAFICOS (por pas)

ROOT (vaco)

edu

com

mil

gov

net

org

...

es

it

fr

us

....

ibm cisco oracle

nasa

ieee acm robotica

uv

Notas:

milena glup

cisco

(1) Cada dominio absoluto se define desde la hoja del rbol hasta la raiz. (2) Puede haber nombres duplicados en dominios diferentes (ej cisco)
DNS 13

Nombres de dominio de nivel superior (TLD) genricos ms utilizados

Nombre de Dominio COM EDU GOV MIL ORG NET INT Significado Organizaciones comerciales, Microsoft.com, ibm.com Universidades, Instituciones academicas,... Instituciones Gub ernamentales Organizaciones militares Organizaciones no comerciales Grupos relacionados con la Red Organizaciones Internacionales

TLD = Top Level Domain

DNS

14

Delegacin de la autoridad (1/2)

La organizacin que posee un nombre de dominio, es responsable del funcionamiento y mantenimiento de los servidores de nombres. Esta rea de influencia se llama zona de autoridad. La solicitud de registro se realiza a una autoridad competente, por ejemplo InterNIC (http://www.internic.net/) es una autoridad de registro. Para ello es necesario identificar al menos 2 DNS.
google: 74.125.110.1 74.125.110.211

Otra opcin para solicitar un dominio, es contactar con los servicios ofrecidos por una empresa (ej. www.arsys.es) y/o ISP. Cada pas a su vez tambin dispone de autoridades de registro La autoridad del dominio TLD cl. que registra los dominios de 2 nivel: www.nic.cl
DNS 15

Delegacin de la autoridad (2/2)

En una zona existe un administrador local que a su vez puede delegar en otros administradores. P.ej, google.cl. puede delegar en el Departamento de Informtica (informatica.google.cl.) para gestionar este dominio inferior. Por tratarse de un servicio de aplicacin, un domino/subdominio (dominio de nivel inferior) no tiene porqu corresponder con una red/subred IP, ni tampoco una correspondencia geogrfica, aunque normalmente es lo ms frecuente en grandes redes .google.cl <-> 147.156. Un mismo recurso puede tener asignados varios dominios o nombres registrados, formando servidores virtuales. Por ejemplo, http://robotica.google.cl y http://www.cdlibre.org, son 2 servidores de 2 dominios diferentes pero que se asocian a la misma IP.
DNS 16

Controversias y disputas en los nombres

Es frecuente en ciertos dominios la utilizacin de nombres controvertidos. Dichas controversias se resuelven en la OMPI (organismo encargado de solucionar de forma amistosa estas situaciones) a nivel mundial. El procedimiento no amistoso es por los tribunales. A nivel anecdtico, en el ao 2000, hubieron unas 2000 quejas, 100 de ellas por demandantes espaoles. Espaa es el tercer pas en conflictos de este tipo, detrs de EEUU y UK.
DNS 17

Registro de Recursos (RR) (1/3)

Cada entrada en la tabla de un DNS contiene informacin, no slo de las direcciones IP, si no de un registro de recursos, con 5 campos o tuplas
[Nombre_dominio] [TTL] [Clase] Tipo Dato_Registro(Valor)

Cuando un cliente (a travs de un resolver) pregunta por un nombre de dominio al DNS, lo que recibe son los RR asociados a ese nombre y por tanto la funcin real del DNS es relacionar los dominios de nombres con los RR Normalmente existen varios RR por dominio

DNS

18

Registro de Recursos (RR) (2/3)

[Nombre_dominio] [TTL] [Clase] Tipo Dato_Registro(Valor) shackleton.google.cl 600 IN A 147.156.167.210 Nombre_dominio: puede haber ms de un registro por dominio. Este campo a veces puede omitirse, tomando por defecto el ltimo nombre de domino indicado con anterioridad.

TTL: tiempo de vida. Indicando la estabilidad del registro (tiempo que se guarda en la cach).
La informacin altamente estable tiene un valor grande (86400 seg. = 1 da) La informacin voltil recibe un valor pequeo (60 seg.)

Clase : Actualmente slo se utiliza IN, para informacin de Internet. Este campo si se omite, se toma el ltimo valor indicado con anterioridad Dato_Registro(Valor) es un nmero o texto ASCII dependiendo del tipo de registro.

