Le service de nom : DNS Cyril Rabat cyril.rabat@univ-reims.fr Master 2 ASR - Info09115 - Architecture des réseaux d entreprise 2012-2013 Cours n 8 DNS : schéma de nommage, protocole Version 29 septembre 2012 Cyril Rabat (Master 2 ASR / Info0915) Le service de nom : DNS 2012-2013 1 / 42
Table des matières 1 Présentation du DNS Introduction L espace de nommage 2 La base de données DNS Resource record Les zones 3 Le protocole DNS Format des messages Les requêtes 4 Sécurité et fiabilité du DNS Cyril Rabat (Master 2 ASR / Info0915) Le service de nom : DNS 2012-2013 2 / 42
Présentation du DNS Table des matières 1 Présentation du DNS Introduction L espace de nommage 2 La base de données DNS Resource record Les zones 3 Le protocole DNS Format des messages Les requêtes 4 Sécurité et fiabilité du DNS Cyril Rabat (Master 2 ASR / Info0915) Le service de nom : DNS 2012-2013 3 / 42
Présentation du DNS Introduction Motivations Exemple de l Université de Reims Problème Pour communiquer avec un hôte TCP/IP, il est nécessaire de connaître son adresse IP 194.57.105.10 194.57.105.60 194.57.104.111 194.57.104.110 Comment récupérer l adresse IP d un hôte à partir de son nom? Cyril Rabat (Master 2 ASR / Info0915) Le service de nom : DNS 2012-2013 4 / 42
Présentation du DNS Introduction Motivations Problème Pour communiquer avec un hôte TCP/IP, il est nécessaire de connaître son adresse IP Exemple de l Université de Reims www.univ reims.fr 194.57.105.10 annuaires.univ reims.fr 194.57.105.60 Solution Pour éviter l utilisation directe des adresses IP, un nom est associé aux hôtes 194.57.104.111 ebureau.univ reims.fr 194.57.104.110 cas.univ reims.fr Comment récupérer l adresse IP d un hôte à partir de son nom? Cyril Rabat (Master 2 ASR / Info0915) Le service de nom : DNS 2012-2013 4 / 42
Présentation du DNS Introduction Motivations Problème Pour communiquer avec un hôte TCP/IP, il est nécessaire de connaître son adresse IP Exemple de l Université de Reims www.univ reims.fr 194.57.105.10 annuaires.univ reims.fr 194.57.105.60 Solution Pour éviter l utilisation directe des adresses IP, un nom est associé aux hôtes 194.57.104.111 ebureau.univ reims.fr 194.57.104.110 cas.univ reims.fr Comment récupérer l adresse IP d un hôte à partir de son nom? Cyril Rabat (Master 2 ASR / Info0915) Le service de nom : DNS 2012-2013 4 / 42
Présentation du DNS Introduction Historique Description Jusqu en 1984 : la transcription des noms d hôtes en adresses IP s appuie sur une table de correspondance Cette table est contenue dans un fichier texte, maintenue par le NIC (pour Network Information Center) Ce fichier est transféré par FTP à l ensemble des hôtes Sous Unix, utilisation d un fichier local hosts : Présent sur chaque machine (/etc/hosts) Fichier texte contenant des correspondances IP / nom Problèmes de ce type de solutions : Difficultés de mise à jour Taille des fichiers avec l explosion d Internet Cyril Rabat (Master 2 ASR / Info0915) Le service de nom : DNS 2012-2013 5 / 42
Présentation du DNS Introduction Le DNS Généralités Le DNS pour Domain Name System est un système décentralisé de gestion de noms et d adresses (RFC 1034 et 1035) C est un schéma de nommage, un système de base de données distribué et un protocole Propriétés Système distribué : coopération d un très grand nombre de serveurs administrés de manière autonome Fiable : résistance aux pannes et redondance, réplication des bases Efficace : trafic et réponses locaux le plus possible, forte répartition des données, agglomération et mécanisme de cache Extensible : différents types de mapping et d informations, forte indépendance de chaque partie élémentaire de la base Cyril Rabat (Master 2 ASR / Info0915) Le service de nom : DNS 2012-2013 6 / 42
