DNS. Sébastien JEAN. Objectifs : 1. Présenter les bases du système de gestion de noms

Transcription

1 DNS Objectifs : 1. Présenter les bases du système de gestion de noms Sébastien JEAN

2 Introduction Au niveau réseau les machines sont désignées uniquement par des adresses IP Au niveau des applications, il est plus pratique de désigner des les machines hébergeant les services réseaux par des noms par exemple ou uranium.inrialpes.fr Problèmes : Les noms doivent être uniques un nom = une adresse IP (mais à une IP on peut associer plusieurs nom = alias) Comme les noms n existent pas au niveau réseau, il faut pouvoir convertir un nom en adresse Solution : le DNS (Domain Name System) RFC 1034, 1035 S.JEAN, avr 2006, v1.3 DNS 2

3 DNS en bref DNS est un système de gestion de noms il permet d enregistrer des associations {nom, IP} Il permet de rechercher l adresse IP associée à un nom DNS est distribué personne n a localement connaissance de tous les noms dont environ de sites web (source Netcraft, hôtes sur Internet en juillet 2004 (source ISC (http://www.isc.org)) à raison de 100 octets par association (nom, IP) cela équivalait à 16 Go de données! La connaissance est répartie sur tous les nœuds du système et il existe des mécanismes de cache d informations DNS est hiérarchique le système est structuré en arbre, chaque nœud de l arbre étant responsable de la gestion des sous-arbres dont il est racine S.JEAN, avr 2006, v1.3 DNS 3

4 Analogie avec les systèmes de fichiers 1/2 Structure arborescente com fr edu st inrialpes fr / Système de fichiers UNIX uranium Base de données du DNS home usr bin dev baz local usb bin S.JEAN, avr 2006, v1.3 DNS 4

5 Analogie avec les systèmes de fichiers 2/2 Formation des noms uranium.inrialpes.fr. com fr edu st inrialpes fr /home/baz / Système de fichiers UNIX uranium Base de données du DNS home usr bin dev baz local usb bin S.JEAN, avr 2006, v1.3 DNS 5

6 Espace de nommage 1/4 DNS définit un espace de nommage, structuré en arbre Racine (root) la racine possède un nom vide Au maximum 127 niveaux com fr edu st inrialpes fr Au maximum 63 caractères pour le nom d un noeud Au maximum 255 caractères pour le nom complet d un hôte uranium Nom complet qualifé (ou nom absolu) (FQN, Fully Qualified Name) = chemin complet jusqu à la racine uranium.inrialpes.fr. S.JEAN, avr 2006, v1.3 DNS 6

7 Espace de nommage 2/4 Non ambiguïté des noms com fr edu st inrialpes fr uranium uranium Deux frères ne peuvent pas avoir le même nom S.JEAN, avr 2006, v1.3 DNS 7

8 Espace de nommage 3/4 Domaines et sous-domaines Un domaine est un sous-arbre de l espace de nommage Il est identifié par le nom absolu de sa racine com fr edu st domaines de 1er niveau inrialpes fr domaines de 2nd niveau uranium domaine fr. domaine inrialpes.fr. (sous-domaine de fr.) S.JEAN, avr 2006, v1.3 DNS 8

9 Espace de nommage 4/4 Informations associées aux noms : structures de données normalisées Les feuilles de l arbre sont des hôtes on leur associe plutôt des adresses IP Les nœuds internes sont des domaines et/ou des hôtes com fr edu st inrialpes fr informations sur le domaine inrialpes.fr IP de la machine S.JEAN, avr 2006, v1.3 DNS 9

10 Espace de nommage Internet 1/2 Domaines de niveau supérieur génériques (generic Top-Level Domain, gtld) com edu mil gov net org int arpa organisations commerciales organisations militaires des US organisations travaillant sur les réseaux organisations internationales organisations universitaires organisations gouvernementales des US organisations non commerciales dédié à Arpanet organisations commerciales S.JEAN, avr 2006, v1.3 DNS 10

