Professional Documents
Culture Documents
DNS
Inicialmente se utilizaba (y se utiliza) en Unix el fichero /etc/hosts, que estaba centralizado en un servidor con la relacin de todos los nombres de forma exhaustiva y para utilizarlo, se deben realizar peridicamente copias a los servidores locales Inconvenientes del uso de /etc/hosts
procedimiento poco escalable genera mucho trfico en el servidor inconsistente con copias locales con facilidad aparecan nombres duplicados
En Windows, se encuentra en /system32/drivers/etc/hosts El fichero hosts puede servir para una solucin simple en una red local donde no tengan configurado un servidor DNS
DNS
DNS
El sistema de nombres de dominio se basa en un esquema jerrquico que permite asignar nombres, basndose en el concepto de dominio, utilizando para su gestin una base de datos (BBDD) distribuida.
Las consultas al DNS son realizadas por los clientes a travs de las rutinas de resolucin (resolver o resolvedor o resolutor).
Estas funciones son llamadas en cada host desde
DNS
DNS
DNS
Cliente/servidor DNS
Los servidores DNS contienen informacin de un segmento de la BBDD distribuida y la ponen a disposicin de los clientes. Las peticiones de los clientes viajan en paquetes UDP al DNS local (puerto 53).
TCP IP
PROTOCOLOS de ACCESO al MEDIO
DNS
Desaparece la carga excesiva en la red y en los hosts: ahora la informacin esta distribuida por toda la red, al tratarse de una BBDD distribuida. No hay Duplicidad de Nombres: el problema se elimina debido a la existencia de dominios controlados por un nico administrador. Puede
haber nombres iguales pero en dominios diferentes.
Consistencia de la Informacin: ahora la informacin que esta distribuida es actualizada automticamente sin intervencin de ningn administrador.
7
DNS
ISP
DNS de ISP
1:IP de www.google.cl?
6:IP de www.google.cl?
DNS
1.
2.
DNS
Ejemplo: robotica.google.cl tiene 3 etiquetas, siendo el dominio de nivel superior es., dominio de 2 nivel google.cl. y dominio de nivel inferior robotica.google.cl.
Adems, de un nombre de dominio puede representar un host.
DNS 10
Se necesita saber el contexto del dominio superior para determinar de manera nica su significado verdadero.
DNS
11
Genricos
en funcin del tipo de organizacin
DNS
12
ROOT (vaco)
edu
com
mil
gov
net
org
...
es
it
fr
us
....
nasa
uv
Notas:
milena glup
cisco
(1) Cada dominio absoluto se define desde la hoja del rbol hasta la raiz. (2) Puede haber nombres duplicados en dominios diferentes (ej cisco)
DNS 13
DNS
14
Otra opcin para solicitar un dominio, es contactar con los servicios ofrecidos por una empresa (ej. www.arsys.es) y/o ISP. Cada pas a su vez tambin dispone de autoridades de registro La autoridad del dominio TLD cl. que registra los dominios de 2 nivel: www.nic.cl
DNS 15
Cuando un cliente (a travs de un resolver) pregunta por un nombre de dominio al DNS, lo que recibe son los RR asociados a ese nombre y por tanto la funcin real del DNS es relacionar los dominios de nombres con los RR Normalmente existen varios RR por dominio
DNS
18
TTL: tiempo de vida. Indicando la estabilidad del registro (tiempo que se guarda en la cach).
La informacin altamente estable tiene un valor grande (86400 seg. = 1 da) La informacin voltil recibe un valor pequeo (60 seg.)
Clase : Actualmente slo se utiliza IN, para informacin de Internet. Este campo si se omite, se toma el ltimo valor indicado con anterioridad Dato_Registro(Valor) es un nmero o texto ASCII dependiendo del tipo de registro.
DNS
19
PTR
HINFO WKS
DNS
Registros MX
Mail Exchanger: son servidores de correo ordenados por prioridad en un dominio y registrados en el DNS, de forma que en caso de fallo del principal, generalmente el que tendr informacin de todas las cuentas de correo de los usuarios, el cliente de correo (quien quiere realizar la entrega) averiguar a travs del DNS el MX del dominio, quien recibir el correo en nombre del principal. Este MX intermediario, no requiere tener configuradas las cuentas de correo y en el momento que el principal se reponga, el MX har entrega de los correos.
DNS 21
Servidores DNS de google.cl Quien es el SOA? (Start of Authority) El registro SOA es el primero de una zona de autoridad. Especifica la mquina de donde proviene la informacin principal y quin es el responsable de su administracin
DNS
22
DNS
23
DNS
24
NS (Name Server)
Que he preguntado?