Présentation du DNS Introduction Fonctionnement général Cache Resolver requête Base de données répartie Hôte réponse requête Programme demandeur réponse Serveur DNS Explications Le client DNS (appelé resolver) est un programme de type daemon Il permet de résoudre les correspondances nom/adresse lorsqu une application le demande : Soit la réponse est en cache Soit le resolver interroge un serveur de nom distant Cyril Rabat (Master 2 ASR / Info0915) Le service de nom : DNS 2012-2013 7 / 42
Présentation du DNS Introduction Nom de domaine et URL À ne pas confondre nom de la machine extension h t t p : / / www. u n i v r e i m s. f r / p r o f i l s / e t u d i a n t. h t m l nom de domaine chemin ressource URL URL pour Uniform Resource Locator appelé aussi adresse Web Correspond à une ressource Internet URL absolue : nom complet Nom de domaine : nom + extension (ou suffixe) + sous-domaine Insensible à la casse Composé uniquement des caractères A à Z, 0 à 9, - Nationalisation des noms de domaine avec l IDN (utilisation d alphabets nationaux) Cyril Rabat (Master 2 ASR / Info0915) Le service de nom : DNS 2012-2013 8 / 42
Présentation du DNS L espace de nommage Structure arborescente des noms Espace de nommage L espace de nommage est architecturé suivant un arbre Une seule racine : L arbre de nommage est globalement unique Un nom est composé au maximum de 255 caractères Au maximum 127 niveaux, 1 à 63 caractères par niveau. com org fr arpa google wikipedia univ reims in addr 194 www www ebureau 57 104 113 Cyril Rabat (Master 2 ASR / Info0915) Le service de nom : DNS 2012-2013 9 / 42
Présentation du DNS L espace de nommage Composants d un nom d hôte Description Label : Chaque nœud de l arbre est identifié par un label de 1 à 63 octets Sauf la racine qui a un label de 0 Un label est unique sur un niveau donné Le label de la racine est. Nom d hôte : Chemin d un nœud vers la racine Constitué par une succession de labels séparés par un. Maximum de 255 octets. compris Appelé en DNS le Domain Name Un nom complet avec. final est appelé FQDN : Pour Fully Qualified Domain Name Cyril Rabat (Master 2 ASR / Info0915) Le service de nom : DNS 2012-2013 10 / 42
Présentation du DNS L espace de nommage TLD : Top-Level Domains (1/2) Description Nœuds de premier niveau dans l arbre DNS : Co-supervisés par l IAB et IANA, INTERNIC et ICANN Deux types : les gtld et les cctld Les gtld TLD génériques (gtld pour generic TLD) : Historiques :.com,.edu,.gov,.int,.mil,.net,.org Créés après 2000 :.aero,.biz,.coop,.info,.museum,.name,.pro Créés après 2005 :.cat,.jobs,.mobi,.travel,.asia,.mail,.post,.tel... Il existe 2 types de gtld : stld (sponsored TLD) réservé à une communauté : L accès restreint est géré par une agence privée ou des organisations Exemples :.asia,.gov,.edu... Les unsponsored TLD Cyril Rabat (Master 2 ASR / Info0915) Le service de nom : DNS 2012-2013 11 / 42
Présentation du DNS L espace de nommage TLD : Top-Level Domains (2/2) Les cctld TLD nationaux (cctld pour country code TLD) Liste normalisée ISO3166 2500 pays Gestion confiée à des organismes nationaux (Registry) Commercialisée par des organismes privés (Registrar) Exemple : en France, c est l AFNIC (.fr) Quelques TLD particuliers.arpa : gtld historique réutilisé pour des mécanismes spécifiques tels que le reverse DNS ou ENUM.example,.test,.invalid : expérimentation et documentation.localhost : TLD conventionnel mais non officiel pour localhost=127.0.0.1 Cyril Rabat (Master 2 ASR / Info0915) Le service de nom : DNS 2012-2013 12 / 42
La base de données DNS Table des matières 1 Présentation du DNS Introduction L espace de nommage 2 La base de données DNS Resource record Les zones 3 Le protocole DNS Format des messages Les requêtes 4 Sécurité et fiabilité du DNS Cyril Rabat (Master 2 ASR / Info0915) Le service de nom : DNS 2012-2013 13 / 42
