DNS Module 1- Les Fondamentaux.ppt

1、 DNS Module 1: Les FondamentauxBas sur un document de Brian CandlerTraduit par Alain Patrick AINA Atelier CCTLD ISOCLes ordinateurs utilisent les adresses IP. Pourquoi a-t-on besoin de noms? Faciles mmoriser par les humains Les ordinateurs peuvent changer de rseau, et donc dadresses IPAncienne solut

2、ion: hosts.txt Un fichier centralis distribu toutes les machines sur lInternet Cette fonctionalit existe toujours /etc/hosts Unix c:windowssystem32driversetchosts Windows128.4.13.9 SPARKY4.98.133.7 UCB-MAILHOST200.10.194.33 FTPHOSThosts.txt est inadapt grande chelle Fichier volumineux Ncessite dtre

3、copi frquemment sur toutes les machines Pas uniforme Toujours dpass Pas dunicit des noms Un seul point d administrationLe systme de nom de domaine tait n DNS est une base de donne distribue pour faire correspondre des noms aux adresses IP(et autres informations) Distribue: Administration partage Cha

4、rge partage Robustesse et performance travers: La duplication Le cache Une pice critique de linfrastructure InternetDNS est Hirarchis Forme la structure dun arbre. (racine)uk orgco.uk isoc.org nsrc.orgtiscali.co.ukDNS est Hirarchis (2) Donne des noms globalement uniques Administr en “zones“ (parties

5、 de larbre) Vous pouvez donner (“dlguer“) le contrle dune partie de larbre sous votre autorit Exemple: isoc.org est sur un ensemble de serveurs dnsws.isoc.org sur un ensemble diffrent foobar.dnsws.isoc.org sur un autre ensembleLes noms de domaines sont (presque) illimits Une longueur totale de 255 c

6、aractres maximum 63 caractres maximum dans chaque partie RFC 1034, RFC 1035 Si un nom de domaine est utilis comme nom de machine, vous devez respecter certaines restrictions RFC 952 (vieux!) a-z 0-9 et tiret ( - ) seulement Pas dunderscores ( _ )Utilisation du DNS Un nom de domaine (comme www.tiscal

7、i.co.uk) est une cl de recherche dinformations Le resultat est un ou plusieurs enregistrements de ressources (ER) Il y a diffrents ER pour diffrents types dinformations Vous pouvez rechercher un type spcifique, ou rechercher “tous” les ER associs un nom de domaineER courants A (adresse IP): associe

8、les noms aux adresses IP PTR (pointer): associe les adresses IP aux noms MX (mail exchanger): o dlivrer les courriers pour utilisateurdomaine CNAME (canonical name):associe des alias au nom rel TXT (text):nimporte quel texte descriptif NS (Name Server), SOA (Start Of Authority): Utiliss pour les dlg

9、ations et le fonctionnement du DNSExemple simple Requte: www.tiscali.co.uk Type de requte : A Resultat:www.tiscali.co.uk. IN A 212.74.101.10 Dans ce cas, un seul ER a t trouv, mais en gnral, plusieurs ER peuvent tre retourns IN est la “classe“ pour INTERNET, utilise par le DNSRsultats possibles Posi

10、tif 1 ou plusieurs EE trouvs Ngatif Dfinitivement aucun ER ne correspond la requte Dfinitivement le nom recherch nexiste pas Echec de serveur Ne peut contacter “quelquun” qui connait la rponseComment utiliser une adresse IP comme cl pour une requte DNS? Convertir ladresse IP au format dcimal(A.B.C.D

11、) Inverser les quatre parties Ajouter “.in-addr.arpa“ la fin ( domaine spcial rserv cette fin) e.g. Pour trouver le nom de 212.74.101.10 Connue comme “une requte DNS inverse” Parce que nous cherchons le nom pour une adresse IP, au lieu dune adresse IP pour un nom10.101.74.212.in-addr.arpa. PTR www.t

12、iscali.co.uk.Questions?Le DNS est une application Client-Serveur (Naturellement Il tourne sur un rseau) Requtes et rponses sont normalement envoyes dans des paquets UDP, port 53 Utilise occasionnellement TCP, port 53 Pour les transferts de zones du matre aux esclaves et pour les grandes requtes, e.g

13、. 512 octetsApplicatione.g. navigateurIl y a trois rles dans le DNSServeur cache Serveur autoritaireResolverTrois rles dans le DNS RESOLVER Prend la requte de lapplication, le formate dans un paquet UDP, et l envoie au serveur cache Serveur CACHE Renvoie la rponse si dja connue Dans le cas contraire

14、, recherche le serveur autoritaire qui a linformation Met le resultat en cache pour les requtes futures Egalement connu comme serveur rcursif SERVEUR AUTORITAIRE Contient les informations actuelles places dans le DNS par le propritaire du domaineTrois rles dans le DNS (2) Le mme protocole est utilis