MX Servidor de correo
DNS
25
DNS
26
DNS
27
milena
cisco glup
lab2
lab3
tools
central.empresa.com
delegacin_A.empresa.com
delegacin_B.empresa.com
DNS
29
Whois
Las bases de datos whois informan sobre IPs, puntos de contacto, organizaciones,
DNS
30
realizar la conversin
Ejemplo: www.ee.es ACE www.xn--ee-zja.es
DNS
31
DNS dinmico
En ocasiones, los ISP gestionan de forma dinmica las IP de los host conectados por DHCP de forma arbitraria, sin tener vinculacin IP con la MAC. Si dentro del ISP, algn servidor ha de ser accedido desde el exterior, requerir tener traduccin a IP pblica y adems dicha IP estar ligada con un nombre, de forma consistente. Ejemplo: un usuario de un ISP, cuyo host se llama micasa quiere ofrecer un servicio de FTP. El nombre completo dentro del ISP del host es micasa.isp.com, pero dicho ISP utiliza DHCP sin vinculacin a MAC, por lo cual nunca tiene la misma IP, sino puede tener cualquiera dentro del rango 200.0.0.0/24. Para que se pueda acceder desde el exterior, o bien conocen la IP asignada y se indica por telfono al cliente que quiere conectarse, o bien el ISP modifica los registros tipo A de micasa.isp.com apuntando a la nueva IP concedida por DHCP, de forma consistente, lo que se llama un DNS dinmico. 1.- DHCP entrega IP 200.0.0.1 2.- DHCP indica al DNS nuevo registro de isp.com: micasa A 200.0.0.1
DNS 32
Implementacin de la BBDD
Los servidores DNS tienen informacin completa de una zona de autoridad. La zona de autoridad abarca al menos un dominio, pudiendo incluir dominios de nivel inferior y tendr normalmente un servidor de nombres primario. Estos dominios de nivel inferior se pueden delegar en otros servidores locales. Segn las caractersticas de la zona, los servidores DNS se pueden clasificar en: primarios o secundarios maestros o locales
DNS 33
Primarios (Primary Name Servers): Almacenan la informacin de su zona en una base de datos local. Son responsables de mantener la informacin actualizada y cualquier cambio debe ser notificado a este servidor Secundarios (Secundary Name Servers): Son aquellos que obtienen los datos de su zona desde otro servidor que tenga autoridad para esa zona. El proceso de copia de la informacin se denomina transferencia de zona.
34
DNS
Maestros (Master Name Servers): son los que transfieren las zonas a los servidores secundarios. Cuando un servidor secundario arranca busca un servidor maestro y realiza la transferencia de zona.
Un servidor maestro para una zona puede ser a la vez un servidor primario o secundario de esa zona. Estos servidores extraen la
informacin desde el servidor primario de la zona. As se evita que los servidores secundarios sobrecargen al servidor primario con transferencias de zonas.
DNS
35
Locales (Caching-only servers): no tienen autoridad sobre ningn dominio: se limitan a contactar con otros servidores para resolver las peticiones de los clientes DNS. Estos servidores mantienen una memoria cach con las ltimas preguntas contestadas. Cada vez que un cliente DNS le formula una pregunta, primero consulta en su memoria cach. Si encuentra la direccin IP solicitada, se la devuelve al cliente; si no, consulta a otros servidores, apuntando la respuesta en su memoria cach y comunicando la respuesta al cliente.
36
DNS
Servidores raz .
Las direcciones IP de los dominios superiores no se incluyen en el DNS porque no son parte del propio dominio. Para consultar hosts externos se consulta a los servidores raz, cuyas direcciones IP estn presentes en un fichero de configuracin del sistema y se cargan en el cach del DNS al iniciar el servidor. Los servidores raz proporcionan referencias directas a servidores de los dominios de segundo nivel, como COM, EDU, GOV, geogrficos, etc.
DNS
37
DNS
38
aunque tenga que consultar a otros servidores. Esta opcin es ms frecuente. Iterativa: el servidor contesta si tiene la informacin y si no, le remite la direccin de otro servidor capaz de resolver. De esta forma el cliente tiene mayor control sobre el proceso de bsqueda. Esta opcin es menos frecuente. Inversa: permite dada una IP, consultar el nombre. Para ello se ha creado un dominio especial llamada in-addr.arpa
DNS 39
Ejemplo:
IP de www.google.com?
