DNS

Transkrypt

DNS

Sieci Komputerowe
Protokół Domain Name System
Usługa DNS
dr Zbigniew Lipiński
Instytut Matematyki i Informatyki
ul. Oleska 48
50-204 Opole
[email protected]
Specyfikacje Protokołu DNS
DNS, (ang.) Domain Name System.
RFC 1034, 'DOMAIN NAMES - CONCEPTS AND FACILITIES',1987, P. Mockapetris
RFC 1035, 'DOMAIN NAMES - IMPLEMENTATION AND SPECIFICATION', 1987, P. Mockapetris
RFC 1123 'Requirements for Internet Hosts-Application and Support', 1989.
RFC 1886 'DNS Extensions to Support IP Version 6', 1995.
RFC 1995 'Incremental Zone Transfer in DNS', 1996.
RFC 1996 'A Mechanism for Prompt DNS Notification of Zone Changes'.
RFC 2136 'Dynamic Updates in the Domain Name System (DNS UPDATE)'.
RFC 2181 'Clarifications to the DNS Specification', 1997.
RFC 2308 'Negative Caching of DNS Queries (DNS NCACHE)', 1998.
2
Usługa tłumaczenia nazw na adresy IP
W początkowej fazie rozwoju sieci ARPANET usługa zamiany nazw hostów na adresy IP
była realizowana za pomocą protokołu FTP.
Plik HOSTS.TXT z danymi (nazwa hosta, adres IP) znajdował się na serwerach Network
Information Center (serwerach NIC).
3
Komponenty systemu DNS
Komponenty systemu DNS (RFC 1034):
•
DOMAIN NAME SPACE, struktura (hierarchia) drzewa nazw w domenach.
•
RESOURCE RECORDS, struktura danych w bazach DNS.
•
NAME SERVERS, serwery nazw, oprogramowanie służące do wykonywania operacji na bazach DNS.
•
RESOLVERS, programy które pośredniczą w komunikacji między programem użytkownika a
serwerami nazw (resolvery znajdują się po stronie klienta i serwera).
Zewnetrzny
serwer nazw
Baza DNS
Program
Uzytkownika
Pytanie
Pytanie
Resolver
Serwer nazw
Odpowiedz
Odpowiedz
Pytanie
Odpowiedz
cache
Baza DNS
Konfiguracja uslugi DNS
4
Przykład. Usługa WWW z systemem DNS
5
Przykład struktury drzewa nazw (domain name space)
MIL
BRL
NOSC
EDU
IN-ADDR
DARPA
UCI
MIT
LCS
ARPA
ISI
SRI-NIC
UDEL
ACC
YALE
ACHILLES
Przyklad struktury drzewa nazw
6
System domenowy (domain system)
System DNS określa:
•
strukturę baz DNS,
•
procedury dostępu do danych znajdujących się w bazach DNS,
•
zasady tworzenia i przechowywania danych w bazach lokalnych (cache),
•
procedury wymiany wiadomości z zewnętrznymi serwerami nazw,
•
procedury administrowania serwerami nazw.
7
Typy wiadomości DNS
Podstawowe typy wiadomości DNS (RFC 1035, RFC 2136):
•
standardowe zapytania (Queries),
kod 0
•
zapytania odwrotne (Inverse Queries),
kod 1
•
zapytania o status (Status Queries),
kod 2
•
uaktualnienia (Updates),
kod 5.
8
Struktura wiadomości DNS Query/Response
Obszary danych w standardowej wiadomości DNS:
•
Nagłówek (Header).
•
Zapytanie (Question). Obszar zawiera dane o nadawcy wiadomości.
•
Odpowiedź (Answer). Obszar zawiera bezpośrednia odpowiedź na zapytanie.
•
Serwery nazw (Authority). Obszar zawiera dane o innych serwerach nazw.
•
Dodatkowe dane (Additional). Obszar zawiera dane wykorzystywane w innych obszarach.
