DNS Session 1 : Principes de base

Documents pareils
TCP/IP - DNS. Roger Yerbanga contact@yerbynet.com

DNS. Olivier Aubert 1/27

Administration Système & Réseau. Domain Name System Historique & Concepts Fonctionnalités & Hiérarchie Requêtes & Base de donnée DNS

Gérer son DNS. Matthieu Herrb. tetaneutral.net. Atelier Tetaneutral.net, 10 février

Exemple d application: l annuaire DNS Claude Chaudet

Introduction au DNS. Les noms de domaine s'écrivent de la gauche vers la droite, en remontant vers la racine et sont séparés par un "." (point).

LOSLIER Mathieu. Filière Informatique et Réseau 1 ère année. TP DNS. Responsable : LOHIER Stephane. Chargé de TD : QUIDELLEUR Aurélie

Étude de l application DNS (Domain Name System)

Domain Name System. F. Nolot

Télécommunications. IPv4. IPv4 classes. IPv4 réseau locaux. IV - IPv4&6, ARP, DHCP, DNS

Comment fonctionne le serveur cache (1) DNS Session 2: Fonctionnement du cache DNS. Historique du support de cours

V - Les applications. V.1 - Le Domain Name System. V Organisation de l espace. Annuaire distribué. Définition. Utilisation par le resolver

Domain Name Service (DNS)

Domain Name System ot ol F. N 1

Réseaux IUP2 / 2005 DNS Système de Noms de Domaine

INTERNET & RESEAUX. Dino LOPEZ PACHECO lopezpac@i3s.unice.fr

Master d'informatique 1ère année Réseaux et protocoles

Résolution de noms. Résolution de noms

DNS : Domaine Name System

Réseaux. DNS (Domaine Name System) Master Miage 1 Université de Nice - Sophia Antipolis. (second semestre )

TP de réseaux : Domain Name Server.

Domain Name System. Schéma hiérarchique. Relation

1 Présentation du module sr005 2 I Administration d un serveur DNS... 2 II Organisation... 2

Service de noms des domaines (Domain Name System) Cours administration des services réseaux M.BOUABID,

Administration réseau Résolution de noms et attribution d adresses IP

Installation Serveur DNS Bind9 Ubuntu LTS

Le service de nom : DNS

Nommage et adressage dans Internet

Domain Name Service (DNS)

Il est recommandé de fermer les serveurs DNS récursifs ouverts

Introduction au DNS. Bertrand Bonnefoy-Claudet. 10 février 2014

Réseaux. 1 Généralités. E. Jeandel

Il est possible d associer ces noms aux langages numérique grâce à un système nommé DNS(Domain Name System)

Introduction...3. Objectifs...3 Contexte...3 nslookup/dig/host...3 whois...3. Introduction...4

Gestion centralisée d un réseau de sites discrets. Nicolas JEAN

Domaine Name System. Auteur: Congduc Pham, Université Lyon 1. Figure 1: Schéma des salles TP11 et TD4

Ce cours est la propriété de la société CentralWeb. Il peut être utilisé et diffusé librement à des fins non commerciales uniquement.

Résolution de nom avec Bind

M Architecture des réseaux

Bind, le serveur de noms sous Linux

Administration de Parc Informatique TP03 : Résolution de noms

- FICHE DE PROCEDURE - Configurer un serveur DNS avec Bind9 sur Debian

TP DNS Utilisation de BIND sous LINUX

Internet Le service de noms - DNS

Domaine Name Service ( DNS )

DNS et Mail. LDN 15 octobre DNS et Mail. Benjamin Bayart, Fédération FDN. DNS - fichier de zone. DNS - configuration

B1-4 Administration de réseaux

Installation du service DNS sous Gnu/Linux

Sur un ordinateur exécutant Windows 2000 Server Ayant une adresse IP statique

Administration de réseaux. Marc Baudoin

Corrigé du TP 6 Réseaux

TP2 - Conguration réseau et commandes utiles. 1 Généralités. 2 Conguration de la machine. 2.1 Commande hostname

1 Configuration réseau des PC de la salle TP

Domain Name System. AFNIC (12/12/07) DNS - 1

DNS ( DOMAIN NAME SYSTEM)

Sécurité des réseaux Les attaques

Internet Protocol. «La couche IP du réseau Internet»

titre : CENTOS_BIND_install&config Système : CentOS 5.7 Technologie : Bind 9.3 Auteur : Charles-Alban BENEZECH