DNS

19

Tipo de Registro de Recursos (RR) (3/3)

Indica el tipo de registro. Los ms utilizados son:
Tipo de Registro SOA Start Of Authority NS Name Server A Address CNAME MX TXT Descripcin Inic io de autoridad, identificando el dominio o la zona. Fija una serie de parmetros para esta zona. El nombre de dominio se hace corresponder con el nombre de una computador a de confianza para el dominio o servidor de nombres. Direccin IP de un host en 32 bits. Si este tiene varias direcciones IP, multihomed, habr un registro diferente por cada una de ellas. Es un alias que se corresponde con el nombre cannico verdadero. Se trata de un intercambiador de c orreo (Mail eXchanger), es decir, un dominio dispuesto a aceptar solo correo electrnico. Texto, es una forma de aadir comentarios a la Base de Datos. Por Ej., para dar la direccin postal del dominio. Apuntador, hace corresponder una direccin IP con el nombre de un sistema. Usado en archivos direccin -nombre, la inversa del tipo A. Informacin del Host, tipo y modelo de computadora y SO Servicios pblicos (Well -Known Services). Puede listar los servicios de las aplicaciones disponibles en el ordenador.
20

PTR

HINFO WKS

DNS

Registros MX
Mail Exchanger: son servidores de correo ordenados por prioridad en un dominio y registrados en el DNS, de forma que en caso de fallo del principal, generalmente el que tendr informacin de todas las cuentas de correo de los usuarios, el cliente de correo (quien quiere realizar la entrega) averiguar a travs del DNS el MX del dominio, quien recibir el correo en nombre del principal. Este MX intermediario, no requiere tener configuradas las cuentas de correo y en el momento que el principal se reponga, el MX har entrega de los correos.
DNS 21

Servidores DNS de google.cl Quien es el SOA? (Start of Authority) El registro SOA es el primero de una zona de autoridad. Especifica la mquina de donde proviene la informacin principal y quin es el responsable de su administracin

DNS

22

El nmero de serie: AAAAMMDDSS A: ao M: mes D: da SS: nmero de serie de hoy (SS)

DNS

23

DNS secundario se debe conectar cada 86400 seg. (=24 horas)

Si no lo consigue debe reintentar cada 7200 seg. (=2 horas)

Datos DNS secundario caducan a los 30 das

TTL por defecto de los registros en seg.

DNS

24

NS (Name Server)

Que he preguntado?
MX Servidor de correo

TXT Comentario SOA (Start of Authority) A address Terminan en punto

DNS

25

DNS

26

DNS

27

Zonas de autoridad y dominios

El rbol de nombres de una organizacin se compone de una o ms zonas. Una zona es una parte contigua del rbol de nombres que se administra como una unidad.
uv robotica

milena

cisco glup

lab2

lab3

rut1 rut2 rut3

tools

Zonas de autoridad contiene nombre de dominios

Dominio: nombre que agrupa a otras mquinas o dominios inferiores

DNS 28

Ejemplo: Zonas y dominios

Una empresa con una central y dos sucursales (delegacin A y B). La base de datos raz de Internet apuntar a los servidores de nombres de la oficina central. Estos servidores respondern directamente a peticiones de nombres que pertenezcan a su zona. Si se solicita un nombre de otra de las zonas (delegaciones), el servidor de la oficina central devolver los nombres y direcciones de los servidores adecuados. Otra opcin, sera centralizarlo todo en un nico servidor de todo el dominio y con todas las zonas, pero reducira la flexibilidad del DNS.
empresa.com

central.empresa.com

delegacin_A.empresa.com

delegacin_B.empresa.com

DNS

29

Whois

Mecanismo para recuperar de un registro metadatos correspondientes a un dominio

RFC 954, RFC 1834,

Las bases de datos whois informan sobre IPs, puntos de contacto, organizaciones,

DNS

30

IDN (Internationalized Domain Names)