Header
Question
Answer
Authority
Additional
Struktura wiadomosci DNS
9
Header
Struktura obszaru Header
wiadomość Query/Response
Question
Answer
Authority
Additional
10
Struktura obszaru Header, wiadomość Query/Response
Struktura obszaru Header:
Pole: ID. Wielkość 16 bitów. Pole służy do identyfikacji zapytania.
Pola: QR. Wielkość: 1 bit. Pole określa typ wiadomości zapytanie (0) / odpowiedź (1).
Pole: Opcode. Wielkość: 4 bity.
Kod typu zapytania:
0
standardowe zapytanie (Query)
[RFC 1035]
1
zapytanie odwrotne IQuery (Inverse Query) [RFC 1035]
2
zapytanie o status serwera (Status)
3
kod zarezerwowany
4
powiadom (Notify)
[RFC 1996]
5
Uaktualnij (Update)
[RFC 2136]
6-15
kody zarezerwowane.
[RFC 1035]
11
Pola: AA, TC, RD, RA. Wielkość: 1 bit każde pole.
Pole: Z. Wielkość: 3 bity.
Znaczenie pól:
AA
Authoritative Answer - bit stosowany w odpowiedziach, określa czy odpowiadający serwer nazw
jest serwerem nazw dla domeny której dotyczy odpowiedź.
TC
TrunCation. Oznacza ze wiadomość została odrzucona jako zbyt duża.
RD
Recursion Desired. Żądanie odpowiedzi w trybie 'recursive' oznacza, ze serwer nazw nie może
odpowiedzieć przez podanie referencji do innego serwera (musi podać adres IP hosta).
Pole jest opcjonalne.
RA
Recursion Available. Pole oznacza, ze serwer nazw ma zaimplementowana (dopuszcza)
opcje zapytania w trybie 'recursive query'.
Z
Rezerwa na przyszłe zastosowania. Wartość pola = 0 w zapytaniach i odpowiedziach.
12
Pole: RCODE. Wielkość: 4 bit. Pole zawiera kod odpowiedzi (response code).
Wartości pola RCODE:
NOERROR
0 Brak błędu.
FORMERR 1
Serwer nazw nie może zinterpretować żądania z powodu błędnego formatu.
SERVFAIL
Serwer nazw wykrył wewnętrzny błąd podczas obsługi zadania.
2
NXDOMAIN 3
Pewne nazwy które powinny istnieć, nie istnieją.
NOTIMP
4
Serwer nazw nie obsługuje danego typu kodu opcji (pole Opcode).
REFUSED
5
Serwer nazw odmawia wykonanie operacji z powodu bezpieczeństwa.
YXDOMAIN 6
Pewne nazwy które nie powinny istnieć, istnieją.
YXRRSET
7
Pewne rekordy (RR's) które powinny istnieć, nie istnieją.
NXRRSET
8
Pewne rekordy (RR's) które nie powinny istnieć, istnieją.
NOTAUTH
9 Serwer nie ma uprawnień do danej strefy (is not authoritative for the zone named in the Zone Section).
NOTZONE
10 Nazwa użyta w obszarze 'Prerequisite' lub 'Update' nie należy do strefy.
Aktualna i pełna lista wartości pola RCODE jest opisana w RFC 2929 'Domain Name System (DNS)
IANA Considerations'.
13
Pole: QDCOUNT/ZOCOUNT. Wielkość: 16 bitów.
QDCOUNT: Liczba rekordów w obszarze Zapytań (Question).
ZOCOUNT: Liczba rekordów w obszarze Zone (Zone Section).
Pole: ANCOUNT/PRCOUNT. Wielkość: 16 bitów.
ANCOUNT: Liczba rekordów w obszarze odpowiedź.
PRCOUNT: Liczba rekordów w obszarze określającym warunki uaktualniania (Prerequisite Section).
Pole: NSCOUNT/UPCOUNT. Wielkość: 16 bitów.
NSCOUNT: Liczba rekordów w obszarze informacji o serwerach nazw (Authority Section).
UPCOUNT: Liczba rekordów w obszarze uaktualniających dane (Update Section).
Pole: ARCOUNT. Wielkość: 16 bitów.
Liczba rekordów w obszarze dodatkowych danych (Additional section).