11 Espace de nommage Internet 2/2 Il existe d autres domaines de niveau supérieur un pour chaque région géographique nom = 2 lettres ex : fr pour la France, ck pour l archipel de Cook, dk pour le Danemark l ICANN (http://www.icann.org) est l organisme responsable de la gestion des noms de domaines elle délègue en général à des tiers pour chaque pays l AFNIC pour la France S.JEAN, avr 2006, v1.3 DNS 11

12 Zones, serveurs et délégation 1/2 Chaque domaine est découpé en zones une zone est un espace de gestion de nom géré par un serveur de nom on dit qu il fait autorité sur la zone il gère les noms pour cette zone enregistrement recherche (on parle de résolution DNS) informations de zone l implémentation du DNS s exécutant sur les serveurs de nom est le plus souvent BIND Délégation fr zone fr. un serveur peut gérer tout un domaine, mais il peut aussi déléguer entièrement ou en imag inrialpes zone inrialpes.fr. partie la gestion des sous-domaines zone imag.fr. uranium domaine fr. S.JEAN, avr 2006, v1.3 DNS 12

13 Zones, serveurs et délégation 2/2 fr zone fr. Exemples avec et sans délégation fr zone fr. imag inrialpes zone inrialpes.fr. imag inrialpes zone imag.fr. uranium domaine fr. imag fr inrialpes zone fr. zone inrialpes.fr. uranium domaine fr. uranium domaine fr. S.JEAN, avr 2006, v1.3 DNS 13

14 Redondance des serveurs 1/2 Si le serveur contrôlant la zone tombe en panne, le DNS n est plus accessible pour cette zone résolution impossible résolution possible zone imag.fr. imag fr X inrialpes zone fr. zone inrialpes.fr. domaine fr. Chaque serveur est en général dupliqué, pour assurer la tolérance aux fautes ou l équilibrage de charge S on parle de serveur maître ou principal et de serveurs esclaves ou secondaires M S S.JEAN, avr 2006, v1.3 DNS 14

15 Redondance des serveurs 2/2 Les serveurs secondaires ont aussi autorité sur la zone Lorsqu un serveur secondaire démarre, il acquiert automatiquement les informations de la zone : on parle de transfert de zone Si le serveur secondaire n a pas d informations de zone, il demande le transfert complet au serveur primaire S M? S M! S M Si le serveur secondaire possède des informations de zone, il demande la validation des informations au serveur primaire M S! M M - S S! S S S S.JEAN, avr 2006, v1.3 DNS 15

16 Résolution DNS 1/2 La résolution de nom est demandée par des clients DNS ou resolvers ils font l interface entre l application qui désigne une machine par son nom (ex. client Telnet) et le DNS Les clients DNS simples (stub resolvers) ne gèrent pas de cache Le protocole de résolution de noms est basé sur l envoi de requêtes en mode déconnecté (UDP, port 53) le transfert de zone entre serveurs est basé sur un protocole en mode connecté (TCP, port 53) Il existe deux modes de résolution mode itératif (par défaut) mode récursif S.JEAN, avr 2006, v1.3 DNS 16

17 Résolution DNS 2/2 Un serveur de nom connaît (= informations de zone) : serveurs de noms de la zone racine - et les noms de toutes les hôtes de sa zone - de tous les serveurs des zones déléguées - des serveurs de noms de la zone racine imag fr inrialpes Chaque serveur de noms possède en plus un cache contenant le résultat des requêtes récentes S.JEAN, avr 2006, v1.3 DNS 17

18 Résolution en mode itératif Lorsqu un serveur de noms reçoit une requête de résolution en mode itératif de la part d un client : il regarde si le nom demandé désigne un hôte de la zone si oui, il extrait le résultat (qui peut être un code d erreur) des informations de zone et le retourne au client sinon, il regarde s il possède déjà le résultat de la requête dans son cache si oui, il retourne le résultat au client sinon, il regarde si le nom demandé désigne un hôte d une zone déléguée si oui, il retourne au client du serveur de nom à contacter sinon, il retourne au client d un des serveurs de nom de la racine Si le client n a pas reçu de la machine demandée mais celle d un serveur de nom, il renvoie une requête en mode itératif au serveur de noms dont a été retournée S.JEAN, avr 2006, v1.3 DNS 18

