DNS (Domain Name System) DNS (Domain Name System

DNS (Domain Name System)
(dns - mar'13)
DNS
(Domain Name System)
Antonio Lioy
< [email protected] >
Politecnico di Torino
Dip. Automatica e Informatica
DNS (Domain Name System)
è il sistema scelto da Internet per mantenere la
corrispondenza nomi - indirizzi
 dominio diretto: nome > indirizzi
 dominio inverso: indirizzo > nomi
 sistema gerarchico e distribuito
 ogni dominio mantiene il DB dei propri host sul
proprio nameserver
 53/udp = query e risposte
 53/tcp = trasferimenti dati "bulk" tra nameserver
 RFC-1034 “Domain names: concepts and facilities”
 RFC-1035 “Domain names: implementation and
specification”

Architettura del DNS
root NS (.)
NS (de.)
(local) NS
utente
NS (it.)
NS
(polito.it.)
NS
(fiat.it.)
cache
DNS
client
© A.Lioy - Politecnico di Torino (2013)
B-1
DNS (Domain Name System)
(dns - mar'13)
I record DNS
A
AAAA
 PTR
 CNAME
 NS
 SOA
 MX
 HINFO
 TXT
 WKS


address (IPv4)
address (IPv6)
nome
alias
nameserver
Start-Of-Authority
mail exchanger
host + O.S.
text
well-known services
Tipi di DNS server
root
 info sui domini di primo livello
 primary
 master per un dominio (definito con SOA)
 secondary
 slave per un dominio (definito con NS)
 forwarder
 inoltra le domande alla gerarchia DNS
 caching
 ricorda le query effettuate

Root nameserver
i root NS mantengono le informazioni sui domini di
primo livello
 tredici root NS (logici):
 A.ROOT-SERVERS.NET.
...
 M.ROOT-SERVERS.NET.
 10 USA, 2 Europa, 1 Giappone
 ... ma 386 server fisici (al 25/1/2014)!
 elenco ufficiale e mappa su

http://root-servers.org/
© A.Lioy - Politecnico di Torino (2013)
B-2
DNS (Domain Name System)
(dns - mar'13)
Primary nameserver
è il NS master di un dominio / rete
è identificato tramite il record SOA
 è quello su cui effettuare le modifiche


Record SOA (Start Of Authority)

formato:
nome [ TTL ] classe SOA
origine ; hostname del NS
riferimento ; e-mail del gestore
aggiornamento ; scadenze varie
tipicamente classe è IN
l’e-mail viene scritto con “.” al posto di “@”
 "aggiornamento" è espresso da cinque interi
(racchiusi tra parentesi tonde) che indicano
intervalli di tempo in secondi


Campo aggiornamento di SOA
serial
 numero di versione del file
 refresh
 controllo del serial (al reboot dei secondari)
 retry
 tempo prima di riprovare un trasferimento fallito
 expire
 scadenza dei dati
 minimum
 valore di default per il TTL di tutti i dati

© A.Lioy - Politecnico di Torino (2013)
B-3
DNS (Domain Name System)
(dns - mar'13)
Esempio di SOA


il campo serial deve aumentare ad ogni modifica
si suggerisce il formato YYYYMMDDNN che
permette 100 modifiche al giorno fino al 4294:
dovrebbe essere sufficiente :-)
polito.it. IN SOA
ns.polito.it ; hostname del NS
root.ns.polito.it ; e-mail del gestore
(
1997020305; serial
86400
; refresh (1 day)
3600
; retry transfer (1 hour)
604800
; expire (1 week)
172800 ) ; minimum TTL (2 days)
Secondary nameserver
mantiene copia a sola lettura dei dati presi da uno
o più NS primari
 è obbligatorio che ogni primario abbia almeno un
secondario (consigliati due secondari, di cui
almeno uno off-site)
 aggiornamento tra primario e secondari:
 nessun meccanismo immediato automatico
 aggiornamento automatico alla scadenza della
tabella
 possibile aggiornamento manuale (push o pull) da
parte dei sistemisti

Forwarder nameserver
è un NS che effettua le query per conto di un altro
NS che non può (o non vuole) agganciarsi
direttamente al DNS
 in pratica, è un DNS-proxy

local NS
forwarder NS
DNS
DNS client
© A.Lioy - Politecnico di Torino (2013)
B-4
DNS (Domain Name System)
(dns - mar'13)
Caching nameserver


non mantiene nessun tipo di dati
usato solo per le sue funzionalità di caching, come
NS locale fittizio per diminuire il carico di rete
nuova query
DNS
client
caching
NS
cached
query
DNS
cache
Esempio: risoluzione di www.polito.it
Q) nslookup www.polito.it. a.root-servers.net
 A) tutti i NS di "it." (tra cui dns.nic.it)
 Q) nslookup www.polito.it. dns.nic.it.
 A) i tre NS di "polito.it." (tra cui giove.polito.it)
 Q) nslookup www.polito.it. giove.polito.it.

Server: giove.polito.it
Address: 130.192.3.24
Name:
webfarm.polito.it
Address: 130.192.182.33
Aliases: www.polito.it
Procedura non ripetuta fino a scadenza della cache.
Authoritative o no?
le risposte ad una query DNS sono marcate
authoritative quando sono ottenute direttamente
dal server che è SOA per l’informazione richiesta
 risposte non-authoritative tutte le volte che sono
ottenute tramite una cache (l’informazione reale
potrebbe anche essere diversa)

© A.Lioy - Politecnico di Torino (2013)
B-5
DNS (Domain Name System)
(dns - mar'13)
Prestazioni del DNS
le query DNS costituiscono:
 carico di rete
 carico per i server DNS
 ritardo di avvio per le applicazioni (maggiore latenza)
 in particolare attenzione a come si organizzano i NS
per la propria Intranet:
 soluzione 1) primary aziendale gestito in outsourcing
dall’ISP, query continue in rete
 soluzione 2) primary all’ISP, caching NS in azienda
 soluzione 3) primary all’ISP, secondary in azienda
 soluzione 4) primary in azienda, secondary all’ISP

AS112
molte (troppe!) query effettuate per risolvere i nomi
dei nodi delle reti "private" (RFC-1918)
 10.0.0.0/8
 172.16.0.0/12 (ossia 172.16.*.* … 172.31.*.*)
 169.254.0.0/16
 192.168.0.0/16
 si dovrebbe configurare il proprio local NS come
authoritative per tali reti
 oppure seguire le indicazioni del progetto AS112:
 http://public.as112.net/

Server "paranoici"


circa 10% degli indirizzi usati sono illegali
alcuni server applicativi fanno una doppia query al
DNS per verificare l'identità dei client prima
accettarne le richieste
PTR ( 192.168.1.1 )?
server
applicativo
alfa.nasa.gov
DNS
A ( alfa.nasa.gov )?
192.168.1.1
192.168.1.1
© A.Lioy - Politecnico di Torino (2013)
B-6