CREER UN ENREGISTREMENT DANS LA ZONE DNS DU DOMAINE

Présentation du système DNS

Proxies,, Caches & CDNs

machine.domaine

Chapitre 2: Configuration de la résolution de nom

Chapitre I. La couche réseau. 1. Couche réseau 1. Historique de l Internet

(Third-Man Attack) PASCAL BONHEUR PASCAL 4/07/2001. Introduction. 1 Domain Name Server. 2 Commandes DNS. 3 Hacking des serveurs DNS

Devoir Surveillé de Sécurité des Réseaux

Mise en place Active Directory / DHCP / DNS

SECURIDAY 2013 Cyber War

DNSSEC Pourquoi et détails du protocole

Outils de l Internet

DNS. Pierre BETOUIN ( betouin@et.esiea.fr ) 31 mars

I. Adresse IP et nom DNS

Technologies de l Internet

INSTALLATION D UN SERVEUR DNS SI5

Quelques protocoles et outils réseaux

Le Tunneling DNS. P.Bienaimé X.Delot P.Mazon K.Tagourti A.Yahi A.Zerrouki. Université de Rouen - M2SSI. 24 février 2011

BIND : installer un serveur DNS

Compte-rendu du TP n o 2

TUTORIAL CONFIGURATION DE BIND ET INSTALLATION DE ZIMBRA

SECURIDAY 2012 Pro Edition

Serveurs de noms Protocoles HTTP et FTP

TP DHCP et DNS. Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A

Plan. Programmation Internet Cours 3. Organismes de standardisation

16 TCP Les protocoles d application 16.1 Intégration verticale

DHCP et NAT. Cyril Rabat Master 2 ASR - Info Architecture des réseaux d entreprise

Module 12 : DNS (Domain Name System)

Dynamic Host Configuration Protocol

Capture, Filtrage et Analyse de trames ETHERNET avec le logiciel Wireshark. Etape 1 : Lancement des machines virtuelles VMWARE et de Wireshark

Nouvelle version de Zonecheck, la 3.0, avec tests DNSSEC

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Introduction. Adresses

Mac OS X Server Administration des services réseau. Pour la version 10.3 ou ultérieure

Configuration réseau Basique

DIFF AVANCÉE. Samy.

Figure 1a. Réseau intranet avec pare feu et NAT.

Administration UNIX. Le réseau

Protocoles IP (2/2) M. Berthet. Les illustrations sont tirées de l ouvrage de Guy Pujolle, Cours réseaux et Télécom Contributions : S Lohier

VoIP et "NAT" VoIP et "NAT" 1/ La Traduction d'adresse réseau. 1/ La traduction d'adresse réseau. 1/ La traduction d'adresse réseau

TP SECU NAT ARS IRT ( CORRECTION )

Transcription:

DNS Session 1 : Principes de base Grégoire EHOUMI AFNOG 2014, Djibouti, Djibouti

Les ordinateurs u-lisent des adresses IP. Pourquoi avons nous besoin des noms? Ø Faciles aux êtres humains de mémoriser Ø Les ordinateurs peuvent être déplacés entres les réseaux, dans ce cas leurs adresses IP changent 5/26/14 AFNOG- 2014 SSF 2

L ancienne solu-on : Hosts.txt Un fichier est maintenu de facon centralisée et distribué à tous les machines sur Internet SPARKY 128.4.13.9 UCB-MAILGATE 4.98.133.7 FTPHOST 200.10.194.33... etc Cette rubriaue existe encore : /etc/hosts (UNIX) c:\windows\hosts 5/26/14 AFNOG- 2014 SSF 3

Hosts.txt est inadapté à grande échelle Ø Fichier volumineux Ø Nécessite d'être copié fréquemment sur tous les hôtes Ø Uniformité Ø toujours dépassé Ø Unicité de nom Ø Un seul point d administra-on 5/26/14 AFNOG- 2014 SSF 4

Le Domain Name System est née Ø Le DNS est une base de données distribuée qui fait correspondre le nom à une adresse IP ( et à d autres informa-ons) Ø Distribuée: î Partage l administra-on î Partage la charge Ø robustesse et performance à travers : î La réplica*on î Le système cache Ø Une pièce cri$que de l infrastructure Internet 5/26/14 AFNOG- 2014 SSF 5

DNS est hiérarchique (1).(root) / (root) bj org com etc bin usr gouv.bj afnog.org nsrc.org yahoo.com /etc/rc.d usr/local ns1.gouv.bj ws.afnog.org www.yahoo.com Base de donnée DNS usr/local/src Système de fichier Unix Forme la structure de l arborescence 5/26/14 AFNOG- 2014 SSF 6