14
Struktura obszaru Questions, wiadomość Query/Response
Header
Wiadomość typu Query/Response, struktura obszaru Questions:
Question
Pole: QNAME. Wielkość pola: max. 255 bajtów.
Answer
Pola zawiera nazwę DNs'owa odbiorcy danych.
Authority
Additional
Pole: QTYPE. Wielkość pola: 2 bajty.
Pole zawiera kod typu zapytania.
Wartość pola takie same jak dla pola TYPE.
Pole: QCLASS. Wielkość pola: 2 bajty.
Pole zawiera kod klasy zapytania.
Wartości pola:
IN
Internet
CS
klasa CSNET (nieużywany)
CH
klasa CHAOS
HS
Hesiod
D. Moon, "Chaosnet", A.I. Memo 628, Massachusetts Institute of Technology Artificial Intelligence Laboratory, June 1981.
Dyer, S., and F. Hsu, "Hesiod", Project Athena Technical Plan - Name Service, April 1987.
15
Struktura obszarów Answer, Authority, Additional
Header
NAME
Question
TYPE
Answer
CLASS
Authority
Additional
TTL
RDLENGTH
RDATA
Struktura obszarow Answer, Authority, Additional
Wiadomość Query/Response struktura obszaru Answer, Authority, Additional mają taką samą strukturę.
Liczba rekordów w poszczególnych obszarach jest zapisywana w nagłówku odpowiedzi wiadomości.
Pola w obszarach Answer, Authority, Additional:
NAME
Nazwa domeny której rekord dotyczy [Domain name to which this resource record pertains].
TYPE
(2 bajty)
CLASS
(2 bajty) określa klasę rekordu. Pole określa typ danych w polu RDATA.
TTL
(4 bajty) określa czas (w sekundach) trzymania rekordu w cache'u. Wartość zero (0) oznacza ze
typ rekodu. Pole określa typ danych w polu RDATA.
rekord nie powinien być trzymany w cache.
RDLENGTH (2 bajty) pole określa długość w bajtach pola RDATA.
RDATA
(długość zmienna) pole zawiera informacje o hostach.
16
Struktura obszarów Answer, Authority, Additional
Przykład:
Dla pola TYPE= A, pola CLASS = IN,
pole RDATA zawiera 32 bitowy adres IP (ARPA Internet address).
17
Struktura wiadomości DNS 'Update' (kod 5)
Header
Zone
Bajty
1
2
Prerequisite
ZNAME
Update
ZTYPE
Additional Data
Struktura wiadomosci Update
ZCLASS
Wiadomosc Update.
Struktura pola Zone.
Wiadomość służy do dynamicznego uaktualniania baz DNS (RFC 2136).
Pole: Header. RFC 2136, struktura pola podobna do struktury nagłówka wiadomości DNS, nazwy pól są
zmienione.
Pole: Zone. Pole zawiera nazwę strefy którą wiadomości uaktualnia.
Struktura pola Zone w nagłówku wiadomości 'Update':
Pole: ZNAME.
Pole zawiera nazwę strefy.
Pole: ZTYPE.
Pole zawiera typ strefy (wartość: SOA).
Pole: ZCLASS.
Pole zawiera klasę strefy.
Pole: Prerequisite. Pole zawiera rekordy które muszą (lub nie mogą) istnieć aby dane mogły być uaktualnione.
Pole: Update. Pole zawiera rekordy które muszą być uaktualnione lub usunięte.
18
Pole: Additional Data. Pole zawiera dane uzupełniające.
Struktura wiadomości DNS 'Inverse query' (kod 1)
Zapytania odwrotne zawierają pytanie o nazwę domeny danego hosta (odwzorowują adres IP
hosta na nazwę DNS'owa hosta).
Zapytania odwrotne nie muszą być implementowane w serwerach nazw.
Header:
OPCODE=IQUERY, ID=997
Question:
<pole puste>
Header:
OPCODE=RESPONSE, ID=997
Question:
QTYPE=A, QCLASS=IN, QNAME=VENERA.ISI.ED
Answer: <nazwaDNS> A IN 10.1.0.52
Answer: VENERA.ISI.EDU A IN 10.1.0.52
Authority:
<pole puste>
Authority:
<pole puste>
Additional:
<pole puste>
Additional:
<pole puste>
Zapytanie: Inverse query
Odpowiedz: Inverse query
19
Protokół DNS. Warstwa transportowa.