La base de données DNS Resource record Le typage des informations partagées par DNS Description Un même nom DNS peut être associé à plusieurs données de types différents : Adresse IPv4, adresse IPv6, relais de messagerie... Un même nom peut avoir plusieurs valeurs différentes pour un même type : Plusieurs machines associées à un même nom (redondance) Les données sont stockées dans une base de données répartie L ensemble des informations de la base de données DNS est structuré autour des Resource Record Base de données www.google.fr, IN, CNAME, www.google.com www.google.com, IN, CNAME, www.l.google.com www.l.google.com, IN, A, 66.249.92.104 www.l.google.com, IN, AAAA, 2a00:1450:4007:800::68 Serveur DNS Resource records Cyril Rabat (Master 2 ASR / Info0915) Le service de nom : DNS 2012-2013 14 / 42
La base de données DNS Resource record RR : Resource Record Description des champs { Nom-Domaine Type Classe TTL Longueur Données } Nom-Domaine : nom absolu de l espace de nommage DNS (FQDN) Type : type des données A : traduction nom/adresse PTR : traduction adresse/nom CNAME : nom canonique (alias) MX : Mail exchange (serveur de messagerie) NS : nom du serveur de nom pour le domaine SOA : début d une zone d autorité Classe : généralement IN pour Internet TTL : durée de vie de l objet dans les caches en secondes Longueur : longueur des données Données : valeur de l objet (associée au type) Cyril Rabat (Master 2 ASR / Info0915) Le service de nom : DNS 2012-2013 15 / 42
La base de données DNS Les zones Le découpage en zones Description L ensemble de la base de données est divisée en zones Distribuées sur les serveurs de noms Le découpage est réalisé : Par classe Suivant des coupes dans l espace de noms L ensemble des nœuds interconnectés est appelé une zone Une sphère d autorisation est associée à cette zone : L ensemble des nœuds dépendent de cette sphère..com ebureau.fr univ reims annuaires.org www zone Cyril Rabat (Master 2 ASR / Info0915) Le service de nom : DNS 2012-2013 16 / 42
La base de données DNS Les zones Description d une zone Description Chaque zone possède au moins un nœud et plus particulièrement celui de plus haut niveau : C est le nœud le plus proche de la racine Souvent utilisé pour identifier la zone Les données d une zone sont organisées en 4 parties : Les données générales sur chaque nœud de la zone Les données définissant le nœud supérieur de la zone Les données qui décrivent les sous-zones Les données permettant d accéder aux serveurs des sous-zones Rappel : toutes ces données sont stockées dans des RR Une zone est entièrement définie à l aide d un jeu de RR Plus particulièrement : Des RR identifiant chaque serveur de nom de la zone (type NS) Un RR de type SOA qui décrit les paramètres de gestion de la zone Cyril Rabat (Master 2 ASR / Info0915) Le service de nom : DNS 2012-2013 17 / 42
La base de données DNS Les zones Organisation d une zone (1/2) Serveur primaire Serveur d autorité de la zone Chaque zone possède un seul serveur primaire Possède un fichier de zone : L ensemble des correspondances entre noms et adresses IP des hôtes de sa zone Serveur secondaire Il permet : De répondre à des requêtes De prendre le relais du serveur primaire en cas de panne Obtient des données de zone via le réseau à partir d un serveur de nom détenant l autorité pour la zone considérée Transfert de zone Cyril Rabat (Master 2 ASR / Info0915) Le service de nom : DNS 2012-2013 18 / 42
La base de données DNS Les zones Organisation d une zone (2/2) Serveur cache Constitue sa base de données à partir des réponses de serveurs de noms Chaque enregistrement à une durée de vie limitée Il n a aucune autorité sur le domaine : Pas responsable de la mise-à-jour des données Mais peut répondre aux requêtes de clients Au final... Le primaire est obligatoire Le secondaire et le serveur cache sont facultatifs Cyril Rabat (Master 2 ASR / Info0915) Le service de nom : DNS 2012-2013 19 / 42