Definido en RFC 3490 representacin de etiquetas de nombre no-ASCII en formato ASCII

codificacin ACE: ASCII Compatible Encoding

solucin orientada a las aplicaciones

los nombres en DNS siguen siendo ASCII las aplicaciones (p. ej., navegadores) deben

realizar la conversin
Ejemplo: www.ee.es ACE www.xn--ee-zja.es

DNS

31

DNS dinmico
En ocasiones, los ISP gestionan de forma dinmica las IP de los host conectados por DHCP de forma arbitraria, sin tener vinculacin IP con la MAC. Si dentro del ISP, algn servidor ha de ser accedido desde el exterior, requerir tener traduccin a IP pblica y adems dicha IP estar ligada con un nombre, de forma consistente. Ejemplo: un usuario de un ISP, cuyo host se llama micasa quiere ofrecer un servicio de FTP. El nombre completo dentro del ISP del host es micasa.isp.com, pero dicho ISP utiliza DHCP sin vinculacin a MAC, por lo cual nunca tiene la misma IP, sino puede tener cualquiera dentro del rango 200.0.0.0/24. Para que se pueda acceder desde el exterior, o bien conocen la IP asignada y se indica por telfono al cliente que quiere conectarse, o bien el ISP modifica los registros tipo A de micasa.isp.com apuntando a la nueva IP concedida por DHCP, de forma consistente, lo que se llama un DNS dinmico. 1.- DHCP entrega IP 200.0.0.1 2.- DHCP indica al DNS nuevo registro de isp.com: micasa A 200.0.0.1
DNS 32

Implementacin de la BBDD
Los servidores DNS tienen informacin completa de una zona de autoridad. La zona de autoridad abarca al menos un dominio, pudiendo incluir dominios de nivel inferior y tendr normalmente un servidor de nombres primario. Estos dominios de nivel inferior se pueden delegar en otros servidores locales. Segn las caractersticas de la zona, los servidores DNS se pueden clasificar en: primarios o secundarios maestros o locales
DNS 33

Tipos de servidores (1/3)

Primarios (Primary Name Servers): Almacenan la informacin de su zona en una base de datos local. Son responsables de mantener la informacin actualizada y cualquier cambio debe ser notificado a este servidor Secundarios (Secundary Name Servers): Son aquellos que obtienen los datos de su zona desde otro servidor que tenga autoridad para esa zona. El proceso de copia de la informacin se denomina transferencia de zona.
34

DNS

Tipos de servidores (2/3)

Maestros (Master Name Servers): son los que transfieren las zonas a los servidores secundarios. Cuando un servidor secundario arranca busca un servidor maestro y realiza la transferencia de zona.
Un servidor maestro para una zona puede ser a la vez un servidor primario o secundario de esa zona. Estos servidores extraen la

informacin desde el servidor primario de la zona. As se evita que los servidores secundarios sobrecargen al servidor primario con transferencias de zonas.

DNS

35

Tipos de servidores (3/3)

Locales (Caching-only servers): no tienen autoridad sobre ningn dominio: se limitan a contactar con otros servidores para resolver las peticiones de los clientes DNS. Estos servidores mantienen una memoria cach con las ltimas preguntas contestadas. Cada vez que un cliente DNS le formula una pregunta, primero consulta en su memoria cach. Si encuentra la direccin IP solicitada, se la devuelve al cliente; si no, consulta a otros servidores, apuntando la respuesta en su memoria cach y comunicando la respuesta al cliente.
36

DNS

Servidores raz .
Las direcciones IP de los dominios superiores no se incluyen en el DNS porque no son parte del propio dominio. Para consultar hosts externos se consulta a los servidores raz, cuyas direcciones IP estn presentes en un fichero de configuracin del sistema y se cargan en el cach del DNS al iniciar el servidor. Los servidores raz proporcionan referencias directas a servidores de los dominios de segundo nivel, como COM, EDU, GOV, geogrficos, etc.

