Ch01 Introduction au système DNS Domain Name System 1. Préambule -encapsulation et modèle par couche La communication entre deux machines, ou plus précisément deux applications situées chacune sur une de ces deux machines, nécessite de pouvoir identifier précisément ces deux machines. Il est indispensable aussi de disposer d une indépendance entre les applications et la configuration technique du réseau. On ne veut en aucun cas avoir à reconfigurer ou à modifier les applications à chaque changement de configuration du réseau. Ces deux machines peuvent être situées à quelques mètres les unes des autres ou à des centaines de kilomètres. Les techniques de transmission de l information sont différentes selon la distance pour des raisons de physique du signal. Il est souhaitable aussi que les applications puissent fonctionner indépendamment de la distance. Les utilisateurs enfin souhaitent disposer de moyens de nommage mnémoniques pour accéder aux services. Un exemple connu est Internet avec les noms des sites web du type www.linux.org et aussi Netbios avec les noms Windows sur un réseau local : \\SERVEUR par exemple. Tous ces problèmes ont été mis en évidence et résolus au fil de l évolution des réseaux. Ils ont conduits à séparer le traitement des différents types de problème dans un réseau en différentes couches, chaque couche assurant un «service» à la couche de niveau supérieur. Cela a été formalisé d abord dans le modèle DOD pour Internet, et détaillé plus encore dans le modèle OSI. Modèle OSI Application Présentation Session Transport Réseau Liaison Physique Modèle DOD (Internet) Application Hôte à Hôte Internet Accès réseau Le protocole TCP/IP issu du modèle DOD est aujourd hui le mode de communication à la base de la majorité des échanges entre ordinateurs. Il recèle deux parties Ip qui permet de numéroter, d organiser des ordinateurs en réseaux et TCP qui permet la communication entre applications sur des ordinateurs différents. 1/10
Différents systèmes sont actuellement utilisés pour désigner une machine de manière unique dans un réseau : adresse MAC, de type 00-25-23-AA-E0-1A, représentée par 8 caractères en hexadécimal et d'un longueur de 48 bits ou 6 octets, adresse IPV4, de type 89.15.4.25, représentée par 4 blocs décimaux, chaque bloc allant de 0 à 255, d'une longueur de 32 bits ou 4 octets, adresse IPV6, de type 2001:0db8:0000:85a3:0000:0000:ac1f:8001, représentée par 8 blocs de 4 caractères hexadécimaux, d'une longueur totale de 128 bits ou 16 octets, nom netbios, nom d'ordinateur dans un réseau windows. (voisinage réseau) et codé sur 15 caractères alphanumériques (+ un seizième non affiché), d'une longueur de 16 octets ou 128bits. Ex IDATA, ILOG etc... nom DNS, utilisé sur internet et en intranet. Il est codé sur un maximum de 253 caractères avec un maximum de 63 pour chacun de ses membres. Ex. : www.btsig.fr, www.education.gouv.fr. Les caractères alphanumériques et le tiret sont autorisés. 2. Bref historique Le système DNS (Domain name system), système de nom de domaine est né quasiment en même temps qu'internet. Internet à ses débuts était un petit réseau avec un nombre d'ordinateurs limité. Pour déjà pouvoir nommer les ordinateurs par leur nom, un système de résolution de noms simple existait déà à cette époque : il était basé sur un simple fichier, le fichier hosts présent sur chaque ordinateur et qui permettait cette résolution. La mise à jour du fichier se faisait par un simple téléchargement du fichier hosts hébergé sur un ordinateur central. Ce système n'est plus utilisé sur Internet de nos jours mais, il est toujours opérationnel. Selon le système d'exploitation le fichier hosts est à un endroit bien précis : sous Linux /etc/hosts sous Mac OS X /etc/hosts sous Windows 95/98 c:\windows\ sous Windows NT/2000 c:\winnt\system32\drivers\etc\ sous Windows XP/Vista c:\windows\system32\drivers\etc\ Exemple de fichier hosts (pris sur une machine Windows Vista) # Copyright (c) 1993-2006 Microsoft Corp. # # This is a sample HOSTS file used by Microsoft TCP/IP for Windows. # # This file contains the mappings of IP addresses to host names. Each # entry should be kept on an individual line. The IP address should 2/10