W warstwie transportowej modelu OSI protokół DNS wykorzystuje:
•
protokół UDP, port serwera DNS 53,
•
protokół TCP, port 53 do transferu informacji o strefach między serwerami nazw.
Wiadomości przesyłane w protokole UDP mogą mieć max. wielkość 512 bajtów bez nagłówka IP, UDP.
Protokół UDP stosowany jest do standardowych zapytań do serwera nazw.
Do transferu informacji o strefach serwery nazw powinny stosować protokół TCP.
20
Przykład zapytania i odpowiedzi DNS
Header:
OPCODE=SQUERY
Question:
QNAME=SRI-NIC.ARPA., QCLASS=IN, QTYPE=A
Answer:
<empty>
Authority:
<empty>
Additional:
<empty>
Zapytanie DNS (Query)
Header:
O P C O D E = S Q UE R Y , R E S P O N S E , AA
Q uestion:
Q N AM E = S R I-N IC .AR P A., Q C LAS S = IN , Q TY P E = A
Answer:
S R I-N IC .AR P A.
Authority:
< empty>
Additional:
< empty>
86400 IN A 26.0.0.73
86400 IN A 10.0.0.51
O dpowiedz D N S (R esponse)
21
Baza DNS
Rozproszona baza DNS posiada informacje o:
nazwach hostów, nazwach sieci w Internecie i ich adresach IP.
Główna baza DNS Internetu (root DNS database) jest zarządzana przez Internet Network
Information Center, http://www.internic.com
22
Format rekordów DNS (RR's)
Format rekordów (RRs - Resource Records) w bazie DNS:
Pole: NAME. Wielkość: max. 255 bajtów. Pole zawiera pełną (dns'owa ) nazwa hosta.
Pole: TYPE. Wielkość: 2 bajty. Pole określa typ rekordu.
Pole: CLASS. Wielkość: 2 bajty. Pole określa klasę rekordu, tzn. kod rodziny protokołów lub kod protokołu.
Pole: TTL. Wielkość: 4 bajty. Liczba (signed integer) określająca okres trzymania rekordu w pomięci cache'u
(czas wyrażony w sekundach).
Pole: RDLENGTH. Wielkość: 2 bajty. Liczba określa długość (w bajtach) pola RDATA.
Pole: RDATA. Wielkość: zmienna. Pole zawiera dane informacyjne o źródle informacji (długość pola zależy od
wartości pól TYPE, CLASS).
23
Wartości pola TYPE:
A
adres hosta (host address)
NS
nazwa autoryzowanego serwera nazw (authoritative name server)
MD
mail destination (Obsolete - use MX)
MF
mail forwarder (Obsolete - use MX)
CNAME
canonical name of an alias
SOA
marks the start of a zone of authority
MB
mailbox domain name (EXPERIMENTAL)
MG
mail group member (EXPERIMENTAL)
MR
mail rename domain name (EXPERIMENTAL)
NULL
null RR (EXPERIMENTAL)
WKS
well known service description
PTR
wskaźnik do innej domeny (domain name pointer)
HINFO
informacja o hoście (host information)
MINFO
mailbox or mail list information
MX
mail exchange
TXT
text strings
Struktura danych dla poszczególnych typów (wartości pola TYPE) opisana jest w RFC 1035.
24
Wartości pola 'CLASS':
IN
Internet
CS
CSNET class (nieużywany)
CH
CHAOS class
HS
Hesiod
Typy rekordów w polu 'RDATA:
A
dla klasy IN, 32 bitowy adres IP. Dla klasy CH, nazwa domeny i 16 bitowy adres Chaos
CNAME
nazwa domeny
MX
16 bitowa wartość preferencji (niższa wartość oznacza wyższą preferencje) i nazwa
hosta - serwera mailowego domeny
NS
nazwa hosta
PTR
nazwa domeny
SOA
pole typu SOA zawiera parametry rekordów.
