Client/Serveur protocoles internet

Transcription

1 Client/Serveur protocoles internet DNS un annuaire distribué des adresses de l Internet Fabien Rico (fabien.rico@univ-lyon1.fr) Olivier Glück Univ. Claude Bernard Lyon 1 séance 3 c O.Glück & F.Rico (U.C.B.L.) Client/Serveur séance 3 1 / 27

2 Introduction DNS : Domain Name System Quels mécanismes entrent en jeux quand vous demandez à voir la page c O.Glück & F.Rico (U.C.B.L.) Client/Serveur séance 3 2 / 27

3 Introduction DNS : Domain Name System Les ordinateurs ont plusieurs identifiants : Nom rôles : le serveur web de l université lyon 1 (World Wide Web). ntp.univ-lyon1.fr le serveur de synchronisation d horloge de l université (Network Time Protocol). Adresse lieux : Un même nom peut correspondre à plusieurs adresses équilibrage de charge, service différent selon l endroit. Une même adresse peut correspondre à plusieurs noms : service différent, machine virtuelle, hébergement web. Problème résolu par le DNS : Comment relier les adresses IP utilisées pour acheminer les paquets aux noms utilisés par les utilisateurs ou les applications? c O.Glück & F.Rico (U.C.B.L.) Client/Serveur séance 3 3 / 27

4 Introduction DNS : Domain Name System C est une base de données distribuée implantée dans une hiérarchie de serveurs de noms. C est un protocole applicatif les hôtes, routeurs, serveurs de noms communiquent pour effectuer la traduction ; DNS est utilisé par d autres protocoles applicatifs comme SMTP... ; modèle Client/Serveur : un émetteur interroge un serveur de noms (serveur DNS) ; port 53/UDP (ou 53/TCP pour les mises à jour) ; RFC 1034, 1035, 2181,... c O.Glück & F.Rico (U.C.B.L.) Client/Serveur séance 3 4 / 27

5 Introduction Les services fournis par le DNS Le service principal : la traduction d adresses. Autres services : permettre le Host aliasing : donner un pseudonyme à une machine qui a un nom peu parlant ; permettre le Mail server aliasing : un serveur Web et un serveur Mail peuvent avoir le même pseudonyme même s ils n ont pas la même adresse IP (2 machines ) ; permettre la répartition de la charge : un nom de serveur Web ou Mail peut correspondre à plusieurs adresses IP (serveurs Web ou Mail répliqués) avec un système de rotation dans les réponses du serveur DNS Pour l utilisateur, le DNS n est qu une boîte noire mais en réalité très compliquée une requête DNS peut impliquer plusieurs serveurs de noms répartis dans le monde entier c O.Glück & F.Rico (U.C.B.L.) Client/Serveur séance 3 5 / 27

6 Système distribué Un système centralisé? Pourquoi n utilise-t on pas un/des annuaire centralisé c O.Glück & F.Rico (U.C.B.L.) Client/Serveur séance 3 6 / 27

7 Système distribué Un système distribué Aucun serveur ne connaît toutes les correspondances nom adresse IP : si un serveur ne connaît pas une correspondance, il interroge un autre serveur jusqu à atteindre le serveur détenant l information désirée. Trois types de serveur DNS : les serveurs de noms locaux (à qui s adressent les requêtes locales) il sont en charge de la résolution ; les serveurs de noms de source autorisée contiennent les correspondances officielles, gère un domaine particulier ; les serveurs de noms racine ceux qui connaissent les serveurs de domaine de premier niveau (.org,.fr,...), aucun système n est prévu pour trouver leur adresse. c O.Glück & F.Rico (U.C.B.L.) Client/Serveur séance 3 7 / 27

8 Système distribué La notion de domaine DNS Un domaine est un sous-arbre entier de l espace de nommage.org.com.net.fr.de.google.univ-lyon1.wikipedia www pedagolinux710 tseetu Example ( TLD :.fr Domaine : univ-lyon1.fr. FQDN : c O.Glück & F.Rico (U.C.B.L.) Client/Serveur séance 3 8 / 27