DNS

37

Funciones del cliente DNS

Interrogar al servidor DNS Interpretar las respuestas que pueden ser registros de recursos (RR) o errores Devolver la informacin al programa que realiza la peticin al cliente DNS

DNS

38

Tipo de preguntas formuladas por los clientes DNS

En el proceso de interrogacin, las preguntas pueden ser:
Recursiva: obliga al servidor DNS a que responda

aunque tenga que consultar a otros servidores. Esta opcin es ms frecuente. Iterativa: el servidor contesta si tiene la informacin y si no, le remite la direccin de otro servidor capaz de resolver. De esta forma el cliente tiene mayor control sobre el proceso de bsqueda. Esta opcin es menos frecuente. Inversa: permite dada una IP, consultar el nombre. Para ello se ha creado un dominio especial llamada in-addr.arpa
DNS 39

Ejemplo:

IP de www.google.com?

Estamos en un ordenador del lab3 de la UVEG y queremos buscar algo en google, por lo que nuestro cliente web formula una pregunta recursiva IP de www.google.com? a nuestro servidor DNS

gong.ci.google.cl lab3inf04.google.cl www.google.com ?

Mi PC

resolver

DNS

40

Ejemplo:

IP de www.google.com?

El servidor local es el responsable de resolver la pregunta, aunque para ello tenga que reenviar la pregunta a otros servidores. Si se ha solicitado informacin local, el servidor extrae la respuesta de su propia base de datos. Si es sobre un ordenador externo, el servidor comprueba su cach. Si no tiene direccin IP entonces formular una pregunta iterativa al servidor del dominio raz.
www.google.com ? gong.ci.google.cl lab3inf04.google.cl www.google.com ? ip del DNS .com

Mi PC

resolver

El servidor del dominio raz no conoce la direccin IP solicitada, pero devuelve la direccin del servidor del dominio .com

DNS

41

Ejemplo:

IP de www.google.com?

El servidor local reenva la pregunta iterativa al servidor del dominio .com que tampoco conoce la direccin IP, aunque s conoce la direccin del DNS del dominio .google.com
www.google.com ? gong.ci.google.cl lab3inf04.google.cl www.google.com ? ip del DNS .com

Mi PC

resolver

www.google.com ?
ip del DNS google.com

.com

www.google.com ? 209.85.135.99

El servidor local vuelve a reenviar la pregunta iterativa al DNS google.com, que ahora si conoce la direccin IP de www.google.com y devuelve la IP al DNS local DNS

google.com

42

Ejemplo:

IP de www.google.com? (1/3)

El servidor local se la reenva a nuestro ordenador, al mismo tiempo que la almacena en la propia cach.

El tiempo de validez de la respuesta en la cach se configura en los servidores remotos y se enva como parte de la respuesta
www.google.com ? gong.ci.google.cl lab3inf04.google.cl www.google.com ? ip del DNS .com

Mi PC

209.85.135.99

resolver

www.google.com ?

.com

ip del DNS google.com

Aadir a Cache www.google.com ? 209.85.135.99

www.google.com
DNS

google.com
43

Preguntas inversas (1/2)

Para evitar una bsqueda exhaustiva por todo el espacio de nombres de dominio, se utiliza un dominio especial llamado inaddr.arpa. Cuando un cliente DNS desea conocer el nombre de dominio asociado a la direccin IP w.x.y.z realiza una pregunta inversa a z.y.x.w.in-addr.arpa. La inversin de los bytes es necesaria debido a que los nombres de dominio son ms genricos por la derecha, al contrario que ocurre con las direcciones IP.
DNS 44

Preguntas inversas (2/2)

La organizacin que posee una direccin de red es responsable de registrar todas sus traducciones de direccin a nombre en la base de datos del DNS. Esto se hace en una tabla que es independiente de las correspondencias entre nombre y direcciones. El dominio in-addr.arpa se cre para apuntar hacia todas esas tablas de red Destacar que muchas servidores y/o clientes como FTP, WWW, NEWS, Telnet... no aceptarn y/o realizan conexiones de mquinas de las cuales no son capaces de resolver el nombre, por eso el mapeo inverso es obligado.

DNS

45

rbol para la resolucin inversa inaddr.arpa

COM

EDU

ARPA

IN-ADDR

128

147

156

157

DNS

46

Ejemplo de resolucin inversa de nombres

DNS

47

Soporte para IPv6

RFC3596 define: Un nuevo tipo de RR (AAAA) para la correspondencia de nombre de dominio a direccin IPv6 Un dominio para consultas inversas IP6.ARPA La versin IP utilizada para la consulta es independiente de la versin de protocolo de los RRs cinco servidores raz ya tienen direccin IPv6 asignada

DNS

48

Formato de los mensajes

El cliente enva solicitud (pregunta) en un mensaje formateado y el servidor aade la informacin requerida en dichos campos.