15、 pour les communications resolvercache and cacheNS autoritaire Il est possible de configurer un serveur de nom comme cache et autoritaire en mme temps Mais il joue un seul rle pour chaque requte entrante Classique, mais “NON RECOMMANDE” (voir plus loin)ROLE 1: LE RESOLVER Un morceau de logiciel qui

16、formate une requte DNS dans un paquet UDP, lenvoie au serveur cache et dcode le resultat Gnralement une librairie partage (e.g. libresolv.so sous Unix) parce que beaucoup dapplications en ont besoin Chaque machine a besoin dun resolver - e.g. Chaque poste de travail windows a en unComment le resolve

17、r trouve-t-il le serveur cache? Doit tre configur explicitement (statique, ou via DHCP etc) Doit tre configur avec ladresse IP du cache (pourquoi pas le nom? ) Cest une bonne ide de configurer plus dun cache, dans le cas o le premier nest pas disponibleComment choisir quel cache utilis? Vous devez a

18、voir la permission de lutiliser e.g. Cache de votre FAI, ou le vtre Prfrer un cache proche Minimise les temps daller-retour et les pertes de paquets Peut rduire le trafic sur votre lien externe, puisque le cache peut souvent rpondre sans contacter dautres serveurs Prfrer un cache fiable Pouvez -vous

19、 avoir un mieux que celui de votre FAI ?“Resolver” peut tre configur avec des domaines par dfaut Si“foo.bar“ choue, alors ssayer la requte avec ““ Peut faire conomiser des saisies, mais ajoute de la confusion Peut gnrer du trafic extra non ncessaire A viter dans le meilleur des casExemple: Configura

20、tion dun resolver unix /etc/resolv.conf Cest tout ce dont vous avez besoin pour configurer un resolverSearch cctld.snnameserver 196.216.0.21Tests DNS Mettre simplement ““ dans un navigateur Pourquoi ceci nest pas un bon test?Tests DNS avec “dig“ “dig“ est un programme qui fait simplement des requtes

21、 DNS et affiche les rsultats Mieux que “nslookup“ et “host“ pour le dbogage, parce quil montre les messges DNS au completdig tiscali.co.uk.- Par dfaut recherche le type “A“dig tiscali.co.uk. mx- specifier le type recherchdig 212.74.112.66 tiscali.co.uk. mx- Envoie la requte un cache spcifique(outrep

22、asse /etc/resolv.conf)Le point final Empche lajout des domaines par dfaut Prenez lhabitude de lutiliser pendant les tests DNS Mais uniquement sur les noms de domaine, pas sur sur les adresses IP ou les adresses lectroniquesdig tiscali.co.uk.# dig www.gouv.bj. a ; DiG 9.3.0 www.gouv.bj a; global opti

23、ons: printcmd; Got answer:; -HEADER- opcode: QUERY, status: NOERROR, id: 2462; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 4, ADDITIONAL: 4 ; QUESTION SECTION: ;www.gouv.bj IN A; ANSWER SECTION: www.gouv.bj. 86400 IN CNAME waib.gouv.bj. waib.gouv.bj. 86400 IN A 81.91.232.2 ; AUTHORITY SECTIO

24、N: gouv.bj. 86400 IN NS . gouv.bj. 86400 IN NS ben02.gouv.bj. gouv.bj. 86400 IN NS nakayo.leland.bj. gouv.bj. 86400 IN NS ns1.intnet.bj. ; ADDITIONAL SECTION: ben02.gouv.bj. 86400 IN A 81.91.232.1 nakayo.leland.bj. 18205 IN A 81.91.225.1 ns1.intnet.bj. 18205 IN A 81.91.225.18 . 160785 IN A 147.28.0.

25、39; Query time: 200 msec ; SERVER: 212.74.112.67#53(212.74.112.67); WHEN: Tue Dec 28 19:50:01 2004 ; MSG SIZE rcvd: 237 Interprtation des resultats: en-tte STATUS NOERROR: 0 ou plusieurs ER returns NXDOMAIN: Domaine non-existent SERVFAIL: cache ne peut trouver la rponse FLAGS AA: Authoritative answe

26、r(rponse autoritaire) Vous pouvez ignorer les autres QR: Requte or Rponse (1 = Rponse) RD: Recursion Desired(rcursion dsire) RA: Recursion Available(rcursion disponible) ANSWER: nombre de ER dans la rponseInterprtation des resultats Answer section (ER recherchs) Chaque enregistrement un TTL ( Time T

27、o Live) Qui indique pendant combien de temps le cache peut le gard Authority section Les NS autoritaires pour ce domaine Additional section Plus de ERs (gnralement des adresses IP des NS autoriatires) Total query time Vrifier quel serveur a donn le resultat! En cas derreur de frappe, la requte peut aller au serveur par dfautTravaux pratiques dig Tlchargement et installation de BIND Configuration de rndc