Przykład: Rekord RDATA, type=HINFO.
Pole: CPU. Pole określa typ procesora hosta.
Pole: OS.
Pole określa typ systemu operacyjnego hosta.
25
Przykład: Rekord RDATA, type=SOA.
Pola rekordu:
MNAME
<domain-name> of the name server that was the original or primary source of data for this zone.
RNAME
<domain-name> which specifies the mailbox of the person responsible for this zone.
SERIAL
The unsigned 32 bit version number of the original copy of the zone. Zone transfers preserve this
value. This value wraps and should be compared using sequence space arithmetic.
REFRESH 32 bit time interval before the zone should be refreshed.
RETRY
32 bit time interval that should elapse before a failed refresh should be retried.
EXPIRE
32 bit time value that specifies the upper limit on the time interval that can elapse before the zone
is no longer authoritative.
26
Przykład: rekord tyu MX.
ISI.EDU.
MX
VENERA.ISI.EDU.
VAXA.ISI.EDU.
10
VENERA.ISI.EDU.
MX
10
A
128.9.0.32
A
10.1.0.52
A
10.2.0.27
A
128.9.0.33
IN
A
10.0.0.44
CH
A
MIT.EDU. 2420
C.ISI.EDU
VAXA.ISI.EDU.
Przykład:
XX.LCS.MIT.EDU.
Przykład: Rekord typu CNAME (alias).
USC-ISIC.ARPA
IN
CNAME
C.ISI.EDU IN
A
10.0.0.52
27
Usługa DNS
Protokół DNS wykorzystywany jest przez usługę DNS, (ang.) Domain Name System Service.
Domain Name System jest hierarchiczna, rozproszoną bazą danych.
System DNS definiuje:
•
schemat baz DNS,
•
mechanizm zapytań i uaktualniania danych w bazach DNS,
•
mechanizm replikacji danych między bazami.
Usługa DNS pozwala użytkownikom sieci na posługiwanie się do lokalizacji sieci, hostów, usług nazw
dns’owych ('naturalnych’ nazw i adresów) zamiast adresów IP.
Usługa DNS służy do tłumaczenia nazw sieci (nazw domen), dns’owych nazw hostów, dns’owych
adresów serwerów usług na ich adresy IP.
Usługa DNS została zaimplementowana:
•
w systemie UNIX BSD 4.3, jako BIND, (ang.) Berkeley Internet Name Domain
•
w 1984 w systemie Windows NT Server 4.
28
Domena DNS
Usługa DNS wprowadza hierarchie nazw dla sieci, podsieci w Internecie.
Hosty, podsieci, sieci grupowane są w domeny.
Domena - jest zbiorem hostów, zbiorem sieci charakteryzujących się wspólnymi zasadami
zarządzania, zasadami bezpieczeństwa, wspólną nazwą.
Nazwa domeny - to ciąg nazw poszczególnych obszarów w hierarchii domeny oddzielonych kropkami.
Przykład: Nazwa domeny.
math.uni.opole.pl
Nazwa hosta w domenie math.uni.opole.pl o netbiosowej nazwie host1.
host1.math.uni.opole.pl
29
Obszar Nazw, Strefy DNS
Obszar nazw DNS (DNS namespace) - jest to zbiór nazw w systemie DNS.
Domeny (i ich nazwy) posiadają strukturę hierarchiczną. Na szczycie hierarchii znajduje się domena główna
(root domain). Informacja o domenach jest zawarta w rozproszonej bazie, znajdujących się na serwerach
nazw (name servers).
Strefa
- (ang.) zone, podzbiór obszaru nazw DNS zarządzany przez jeden serwer nazw.
Domena DNS'owa podzielona jest na 'poddomeny' - strefy.
Każda strefa posiada swoją strefową domenę główną (zone root domain).
30
Domeny w systemie DNS
Przykłady domen geograficznych:
pl - Polska, us - USA, uk - Wielka Brytania, tw - Taiwan, eu - Europa
Przykłady domen organizacyjnych:
com - firmy komercyjne
edu - instytucje naukowe
gov - instytucje rzadowe
mil - organizacje wojskowe
net - organizacje związane z siecią Internet
int
- międzynarodowe organizacje rządowe i pozarządowe
org - pozostałe organizacje
num - numery telefonów.