La base de données DNS Les zones Les serveurs racines Description Serveur cache connaissant l ensemble des serveurs de noms ayant autorité sur tous les domaines racines (.fr,.com... ) Actuellement 13 serveurs racines associés à une lettre de A à M Les serveurs racines peuvent être répartis physiquement dans différents lieux géographiques Le serveur J est réparti dans 70 locations Le serveur D est uniquement à l Université du Maryland Les différents serveurs sont en fait des miroirs Cyril Rabat (Master 2 ASR / Info0915) Le service de nom : DNS 2012-2013 20 / 42
La base de données DNS Les zones Localisation des serveurs racines (1/2) http://www.root-servers.org Cyril Rabat (Master 2 ASR / Info0915) Le service de nom : DNS 2012-2013 21 / 42
La base de données DNS Les zones Localisation des serveurs racines (2/2) http://www.root-servers.org Cyril Rabat (Master 2 ASR / Info0915) Le service de nom : DNS 2012-2013 22 / 42
La base de données DNS Exercices Questionnaire Il est possible d avoir plusieurs RR...... avec le même nom de domaine et de types différents... avec le même nom de domaine et le même type... qui ne diffèrent que par les données... avec les mêmes données mais avec un domaine différent Cyril Rabat (Master 2 ASR / Info0915) Le service de nom : DNS 2012-2013 23 / 42
La base de données DNS Exercices Questionnaire Il est possible d avoir plusieurs RR...... avec le même nom de domaine et de types différents... avec le même nom de domaine et le même type... qui ne diffèrent que par les données... avec les mêmes données mais avec un domaine différent Précisions Base de données Serveur DNS www.google.fr, IN, CNAME, www.google.com www.google.com, IN, CNAME, www.l.google.com www.l.google.com, IN, A, 66.249.92.104 www.l.google.com, IN, AAAA, 2a00:1450:4007:800::68 Resource records Cyril Rabat (Master 2 ASR / Info0915) Le service de nom : DNS 2012-2013 23 / 42
Le protocole DNS Table des matières 1 Présentation du DNS Introduction L espace de nommage 2 La base de données DNS Resource record Les zones 3 Le protocole DNS Format des messages Les requêtes 4 Sécurité et fiabilité du DNS Cyril Rabat (Master 2 ASR / Info0915) Le service de nom : DNS 2012-2013 24 / 42
Le protocole DNS Format des messages Le format général des messages Explications 1 16 32 Identification Nombre de questions Nombre d autorités Partie questions Partie réponses Partie autorités Parties informations sup. Paramètres Nombre de réponses Nombre d informations sup. Identification : permet d associer les réponses aux requêtes Paramètres : indique l opération (cf ci-après) Nombre de questions, réponses, autorités et informations sup. : nombre de questions/réponses/autorités/informations supplémentaires dans la partie correspondante Cyril Rabat (Master 2 ASR / Info0915) Le service de nom : DNS 2012-2013 25 / 42
Le protocole DNS Format des messages Le champ paramètre Explications 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 QR OPCode Aa Tc QR : 0 pour question, 1 pour réponse Rd Ra Zéro Rcode OPCode : opération (0 pour résolution standard, 1 pour résolution inverse) Aa : autorité de réponse (0 par d autorité, 1 autorité sur le domaine) TC : message tronqué (1) ou non (0) Rd : récursivité demandée (1) ou non (0) Ra : récursivité disponible (1) ou non (0) RCode : indique s il y a une erreur (0 si aucune) Cyril Rabat (Master 2 ASR / Info0915) Le service de nom : DNS 2012-2013 26 / 42