# be placed in the first column followed by the corresponding host name. # The IP address and the host name should be separated by at least one # space. # # Additionally, comments (such as these) may be inserted on individual # lines or following the machine name denoted by a '#' symbol. # # For example: # # 102.54.94.97 rhino.acme.com # source server # 38.25.63.10 x.acme.com # x client host 127.0.0.1 localhost ::1 localhost 172.16.1.0 idata 172.16.2.1 bts1.btsig.fr Les deux premières lignes : 127.0.0.1 localhost ::1 localhost étaient présentes pas défaut, elles désignent la machine locale «localhost» avec l'adresse IP de loopback correspondante en IPV4 et en IPV6. Les autres ont été rajoutées par l'utilisateur de la machine. Ce fichier permettait la simple correspondance entre une adresse IP et un nom de machine. Le découpage de type bts1.btsig.fr ne signifie rien ici, et il faut bien voir en bts1.btsig.fr en simple nom de machine. Bien sûr cette méthode de nommage est devenue totalement impossible à mettre en œuvre dans le contexte internet d'aujourd'hui : des centaines de milliers d'hôtes (ordinateurs) avec des adresses en perpétuelle évolution. P. Mockapetris C'est pourquoi Paul Mockapetris s'est chargé de chercher une solution à se problème. Il a imaginé le service DNS en 1983, pour résoudre les noms d'ordinateurs sans se baser sur un unique fichier hosts. Il va bien plus loin que la simple correspondance entre un nom d'ordinateur et une adresse IP. C'est ce système qui est toujours en service actuellement, même s'il a été enrichi de nombreuses fonctions nouvelles. Le génie de Paul Mockapetris a été, à la fois d'imaginer comment le nommage des machines allait être organisé, et comment cela allait être implémenté dans des serveurs qui fourniraient le service. 3. Le DNS : un espace de nommage hiérarchisé Pour faire face à l'évolution rapide du nombre d'ordinateurs dans le réseau Internet, il a été choisi de répartir et déléguer la charge de définition des noms d'ordinateurs selon un système hiérarchique. 3/10
L'espace de nom est découpé en partitions dont l'administration est chacune déléguée à une autorité responsable. Par exemples, on connaît bien les partitions com, org, edu, mil, gov, net, int, fr (code pays). Chaque partition peut alors être redécoupée par l'autorité qui en a la charge et qui peut déléguer à un son tour la gestion de ce redécoupage. Exemple de nommage DNS depuis la racine (source wikipedia). Par exemple la fondation Wikipédia a autorité pour le domaine wikipedia.org et nomme les différentes machines www.wikipedia.org, fr.wikipedia.org, de.wikipedia.org, www est appelé le nom de l'hôte (ordinateur), wikipedia.org est appelé nom de domaine et org est appelé nom de domaine. Chacune des parties est appelées www, wikipedia et org est appelée un label. Le niveau de découpage en sous-domaines est peut être étendu très loin (jusqu'à 127 sous domaines, 63 caractères par label mais avec une longueur totale de 253 octets); ex. www.education.gouv.fr - l'hôte est www - le domaine de 1er niveau fr - le domaine de 2ème niveau gouv, - le domaine de 3ème niveau education. On parle de FQDN (Fully Qualified Domain Name) quand on donne le nom d'hôte complet www.education.gouv.fr. 4/10
4. Serveurs DNS 4.1. Introduction Pour coller à ce genre d'organisation, il n'y a pas un seul serveur DNS dans le monde mais une multitude appelés à collaborer. Tout utilisateur d'internet, peut avoir à configurer les paramètres de DNS de son fournisseur d'accès Internet, mais il s'agit d'une toute petite partie de l'iceberg. Le serveur DNS du FAI collabore avec les serveurs DNS du monde entier. Les serveurs DNS sont conçues pour supporter le nommage internet de manière décentralisée : c'est le propriétaire d'un domaine qui aura la charge de configurer ses sous-domaines et hôtes. Chaque rectangle est un nom de domaine, les lignes pointillées indiquent les serveurs DNS, certains gèrent plusieurs domaines et sous-domaines, d'autres délèguent la gestion de sous domaines à des serveurs plus proches des utilisateurs. Le système DNS permet de gérer des données de nommage sur des serveurs répartis dans le monde entier : il s'agit d'une base de données distribuées. A cette base de données sont associées des méthodes d'accès qui constituent le protocole applicatif DNS. 5/10
4.2. Serveurs DNS 4.2.1. Introduction Un serveur DNS, c'est à dire le service DNS associé au port 53, a pour rôle principal de fournir la réponse à une requête d'un client qui lui demande l'adresse IP correspondant à un nom DNS. Exemple : Question du client : quelle est l'adresse IP de fr.wikipedia.org Réponse du serveur DNS : fr.wikipedia.org a pour IP 91.198.174.2 Quand on utilise le navigateur web, la fonction de résolution de nom est appelée par le navigateur web de manière totalement transparente pour l'utilisateur. La seule façon de constater la réalisation de la résolution DNS est : - soit de faire une capture de trame : - soit d'afficher le cache DNS à l'aide de la commande ipconfig /displaydns update.microsoft.com ---------------------------------------- Nom d'enregistrement. : update.microsoft.com Type d'enregistrement : 5 Durée de vie.... : 208 Longueur de données. : 4 Section....... : Réponse Enregistrement hôte : 65.55.13.158 4.2.2. Rôle des serveurs Un serveur DNS joue un, deux ou trois rôles à la fois selon les zones configurées : - serveur principal pour la zone : contient la copie originale de description de zone - serveurs secondaires : copie d'infos du serveur principal (redondance, diminution du trafic réseau, diminution de la charge du DNS principal, l'internic impose deux serveurs DNS). Il peut aussi jouer le rôle de Serveur de cache : il ne gère pas de zone et se charge simplement de transmettre les requêtes et construit sa base d'informations au fur et à mesure. 6/10