19 Résolution en mode récursif Lorsqu un serveur de noms reçoit une requête de résolution en mode récursif de la part d un client : idem itératif il regarde si le nom demandé désigne un hôte de la zone si oui, il extrait le résultat (qui peut être un code d erreur) des informations de zone et le retourne au client sinon, il regarde s il possède déjà le résultat de la requête dans son cache si oui, il retourne le résultat au client sinon, il regarde si le nom demandé désigne un hôte d une zone déléguée si oui, il envoie la requête (en tant que client) en mode récursif ou itératif au serveur délégué et retourne le résultat au client lorsqu il l a obtenu sinon, il envoie la requête (en tant que client) en mode itératif à un des serveurs de la zone racine et retourne le résultat au client lorsqu il l a obtenu Les serveurs de la zone racine n autorisent pas de requêtes en mode récursif pour des raisons évidentes d équilibrage de charge : un serveur racine reçoit environ 1000 requêtes/s S.JEAN, avr 2006, v1.3 DNS 19

20 Informations de zone 1/4 Avec BIND, les informations de zone sont stockées dans des fichiers consistant en un ensemble d enregistrement de ressources (RR) en général de nom db.nom de domaine le fichier de configuration de Bind (/etc/named.boot) pointe ces fichiers Un enregistrement de ressource a le format suivant : propriétaire classe type données ; commentaire La classe indique le type d adresse géré par le DNS (IN pour Internet) Les type de ressources sont les suivants : SOA : serveur primaire (Start Of Authority) NS : liste des serveurs de noms faisant autorité (primaire+secondaires) A : correspondance adresse/nom PTR : correspondance nom/adresse (pour résolution inverse) CNAME : alias (Canonical Name) S.JEAN, avr 2006, v1.3 DNS 20

21 Informations de zone 2/4 Enregistrement SOA de l administrateur du domaine est remplacé par un point. inrialpes.fr. IN SOA if.inrialpes.fr. postmaster.inrialpes.fr ( nom de la zone nom du serveur de nom primaire 1 3h 1h 1w 1h) numéro de série délai entre 2 transferts de zone délai de réessai en cas d échec du transfert durée de vie des informations de zone sur les serveurs secondaires durée de vie dans les caches des requêtes erronées S.JEAN, avr 2006, v1.3 DNS 21

22 Informations de zone 3/4 Enregistrement NS nom de la zone nom du serveur de nom inrialpes.fr. IN NS if.inrialpes.fr. inrialpes.fr. IN NS ebene.inrialpes.fr. inrialpes.fr. IN NS imag.imag.fr. Enregistrement A nom de la localhost.inrialpes.fr. IN A proton.inrialpes.fr. IN A uranium IN A Attention : un nom terminé par un point est un nom absolu (depuis la racine) un nom non terminé par un point est relatif à la zone ici uranium équivaut à uranium.inrialpes.fr. S.JEAN, avr 2006, v1.3 DNS 22

23 Informations de zone 4/4 Enregistrement CNAME une machine peut avoir un nombre quelconque de nom un nom principal et des alias de ce nom nom de l alias «vrai nom» sardes.inrialpes.fr. IN CNAME proton.inrialpes.fr. www-sardes.inrialpes.fr. IN CNAME proton.inrialpes.fr. Enregistrement PTR représentation des adresses = octets dans l ordre inverse suivis de.in-addr.arpa. «adresse IP» nom in-addr.arpa. IN PTR proton.inrialpes.fr in-addr.arpa. IN PTR uranium.inrialpes.fr. utilisés pour la résolution inverse (ip vers nom) dans un fichier spécifique (nom = du réseau) adresses gérées via le domaine spécial in-addr.arpa. S.JEAN, avr 2006, v1.3 DNS 23