Le protocole DNS Format des messages La partie questions Explications Type demande Nom de domaine Classe demande Nom de domaine : Le nom de domaine dont on cherche l adresse Chaque label est codé sous la forme longueur, label Exemple : 10 u n i v - r e i m s 2 f r 0 Type de demande : nature de la demande 1 pour Type A (adresse IPv4) 2 pour Type NS (nom de domaine de l hôte ayant autorité sur le domaine concerné) 5 pour CNAME (nom canonique ie alias) 28 pour AAAA (adresse IPv6)... Classe de demande : généralement à 1 (pour Internet IN) Cyril Rabat (Master 2 ASR / Info0915) Le service de nom : DNS 2012-2013 27 / 42
Le protocole DNS Format des messages La partie réponse Nom de domaine Type Classe TTL Ressources Long. champ. ressources Explications Nom de domaine, Type et Classe : voir la partie questions TTL : la durée de vie de la réponse Longueur champs resources : la longueur du champ ressources Resources : les données correspondant au type L adresse IP Le nom de l alias... Idem pour les parties autorités et informations supplémentaires Cyril Rabat (Master 2 ASR / Info0915) Le service de nom : DNS 2012-2013 28 / 42
Le protocole DNS Les requêtes DNS dans le modèle OSI Le modèle OSI 7 IMAP SMTP POP3 HTTP NNTP DNS DHCP 6 5 4 TCP UDP 3 ARP IP ICMP 2 Ethernet 1 Cyril Rabat (Master 2 ASR / Info0915) Le service de nom : DNS 2012-2013 29 / 42
Le protocole DNS Les requêtes TCP vs UDP Description Le protocole DNS utilise le protocole UDP pour le transport des messages : Gain de performances par rapport à TCP Cependant, la taille maximum des messages est limitée à 512o de données (hors en-tête de 12o) Si le message est trop gros : Le message est tronqué à 512o et le bit Tc est mis à 1 Le client peut alors émettre une nouvelle requête avec TCP Le port utilisé est 53 pour UDP et pour TCP À noter que le transfert de zone est obligatoirement en TCP Cyril Rabat (Master 2 ASR / Info0915) Le service de nom : DNS 2012-2013 30 / 42
Le protocole DNS Les requêtes Exemple d une requête DNS Requête Réponse Exemple avec nslookup www.google.fr La requête générée : www.google.fr. A IN Partie questions : www.google.fr A IN Partie réponses : www.google.fr CNAME IN 26354 16 www.google.com www.google.com CNAME IN 112226 8 www.l.google.com www.l.google.com A IN 241 4 66.249.92.104 Cyril Rabat (Master 2 ASR / Info0915) Le service de nom : DNS 2012-2013 31 / 42
Le protocole DNS Les requêtes Mode itératif (1/2) Serveur DNS cache Serveur DNS root Serveur DNS de zone 2 réponse 3 requête 4 réponse 5 requête 6 réponse 1 requête Description La réponse contient soit la réponse demandée, soit l adresse du prochain serveur à interroger Plus simple du côté serveur Cyril Rabat (Master 2 ASR / Info0915) Le service de nom : DNS 2012-2013 32 / 42
Le protocole DNS Les requêtes Mode itératif (2/2) Configuration de plusieurs serveurs DNS Exemple Comme vu précédemment, plusieurs serveurs sont en charge du DNS dans une zone Si un seul serveur est spécifié : En cas de panne, le système est inutilisable Avec plusieurs serveurs spécifiés : Si le premier ne répond pas, le second est intérrogé, etc... Soit le domaine univ-reims.fr Serveur primaire : cleo.univ-reims.fr Serveur secondaire : anne.univ-reims.fr Cyril Rabat (Master 2 ASR / Info0915) Le service de nom : DNS 2012-2013 33 / 42
Le protocole DNS Les requêtes Mode récursif (1/2) Serveur DNS cache 2 requête Serveur DNS root Serveur DNS de zone 3 réponse 4 requête 6 réponse 5 réponse 1 requête Description C est le serveur qui se charge de répercuter la requête Le serveur joue alors le rôle du resolver Cyril Rabat (Master 2 ASR / Info0915) Le service de nom : DNS 2012-2013 34 / 42