31
Replikacja systemie DNS
Każda strefa ma swój główny serwer nazw - 'master name server'.
Dane o strefie na serwerze 'master' są danymi pierwotnymi, tzn. są uaktualniane na podstawie
zmian w strefie.
Informacja o danej strefie jest replikowana na inne serwery nazw, ale dane o tej strefie na innych
serwerach są danymi wtórnymi, tzn. dane są uaktualniane poprzez replikację z serwera master.
32
Proces odnajdywania adresu IP
Proces rozwiązywania adresów IP:
•
klient DNS na hoście X szuka adresu IP hosta Y, znając jego nazwę dns'ową,
•
klient DNS wysyła zapytanie 'dns query' do serwera usługi DNS,
•
serwer DNS przegląda swoja bazę DNS w celu znalezienia adresu IP hosta lub komunikuje się z
innymi serwerami DNS,
•
serwer DNS zwraca informacje o adresie IP do klienta DNS.
Serwery nazw wysyłają zapytania w formie iterative query, tzn. odpowiedź może zawierać:
•
referencje do innego serwera nazw lub
•
adres IP szukanego hosta.
Resolvery wysyłają zapytania w formie recursivie query, tzn. odpowiedz musi zawierać adres IP
szukanego hosta, nie może zawierać referencji do innego serwera nazw.
33
Nazwy skrzynek pocztowych w systemie DNS
Elementem systemu DNS jest funkcja odwzorowywania nazw skrzynek pocztowych (mailboxes) na nazwy
domenowe hostów (RFC 1035).
Systemu DNS pozwala również na uzyskiwanie informacji o routingu wiadomości elektronicznych (maili).
Istnieją dwie metody uzyskiwania informacji o routingu:
•
metoda ‘mail exchange binding’
•
metoda ‘mailbox binding’ (eksperymentalna).
Standard zapisu adresu skrzynki pocztowej (mailbox encoding standard) jest następujący:
<local-part>@<mail-domain>
<local-part>@<mail-domain>.
Część <local-part> jest odwzorowywana na unikalną nazwę w domenie
Część <mail-domain> jest odwzorowywane na nazwę domeny.
Przykład:
Skrzynka pocztowa
jest odwzorowywana na nazwę domenową
[email protected]
HOSTMASTER.SRI-NIC.ARPA.
Przykład: Nazwa skrzynki pocztowej zawiera kropki.
Skrzynka pocztowa
[email protected]
jest odwzorowywana na nazwę
Action.domains.ISI.EDU
34
Metoda ‘mail exchange binding’
Istotą metody ‘mail exchange binding’ jest wykorzystanie części <mail-domain> do znajdowania rekordów
w bazie DNS typu MX, rekordy typy MX zawierają informacje o hostach które mogą przyjmować maile
wysyłane na adres <mail-domain>.
Przykład:
Gdy w domenie ISI.EDU (<mail-domain>) są dwa hosty które mogą przesyłać maile (serwery pocztowe)
VENERA.ISI.EDU i VAXA.ISI.EDU.
Dla wiadomości wysłanej na adres [email protected], będą sprawdzane rekordy typu MX dla domeny
ISI.EDU.
Rekordy typu MX (MX RRs) na serwerze nazw w domenie ISI.EDU zwierają nazwe VENERA.ISI.EDU i
VAXA.ISI.EDU.
Zapytanie do serwera nazw typu A zwróci adres IP hosta (serwera mailowego).
35
Rozszerzenia DNS dotyczące bezpieczeństwa
Usługi, rozszerzenia protokołu DNS dotyczące bezpieczeństwa:
•
dystrybucja kluczy publicznych (key distribution)
•
autentykacja źródeł danych (data origin authentication)
•
autentykacja transakcji i zapytań (transaction and request authentication).
Zagadnienia zabezpieczenia poufności danych (szyfrowania pakietów) realizowane są w
warstwie sieci modelu OSI poprzez usługę, protokół IPSec.