24 Adresses IP des serveurs racine Chaque serveur de nom doit avoir une copie du fichier named.conf définissant les adresses des 13 serveurs racine ce fichier est téléchargeable sur ftp.rs.internic.net (répertoire domain) ; This file holds the information on root name servers needed to ; initialize cache of Internet domain name servers ; (e.g. reference this file in the "cache. <file>" ; configuration file of BIND domain name servers). ; ; This file is made available by InterNIC ; under anonymous FTP as ; file /domain/named.root ; on server FTP.INTERNIC.NET ; -OR- RS.INTERNIC.NET ; ; last update: Jan 29, 2004 ; related version of root zone: ; ; formerly NS.INTERNIC.NET ; IN NS A.ROOT-SERVERS.NET. A.ROOT-SERVERS.NET A ; ; formerly NS1.ISI.EDU ; NS B.ROOT-SERVERS.NET. B.ROOT-SERVERS.NET A S.JEAN, avr 2006, v1.3 DNS 24

25 Outil host (remplace nslookup) : appel local au resolver >host uranium.inrialpes.fr uranium.inrialpes.fr has address >host v uranium.inrialpes.fr mode «bavard» Trying "uranium.inrialpes.fr" ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8154 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 3 ;; QUESTION SECTION: ;uranium.inrialpes.fr. IN A ;; ANSWER SECTION: uranium.inrialpes.fr IN A ;; AUTHORITY SECTION: inrialpes.fr IN NS imag.imag.fr. inrialpes.fr IN NS ebene.inrialpes.fr. inrialpes.fr IN NS if.inrialpes.fr. ;; ADDITIONAL SECTION: if.inrialpes.fr IN A imag.imag.fr IN A ebene.inrialpes.fr IN A Received 191 bytes from #53 in 1 ms Information recherchée Serveurs de noms faisant autorité IP des serveurs de noms IP du serveur de nom ayant renvoyé la réponse S.JEAN, avr 2006, v1.3 DNS 25

26 Outil whois : obtention d informations sur un domaine > whois inrialpes.fr %% %% This is the AFNIC Whois server. %% %% Rights restricted by copyright. %% See %% %% Ask "help" to obtain more information about this service. %% %% [YOUR REQUEST] >> inrialpes.fr %% domain: inrialpes.fr address: INRIA Rhone-Alpes address: 46, avenue Felix Viallet address: Grenoble Cedex address: FR admin-c: LS283-FRNIC tech-c: LS283-FRNIC tech-c: IA252-FRNIC zone-c: NFC1-FRNIC nserver: if.inrialpes.fr nserver: ebene.inrialpes.fr nserver: imag.imag.fr mnt-by: FR-NIC-MNT mnt-lower: FR-NIC-MNT changed: source: FRNIC person: Luc Saccavini address: INRIA Rhone-Alpes address: 655, avenue de l'europe address: Montbonnot-Saint-Martin address: FR phone: fax-no: liste-r: N nic-hdl: LS283-FRNIC notify: changed: changed: source: FRNIC person: Isabelle Allegret address: INRIA - UR RHONE-ALPES address: 46, rue Felix Viallet address: Grenoble Cedex address: FR phone: fax-no: liste-r: N nic-hdl: IA252-FRNIC notify: changed: changed: source: FRNIC role: NIC France Contact S.JEAN, avr 2006, v1.3 DNS 26

27 Linux : fichiers de configuration du client Localement à une machine Linux/Unix plusieurs fichiers de configuration sont liés à la gestion des noms /etc/hosts : définit des machines connues localhost localhost.localdomain proton proton.inrialpes.fr /etc/resolv.conf : définit la zone et les serveurs à utiliser pour la résolution search inrialpes.fr nameserver nameserver /etc/host.conf : spécifie l ordre de recherche pour la résolution order hosts, bind S.JEAN, avr 2006, v1.3 DNS 27

28 FIN! S.JEAN, avr 2006, v1.3 DNS 28