Le protocole DNS Les requêtes Mode récursif (2/2) Partie de l espace de nommage edu nl yale oce vu cs eng cs ai india flits fluit Exemple d une requête Un resolver sur flits.cs.vu.nl souhaite connaître l adresse IP de l hôte linda.cs.yale.edu 1 Interrogation de cs.vu.nl 2 Interrogation de edu-server.net 3 Interrogation de yale.edu 4 Interrogation de cs.yale.edu robot zone d autorité Cyril Rabat (Master 2 ASR / Info0915) Le service de nom : DNS 2012-2013 35 / 42
Le protocole DNS Les requêtes Requêtes inverses (1/2) Problématique Comment obtenir le nom associé à une adresse IP? Les noms de domaine sont indépendants de l adressage IP Faut-il interroger tous les domaines? Résolution Utilisation du domaine in-addr.arpa Pour récupérer le nom associé à l adresse A.B.C.D : Envoi d une requête sur D.C.B.A.in-addr.arpa. La ou les réponses sont constituées de champs de type PTR Cyril Rabat (Master 2 ASR / Info0915) Le service de nom : DNS 2012-2013 36 / 42
Le protocole DNS Les requêtes Requêtes inverses (2/2) Exemple. arpa in addr 0 105 255 0 39 255 0 125 255 0 74 www.google.fr 255 Et IPv6? Exemple de cleo.univ-reims.fr (2001:660:4601:1100::4) : 0.0.0.4.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.1.1.0.6.4.0.6.6.0.1.0.0.2.ip6.arpa Cyril Rabat (Master 2 ASR / Info0915) Le service de nom : DNS 2012-2013 37 / 42
Sécurité et fiabilité du DNS Table des matières 1 Présentation du DNS Introduction L espace de nommage 2 La base de données DNS Resource record Les zones 3 Le protocole DNS Format des messages Les requêtes 4 Sécurité et fiabilité du DNS Cyril Rabat (Master 2 ASR / Info0915) Le service de nom : DNS 2012-2013 38 / 42
Sécurité et fiabilité du DNS Le déni de service Définition : déni de service Résultat d une attaque dont le but est d empêcher le bon fonctionnement d un service afin d empêcher les utilisateurs d y accéder Machine infectée 01 01 01 Machine infectée 01 01 01 Pirate Internet Machine infectée 01 01 01 Machine infectée Exemple : attaque sur les serveurs racines de octobre 2002 Au bout de l attaque réalisée par déni de service, 7 serveurs sur les 13 serveurs racines ont vu leurs performances se dégrader 01 01 01 000 111 01 000 111 00 11 01 01 01 01 00 11 01 00 11 01 00 11 Service attaqué 01 01 01 Cyril Rabat (Master 2 ASR / Info0915) Le service de nom : DNS 2012-2013 39 / 42
Sécurité et fiabilité du DNS L anycast Principe de l anycast Permet d associer une adresse IP à plusieurs machines physiques Lorsqu une requête est émise vers une adresse anycast, elle est transmise à la destination la plus proche Cette technique a été associée au DNS (RFC 3258) Des serveurs racines peuvent ainsi être dupliqués : La charge est répartie sur plusieurs machines physiques Cela permet de limiter les effets d une attaque par déni de service Cyril Rabat (Master 2 ASR / Info0915) Le service de nom : DNS 2012-2013 40 / 42
Sécurité et fiabilité du DNS Fragilité du DNS Description Sans le DNS, une bonne partie des applications d Internet sont paralysées : Cible de nombreuses attaques Ces attaques sont facilitées grâce au reverse DNS : De nombreuses informations peuvent être récupérées Le transfert de zone permet de récupérer toutes les informations d une zone! Autre attaque, la pollution du cache DNS : Envoyer de fausses réponses aux serveurs DNS Vers des solutions 1 Blocage du transfert de zone depuis l extérieur 2 Crypter et assurer l authenticité des échanges Cyril Rabat (Master 2 ASR / Info0915) Le service de nom : DNS 2012-2013 41 / 42
Bibliographie/ressources Bibliographie/ressources Bibliographie Réseaux & Télécoms, Claude Servin, Dunod Réseaux, Andrew Tanenbaum, Pearson Education DNS & BIND, Paul Albitz et Cricket Liu, O Reilly Ressources www.afnic.fr : l Association Française pour le Nommage Internet en Coopération (gestion du.fr et.re) http://www.frameip.com/dns/ : un article très complet sur le DNS gtld : RFC 1591 DNS : RFC 1034 et 1035 Cyril Rabat (Master 2 ASR / Info0915) Le service de nom : DNS 2012-2013 42 / 42