9 Mécanisme de résolution Exemple de résolution Exemple ( Le client cherche l adresse de Il demande à son serveur local Qui demande à un serveur root qui est autorité pour.fr réponse nsmaster. nic. fr.?? demande à nsmaster.nic.fr. qui est autorité pour réponse dns. univ-lyon1. fr.?? demande à dnsi.univ-lyon1.fr. l adresse de réponse Que se passe-t il la deuxième fois c O.Glück & F.Rico (U.C.B.L.) Client/Serveur séance 3 9 / 27

10 Mécanisme de résolution La notion de domaine DNS Le premier niveau de l arbre : Top Level Domain (TLD) ; géré par l ICANN ( Internet Corporation for Assigned Names and Numbers) ; on distingue deux catégories de TLD les Generic TLD :.com,.org,.gov,.gouv,.net,... les Countries TLD :.fr,.uk,.us,.jp,... (240 en tout) La gestion des autres niveaux est laissée aux entités correspondantes (AFNIC pour.fr) zone DNS : un sous-arbre de l arbre administré séparément par un organisme qui gère la délégation des noms et sous-domaines de la zone c O.Glück & F.Rico (U.C.B.L.) Client/Serveur séance 3 10 / 27

11 Mécanisme de résolution La notion de zone DNS Une zone = une administration centralisée avec au moins un serveur DNS (généralement 1 primaire et 1 secondaire) le secondaire (redondance) met à jour ses données à partir du primaire Une zone doit connaître les adresses des serveurs DNS des zones subordonnées. cri univ-lyon1.fr bat710 Domaine univ-lyon1.fr Zone univ-lyon1.fr Zone bat710.univ-lyon1.fr c O.Glück & F.Rico (U.C.B.L.) Client/Serveur séance 3 11 / 27

12 Mécanisme de résolution La résolution de noms inverse Retrouver le nom canonique à partir de l adresse IP Le domaine arpa : un domaine particulier géré par l ICANN permettant la résolution inverse Résolution www710.univ-lyon1.fr? Résolution inverse in-addr.arpa? c O.Glück & F.Rico (U.C.B.L.) Client/Serveur séance 3 12 / 27

13 Mécanisme de résolution Les différents types de serveur DNS Les serveurs de noms locaux ceux qui répondent aux clients chaque organisation a un serveur de noms local serveur DNS par défaut de la zone contient parfois les correspondances relatives à la zone de l organisation toutes les requêtes DNS en provenance de cette organisation vont vers ce serveur de nom local Les serveurs de noms racine [RFC 2870] ceux qui définissent les rôles il existe aparament 13 serveurs racine dans l Internet (en fait beaucoup plus) chaque serveur DNS local connaît un serveur de noms racine qu il peut interroger s il ne connaît pas une correspondance de premier niveau (.fr.,...) un serveur de noms racine connaît au moins les serveurs de source autorisée du premier niveau c O.Glück & F.Rico (U.C.B.L.) Client/Serveur séance 3 13 / 27

14 Mécanisme de résolution Les différents types de serveur DNS Les serveurs de noms de sources autorisées ceux qui stockent les informations. chaque hôte est enregistré auprès d au moins deux authoritative servers (le primaire et le secondaire), qui stockent son adresse IP et son nom un serveur de noms est dit de source autorisée pour un hôte s il est responsable de la correspondance nom/@ pour cet hôte (serveur primaire de la zone) un serveur de noms local n est pas forcément de source autorisée (ex. bat710.univ-lyon1.fr) Un serveur de noms qui ne connaît pas une correspondance interroge un autre serveur de noms le rapprochant de la réponse, généralement le serveur de noms de source autorisée qui connaît la correspondance Cela fonctionne car les serveurs root connaissent les serveurs de tous les Top Level Domain qui connaissent les serveurs des sous domaines... c O.Glück & F.Rico (U.C.B.L.) Client/Serveur séance 3 14 / 27

15 Mécanisme de résolution Résolution de noms récursive/itérative La requète doit pouvoir être répétée. Requête récursive la machine qui demande la résolution de nom ; contacte un serveur DNS et attend que ce dernier lui retourne la réponse ; si il en a besoin, le serveur demande à un autre serveur ;... Requête itérative le serveur de noms contacté fournit en réponse le nom d un autre serveur DNS à contacter pour avancer dans la résolution ; je ne connais pas ce nom mais demande à ce serveur. c O.Glück & F.Rico (U.C.B.L.) Client/Serveur séance 3 15 / 27