Estamos en un ordenador del lab3 de la UVEG y queremos buscar algo en google, por lo que nuestro cliente web formula una pregunta recursiva IP de www.google.com? a nuestro servidor DNS
Mi PC
resolver
DNS
40
Ejemplo:
IP de www.google.com?
El servidor local es el responsable de resolver la pregunta, aunque para ello tenga que reenviar la pregunta a otros servidores. Si se ha solicitado informacin local, el servidor extrae la respuesta de su propia base de datos. Si es sobre un ordenador externo, el servidor comprueba su cach. Si no tiene direccin IP entonces formular una pregunta iterativa al servidor del dominio raz.
www.google.com ? gong.ci.google.cl lab3inf04.google.cl www.google.com ? ip del DNS .com
Mi PC
resolver
El servidor del dominio raz no conoce la direccin IP solicitada, pero devuelve la direccin del servidor del dominio .com
DNS
41
Ejemplo:
IP de www.google.com?
El servidor local reenva la pregunta iterativa al servidor del dominio .com que tampoco conoce la direccin IP, aunque s conoce la direccin del DNS del dominio .google.com
www.google.com ? gong.ci.google.cl lab3inf04.google.cl www.google.com ? ip del DNS .com
Mi PC
resolver
www.google.com ?
ip del DNS google.com
.com
www.google.com ? 209.85.135.99
El servidor local vuelve a reenviar la pregunta iterativa al DNS google.com, que ahora si conoce la direccin IP de www.google.com y devuelve la IP al DNS local DNS
google.com
42
Ejemplo:
IP de www.google.com? (1/3)
El servidor local se la reenva a nuestro ordenador, al mismo tiempo que la almacena en la propia cach.
El tiempo de validez de la respuesta en la cach se configura en los servidores remotos y se enva como parte de la respuesta
www.google.com ? gong.ci.google.cl lab3inf04.google.cl www.google.com ? ip del DNS .com
Mi PC
209.85.135.99
resolver
www.google.com ?
.com
www.google.com
DNS
google.com
43
DNS
45
COM
EDU
ARPA
IN-ADDR
128
147
156
157
DNS
46
DNS
47
DNS
48
El cliente enva solicitud (pregunta) en un mensaje formateado y el servidor aade la informacin requerida en dichos campos.
DNS
49
DNS
50
Respuesta (answer): ID y Flags Respuesta Nombre buscado, Tipo (A: Host, NS: Servidor, MX: correo, ), Clase, TTL (tiempo en cach), longitud datos, IP buscada
DNS
51
DNS
52
DNS
53
DNS
55
DNS
56
DNS
57
DNS
58
Servidores DNS raz Referencias directas a servidores de dominios de segundo nivel como COM, EDU, GOV,
DNS
59
Conocen a todos los servidores de dominios de primer nivel Reciben consultas de servidores locales que no saben resolver un nombre Hay 13 servidores raz ubicados en distintos continentes
DNS
60
DNS
62
DNS
63
Registrar uno o ms bloques de direcciones IP y, opcionalmente, un nmero de sistema autnomo en el NIC (Network Information Centre) Asignar nombres y direcciones a los ordenadores propios. Obtener la lista de servidores raz que, en conjunto, cubran el servicio mundial.
Se puede copiar un archivo de InterNIC que contiene esta lista del registro. Este fichero se puede obtener con FTP annimo a FTP.RS.INTERNIC.NET
Construir un servidor de nombres de dominio primario que contendr registros tipo A y PTR, y, al menos, una copia secundaria Comprobar los servidores. Pasar a la condicin de operativo. Registrar los nombres de dominio y servidores de la organizacin en los servicios de inscripcin de la regin.
DNS
64
RFCs de DNS
RFCs principales
RFC 920: Domain Requirements RFC 1101: DNS Enconding of Network Names and Other Types RFC 1033 : Domain Adminstrators Operations Guide RFC 1034: Domain Names Concepts and Facilities RFC 1035: Domain Names Implementation and Specification RFC 1591: Domain Name System Structure and Delegation RFC 1183: New RR Types
Tambin se est trabajando en DNS y seguridad para evitar el ataque conocido como DNS Spoofing o suplantacin. RFC 2535.
DNS Spoofing. Un intruso se hace pasar por un DNS. El intruso puede entregar o bien informacin modificada al host, o bien engaar al DNS local para que registre informacin en su cache. P.ej, puede hacer resolver www.mibanco.es a una IP que ser la del atacante, de forma que cuando un usuario de MiBANCO se conecta, lo har realmente con el atacante.
DNS
65