DNS

49

Captura con Ethereal / wireshark

Consulta (query) ID de Transaccin para hacer corresponder con respuesta Parmetros (Flags) Pregunta Nombre buscado Tipo (A: Host, NS: Servidor, MX: correo, ) Clase: IN (internet)

DNS

50

Respuesta (answer): ID y Flags Respuesta Nombre buscado, Tipo (A: Host, NS: Servidor, MX: correo, ), Clase, TTL (tiempo en cach), longitud datos, IP buscada

DNS

51

Authoritative nameservers (servidores de confianza) Additional records (IPs de los anteriores)

DNS

52

Comandos y ficheros relacionados con DNS

DNS

53

Consultas con nslookup en Windows

La respuesta se realiza fuera de nuestro DNS desde la cach externamente

DNS 54

DNS

55

Consultas con host

DNS

56

El servidor se identifica a s mismo

Porque el servidor contina identificndose a s mismo?.

Esto es debido a que en una organizacin mantiene en funcionamiento dos o ms servidores, ya que uno de ellos podra estar muy ocupado o incluso, fuera de servicio, por ejemplo, para mantenimiento. De esta forma sabemos quin nos contesta.

DNS

57

Quin tiene una direccin IP conocida

DNS

58

Servidores DNS raz Referencias directas a servidores de dominios de segundo nivel como COM, EDU, GOV,

DNS

59

Servidores DNS Raiz

Conocen a todos los servidores de dominios de primer nivel Reciben consultas de servidores locales que no saben resolver un nombre Hay 13 servidores raz ubicados en distintos continentes

DNS

60

Configuracin de un cliente de DNS (1/3)

Nombres y direcciones necesarios para arranque. La primera lnea es obligatoria

Orden en que debe buscarse una resolucin de nombres (bind es el DNS)

DNS 61

Configuracin de un cliente de DNS (2/3)

Para configurar una estacin de trabajo en modo cliente de DNS se debe crear el archivo de resolucin de cliente /etc/resolv.conf

DNS

62

Configuracin de un cliente de DNS (3/3)

o bien configurar DHCP para que entregue toda la informacin

DNS

63

Requisitos para conexin a Internet y diseo de la base de datos de un servidor de nombres

La conexin de un servidor DNS particular a la base de datos mundial de Internet necesita:

Registrar uno o ms bloques de direcciones IP y, opcionalmente, un nmero de sistema autnomo en el NIC (Network Information Centre) Asignar nombres y direcciones a los ordenadores propios. Obtener la lista de servidores raz que, en conjunto, cubran el servicio mundial.

Se puede copiar un archivo de InterNIC que contiene esta lista del registro. Este fichero se puede obtener con FTP annimo a FTP.RS.INTERNIC.NET

Construir un servidor de nombres de dominio primario que contendr registros tipo A y PTR, y, al menos, una copia secundaria Comprobar los servidores. Pasar a la condicin de operativo. Registrar los nombres de dominio y servidores de la organizacin en los servicios de inscripcin de la regin.

DNS

64

RFCs de DNS
RFCs principales
RFC 920: Domain Requirements RFC 1101: DNS Enconding of Network Names and Other Types RFC 1033 : Domain Adminstrators Operations Guide RFC 1034: Domain Names Concepts and Facilities RFC 1035: Domain Names Implementation and Specification RFC 1591: Domain Name System Structure and Delegation RFC 1183: New RR Types

Tambin se est trabajando en DNS y seguridad para evitar el ataque conocido como DNS Spoofing o suplantacin. RFC 2535.
DNS Spoofing. Un intruso se hace pasar por un DNS. El intruso puede entregar o bien informacin modificada al host, o bien engaar al DNS local para que registre informacin en su cache. P.ej, puede hacer resolver www.mibanco.es a una IP que ser la del atacante, de forma que cuando un usuario de MiBANCO se conecta, lo har realmente con el atacante.

DNS

65