4.3. Types de requêtes Un client qui interroge un serveur DNS lui transmet une requête, le serveur DNS peut à son tour interroger d'autres serveurs DNS. Il y a plusieurs types de requêtes : - Requête récursive : elle force le serveur DNS à répondre où avec l'adresse IP demandée où avec un message d'erreur. - Requête itérative : le serveur répond en donnant la réponse dont il dispose dans ses fichiers ou en cache. En général, plusieurs serveurs peuvent être interrogés simultanément. (cf schéma). - Requête inverse : pour obtenir le nom d'un hôte dont on connaît l'adresse IP. Serveur DNS racine 2 Requête itérative 3 adresse serveur.fr 5 adresse serveur jojo.fr 8 adresse serveur www.jojo.fr 4 Requête itérative Serveur DNS.fr Serveur DNS local 7 adresse serveur www.jojo.fr 1 Requête récursive www.jojo.fr 6 Requête itérative Poste de travail Serveur DNS jojo.fr 7/10
5. Serveurs DNS Racine Les serveurs DNS racine sont essentiels au fonctionnement d'internet. Il y a officiellement 13 serveurs DNS racine. En fait, ils sont bien plus puisque chaque serveur racine est répliqué à plusieurs endroits dans le monde Liste des serveurs racine a.root-servers.net à m.root-servers.net: Lettre adresse IPv4 Société Localisation Logiciel A 198.41.0.4 VeriSign Dulles, Virginie, États-Unis BIND Marina Del Rey, Californie, États- B 192.228.79.201 USC-ISI BIND Unis C 192.33.4.12 Cogent Communications trafic distribué par anycast BIND D 128.8.10.90 Université du Maryland College Park, Maryland, Etats-Unis BIND E 192.203.230.10 NASA Mountain View, Californie, Etats-Unis BIND F 192.5.5.241 ISC trafic distribué par anycast BIND G 192.112.36.4 Defense IS Agency Columbus, Ohio, Etats-Unis BIND H 128.63.2.53 U.S. Army Research Lab Aberdeen, Maryland, Etats-Unis NSD I 192.36.148.17 Autonomica trafic distribué par anycast BIND J 192.58.128.30 VeriSign trafic distribué par anycast BIND K 193.0.14.129 RIPE-NCC trafic distribué par anycast NSD L 199.7.83.42 ICANN trafic distribué par anycast NSD M 202.12.27.33 WIDE Project trafic distribué par anycast BIND 8/10
6. DNS et HTTP 1.1 Utilisé en cas d'hébergement mutualisé. Par exemple chez un hébergeur de sites web sur internet. Une seule adresse IP correspond à une multitude de sites web. C'est l'entête http en version 1.1 qui contient le nom dns du serveur qui permet d'atteindre le bon site web. 7. Utilitaires de mise au point 7.1. Sous Windows ipconfig /flushdns : vide le cache DNS, ipconfig /displaydns : affiche le cache DNS. Interrogation de serveur DNS : nslookup : nslookup www.free.fr Serveur : dns2.proxad.net Address: 212.27.40.241 Réponse ne faisant pas autorité Nom : www.free.fr Addresses: 2a01:e0c:1:1599::1 212.27.48.10 7.2. sous Linux Interrogation de serveur DNS : dig : dig www.free.fr ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 34804 ;; QUESTION SECTION: ;www.free.fr. IN A ;; ANSWER SECTION: www.free.fr. 79569 IN A 212.27.48.10 ;; Query time: 53 msec ;; SERVER: 212.27.40.241#53(212.27.40.241)WHEN: Wed Sep 22 21:57:21 2010 9/10
7.3. Ping FQDN Le ping du nom FQDN, tant sous Linux que sous Windows est un bon moyen de vérifier la résolution de noms Envoi d'une requête 'ping' sur www.free.fr [212.27.48.10] avec 32 octets de données: Réponse de 212.27.48.10 : octets=32 temps=52 ms TTL=123 Réponse de 212.27.48.10 : octets=32 temps=143 ms TTL=123 Réponse de 212.27.48.10 : octets=32 temps=50 ms TTL=123 Réponse de 212.27.48.10 : octets=32 temps=106 ms TTL=123 8. Fichiers DNS La modification des paramètres DNS sous Windows 2003 se fait par une interface graphique. Les données correspondantes sont stockées dans des fichiers. 8.1. fichiers de zone Ils se terminent par l'extension.dns et comportent plusieurs types d'enregistrements : SOA : qui indique les paramètres principaux de la zone. NS : qui indique le serveur principal de la zone. A : permet d'ajouter un ordinateur dans la zone. CNAME : qui désigne un alias, MX : qui désigne un serveur de messagerie. ; Database file essai.fr.dns for essai.fr zone. ; Zone version: 8 ; @ IN SOA w2003-inst. hostmaster. ( 8 ; serial number 900 ; refresh 600 ; retry 86400 ; expire 3600 ) ; default TTL ; ; Zone NS records ; @ NS w2003-inst. ; ; Zone records ; test CNAME www.essai.fr. web A 172.16.4.0 webmail CNAME www.essai.fr. www A 172.16.1.1 10/10