16 Mécanisme de résolution Résolution de noms récursive/itérative Dans le cheminement d une résolution de nom, certaines requêtes peuvent être itératives, d autres récursives Généralement les requêtes sont toutes récursives sauf celles entre le serveur de noms local et le serveur de noms racine Permet de moins solliciter les serveurs racine d après wikipedia de requètes à traiter par jour (en 2007) 2% sont des requètes valides (étude de 2002) c O.Glück & F.Rico (U.C.B.L.) Client/Serveur séance 3 16 / 27

17 Mécanisme de résolution La mise en mémoire cache DNS Idée générale des caches : réduire le temps de réponse (diminue le nombre de messages nécessaires à la résolution) réduire la charge des serveurs (diminue le nombre de serveurs à contacter) Le serveur de noms (quelconque) stocke dans son cache les informations récentes (en particulier les enregistrements de type NS) À la prochaine demande, il peut répondre directement Attention les données expirent du cache après un certain temps TTL (environ 2 jours) un serveur qui mémorise dans son cache un enregistrement DNS n a pas autorité dessus = spécifie no authoritative dans la réponse c O.Glück & F.Rico (U.C.B.L.) Client/Serveur séance 3 17 / 27

18 Message DNS Les messages DNS [RFC 1034, 1035] Un message de réponse DNS contient un ou plusieurs RR (Resource Record) l unité de stockage d une correspondance dans le cache RR = (Nom, Type, Classe, TTL, Valeur) Type (16 bits) : type de l enregistrement ; la signification de Nom (N octets) et Valeur dépend du type Classe (16 bits) : famille de protocoles ; Classe=1 pour Internet (IN) TTL (32 bits) : temps en secondes pendant lequel il faut conserver l enregistrement dans le cache Valeur = RDLENGTH (16 bits) + RDATA (N octets) Un message de requête DNS contient des questions du type (Nom, Type, Classe) c O.Glück & F.Rico (U.C.B.L.) Client/Serveur séance 3 18 / 27

19 Message DNS Les messages DNS [RFC 1034, 1035] Un unique format pour les Requêtes/Réponses 12 octets d en-tête DNS un identifiant qui permet au client d associer la réception d une réponse à une requête formulée les fanions : 2 octets QR : 0 si requête, 1 si réponse OPCODE (4 bits) : 0 (QUERY), 1 (Inverse QUERY),... AA : 1 si le serveur de noms qui répond a autorité sur la réponse sollicitée TC : le message a été tronqué utiliser TCP RD : 1 dans la requête si le client souhaite que le serveur de noms effectue une récursion s il ne dispose pas de la traduction demandée RA : 1 dans la réponse si le serveur de noms contacté assure la récursion AD et CD (dans Z) : Authentic Data et Checking Disabled (DNS- SEC) RCODE (4 bits) : 0 (pas d erreur), 3 (Name error), 5 (Refused),... c O.Glück & F.Rico (U.C.B.L.) Client/Serveur séance 3 19 / 27

20 Message DNS Les messages DNS [RFC 1034, 1035] Les messages ont un type Type=A (val=1) : sert à décrire une correspondance Nom=nom d hôte (canonique), Value=@IPv4 Type=AAAA (val=28, RFC 1886) : idem mais adresse IPv6 Nom=nom d hôte, Value=@IPv6 Type=PTR (val=12) : sert à la résolution inverse Nom=un nom de la zone arpa, Value=nom canonique (valeur pointée) Type=NS (val=2) : sert à associer un nom de domaine à un serveur de noms de source autorisée Nom=domaine, Value=nom du serveur de noms Type=CNAME (val=5) : sert à définir un alias pour un hôte Nom=un alias, Value=nom canonique (le vrai nom) c O.Glück & F.Rico (U.C.B.L.) Client/Serveur séance 3 20 / 27

21 Message DNS Les messages DNS [RFC 1034, 1035] Type=MX (val=15) : alias réservés aux serveurs mail permettant d associer plusieurs serveurs de mail avec différentes priorités à une même adresse (RFC 974) Nom=un alias, Value=nom canonique d un serveur de mail Type=SOA (val=6) : sert à donner des infos sur la zone gérée Nom=nom d une zone, Value=informations sur la zone Type=ANY (val=255) : utilisé dans les questions pour indiquer n importe quel type (*) Type=AXFR (val=252) : utilisé dans les questions pour demander le transfert d une zone entière (mise à jour d un serveur secondaire...) Type=HINFO (val=13) : sert à indiquer les CPU et OS de l hôte interrogé c O.Glück & F.Rico (U.C.B.L.) Client/Serveur séance 3 21 / 27