36
Dystrybucja Kluczy Publicznych w systemie DNS
Format wiadomości DNS został zmodyfikowany aby umożliwić przyporządkowanie nazwy hosta do klucza
publicznego.
Rekord 'KEY resource record' ( KEY RR) zawiera klucz publiczny należący do określonej nazwy DNS (nazwa
strefy, hosta, użytkownika).
Wartość pola typ dla rekordu KEY RR wynosi 25.
Struktura pola RDATA dla rekordu typu KEY RR:
Pole: Flags. Wielkość pola: 2 bajty.
Pole: Protocol. Wielkość pola: 1 bajt.
Pole: Algorithm. Wielkość pola: 1 bajt.
Pole: Public key. Wielkość pola: .
Wartości pola 'Protocol':
0 - zarezerwowane, 1 – TLS, 2 - email, 3 - dnssec, 4 - IPSEC, 5-254 zarezerwowane dla IANA, 255 - wszystkie.
Wartości pola 'Algorithm':
0 - zarezerwowane, 1 - RSA/MD5 [RFC 2537], 2 - Diffie-Hellman [RFC 2539],
3 - DSA [RFC 2536], 4- zarezerwowane dla szyfrowania za pomocą krzywych eliptycznych,
5-251 dostępne, 252 - zarezerwowane dla kluczy nie bezpośrednich (indirect keys),
253 - prywatne obszary domen, 254 - prywatne - OID, 255 - zarezerwowane.
37
Identyfikacja Źródeł Danych
Identyfikacja (autentykacja) źródeł danych w systemie DNS jest realizowana przez zastosowanie cyfrowych
podpisów (digital signatures) stosowanych do zbiorów rekordów w bazie DNS.
Każda strefa (nie serwer nazw) powinna posiadać swój prywatny klucz do podpisywania zbiorów rekordów.
Klucz publiczny przechowywany jest na serwerze DNS.
Szczegółowe informacje o identyfikacja źródeł danych zawarte są w RFC 2535, 'Domain Name System
Security Extensions'.
38
Identyfikacja Transakcji i Zapytań
Identyfikacja zapytań jest realizowana w systemie DNS poprzez zastosowanie podpisu każdego
zapytania (dodanie rekordu SIG RR).
39
Rozszerzenie DNS na IPv6
RFC 1886 'DNS Extensions to Support IP Version 6', 1995.
RFC 2874, 'DNS Extensions to Support IPv6 Address Aggregation and Renumbering'.
Rozszerzenie protokołu DNS na obsługę protokołu IPv6 polega na:
•
stworzenie nowego typu rekordu (resource record) służącego do rozwiązywania nazw na adresy IPv6.
•
stworzenie nowej domeny IP6.ARPA dla zapytań odwrotnych (zapytań o domenę na podstawie
adresu IPv6).
•
Modyfikacja zapytań DNS tak aby obsługiwały adresy IPv4 i IPv6. Dodano nowy typ rekordu (resource
record) A6 - host addres dla obsługi protokołu IPv6, wartość pola typ = 28.
40
Narzędzie: nslookup
RFC 1739, 'A Primer On Internet and TCP/IP Tools and Utilities', 1997.
Składnia:
nslookup [_option ...] [computer-to-find | _ [server]]
Opcje:
computer-to-find
If computer-to-find is an IP address and the query type is host or PTR, the
name of the computer is returned. If computer-to-find is a name and does not
have a trailing period, the default DNS domain name is appended to the name.
To look up a computer outside of the current DNS domain, append a period to
the name. If a hyphen (-) is typed instead of computer-to-find,
the command prompt changes to NSLOOKUP interactive mode.
server
Use this server as the DNS name server. If the server is omitted, the currently
configured default DNS server is used.
41

DNS

Transkrypt

Podobne dokumenty

Konfiguracja protokołu TCP/IP dla Windows 2000/XP/2003

Konfiguracja DNS Windows Vista

Już śpieszę z wyjaśnieniami. Jakiś czas temu adres

Filtracja – ponowne zapytanie