22 Message DNS Exemple $ host -a Trying " ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 5 ;; QUESTION SECTION: ; IN ANY ;; ANSWER SECTION: IN CNAME ksup.univ-lyon1.fr. ;; AUTHORITY SECTION: univ-lyon1.fr IN NS dnsi.univ-lyon1.fr. univ-lyon1.fr IN NS dns.univ-lyon1.fr. univ-lyon1.fr IN NS dns2.univ-lyon1.fr. ;; ADDITIONAL SECTION: dns.univ-lyon1.fr IN A dns.univ-lyon1.fr IN AAAA 2001:660:5001:100::6 dns2.univ-lyon1.fr IN A dnsi.univ-lyon1.fr IN A dnsi.univ-lyon1.fr IN AAAA 2001:660:5001:100::9 Received 214 bytes from #53 in 1 ms c O.Glück & F.Rico (U.C.B.L.) Client/Serveur séance 3 22 / 27

23 Message DNS MX = Routage de courrier et DNS [RFC 974] Une adresse mail signifie : login@machine.domaine.tdl mais toutes les machines ne peuvent recevoir de mail (pare feu, port 25 accessible de l extérieur) parfois on utilise login@domaine.tdl par exemple fabien. rico@univ lyon1.fr il faut centraliser la réception des messages sur une machine qui a un système plus robuste (antivirus, anti-spam,...) Les MX permettent ensuite de répartir la charge sur différents serveurs de mail et de disposer de serveurs de secours en cas de saturation, le serveur SMTP peut aiguiller les messages via un autre serveur SMTP interne c O.Glück & F.Rico (U.C.B.L.) Client/Serveur séance 3 23 / 27

24 Message DNS Alias & DNS Round-robin Les alias : plusieurs noms correspondent à une même adresse IP Le Round-robin : à un même nom correspond plusieurs adresses IP permet d avoir de la redondance (plusieurs RRs de type A) le DNS change l ordre à chaque nouvelle requête pour répartir la charge Exemple $ host has address has address has address has IPv6 address 2a00:1450:8006::63 $ host has address has address has address has IPv6 address 2a00:1450:8006::63 c O.Glück & F.Rico (U.C.B.L.) Client/Serveur séance 3 24 / 27

25 Commandes et configuration Commandes d interrogations host commande d interrogation $ h o s t www. univ l y o n. f r www. univ l y o n. f r i s an a l i a s f o r www. u n i v e r s i t e l y o n. f r. www. u n i v e r s i t e l y o n. f r has a d d r e s s host a lyon.fr dig : rend les mêmes services que host mais est plus bas niveau. Permet en particulier de voir l ensemble des requêtes/réponses. nslookup : dispose d un mode interactif pour dialoguer avec le serveur. c O.Glück & F.Rico (U.C.B.L.) Client/Serveur séance 3 25 / 27

26 Commandes et configuration Le resolver Le resolver a en charge les résolutions de noms (inverse ou pas) chaque fois que cela est nécessaire man resolver Fichiers de configuration /etc/ resolv.conf permet de paramètrer les requêtes DNS effectuées (man resolv.conf) /etc/host. conf permet de paramètrer le resolver (man host.conf), en particulier ordre de résolution order hosts,bind,nis /etc/nsswitch.conf qui remplace le précédant car applique le même système à d autre informations système. Extrait de l API du resolver pour les applications Encore utilisé : gethostbyname(name) gethostbyaddr(addr) Nouveau (afin de ne pas faire de différences entre IPv4 et IPv6) getaddrinfo () getnameinfo() c O.Glück & F.Rico (U.C.B.L.) Client/Serveur séance 3 26 / 27

27 Conclusion DNS Annuaire distribué Hiérarchique Essentiel à internet plusieurs attaques, problème de détournement, détournement. Système robuste passage à l échelle, peu de modification. c O.Glück & F.Rico (U.C.B.L.) Client/Serveur séance 3 27 / 27