DNS est hiérarchique (2) Ø Donne globalement des noms uniques Ø Administra-on par zones (des par-es de l arborescence) Ø Vous pouvez donner (" délégué ") le contrôle d une par-e de l arborescence sous vous Ø Example: î.net est sur un ensemble de serveurs de noms î ripe.net est sur un ensemble différent î disi.ripe.net est sur un autre ensemble 5/26/14 AFNOG- 2014 SSF 7

Les noms de domaine sont (presque) illimités Ø Longueur totale de 255 caractères maximum Ø Dans chaque par-e 63 caractères Maximum( RFC 1034, RFC 1035 ) Ø Si le nom de domaine est u-lisé comme un nom d hôte, vous devez respecter quelques restric-ons î RFC 952 (dépassé!) î a- z 0-9 et -ret (- )uniquement î Pas de underscores (_) 5/26/14 AFNOG- 2014 SSF 8

UTILISATION DU DNS Ø Un nom de domaine (comme www.-scali.co.uk ) est une CLEF pour rechercher une informa-on Ø Le résultat est un ou plusieurs Enregistrements de Ressources (ER) ou resource records RR Ø Il y a des ER différents pour différents types d'informa-on Ø Vous pouvez demander le type spécifique que vous voulez, ou demandez " n'importe quel " ER associé au nom de domaine 5/26/14 AFNOG- 2014 SSF 9

VUE GENERALE DES RRs Ø A (adresse): associe le nom d hôte à l adresse IPv4 Ø AAAA (quad A): associe le nom d hôte à l adresse IPv6 Ø PTR (pointer): associe l adresse IP au nom Ø MX (Mail exchanger): où délivré le courrier pour l adresse user@domain Ø CNAME (Canonical NAME): associe un nom alterna-f au nom réel de l hôte Ø TXT (text): tout texte descrip-f Ø NS (Name Server), SOA (Start Of Authority): sont u-lisés pour la déléga-on et la ges-on du DNS lui- même 5/26/14 AFNOG- 2014 SSF 10

Exemple simple Requête : Requête de type: Résultat: www.afnog.org. A www.afnog.org. 14400 IN A 196.216.2.4 Dans ce cas un seul RR a été trouvé,,mais en général, plusieurs RRs peuvent être retournés. (IN est la "classe pour INTERNET utilisée par DNS 5/26/14 AFNOG- 2014 SSF 11

Résultats Possibles Ø Posi-f (un ou plusieurs ER sont trouvés) Ø Néga-f (certainement aucun ER ne correspond à la requête ) Ø Échec de serveur (ne peut pas trouver la réponse ) Ø Refusé (n est pas autorisé à demander au serveur ) 5/26/14 AFNOG- 2014 SSF 12

Comment u-lisez une adresse IP comme la clef pour une requête DNS? Convertir l adresse IP au format 4 digits séparé par des points Renverser les quatre parties Ajouter ".in-addr.arpa. à la fin; domaine spécial réservé à cette fin Exemple pour chercher le nom 193.194.185.25 Nom de domaine: 25.185.194.193.in-addr.arpa. Requête de Type: PTR Resultat: ashanti.gh.com. Connue comme consulation inverse du DNS" (Parce que nous cherchons le nom pour une adresse IP, plutôt que l adresse IP pour le nom) 5/26/14 AFNOG- 2014 SSF 13

Ques-ons?? 5/26/14 AFNOG- 2014 SSF 14

Le DNS est une applica-on Client/Serveur Ø Naturellement - il fonc-onne à travers un réseau Ø Les requêtes et les réponses sont normalement envoyées dans des paquets UDP,port 53 Ø De temps en temps u-lise le TCP, port 53 î pour les requêtes très grandes, exemple : transfert zone à par-r du maître à l esclave, ou un enregistrement IPv6 AAAA 5/26/14 AFNOG- 2014 SSF 15

Trois rôles du DNS Application Exemple votre navigateur Resolver Serveur Cache Serveur Autoritaire 5/26/14 AFNOG- 2014 SSF 16

Ø Le RESOLVER î î î Trois rôles du DNS prends la demande de l'applica-on, formate la demande dans le paquet UDP Envoi la demande au cache DNS Ø SERVEUR CACHE î î î î Renvoie la réponse si elle est déjà connue Autrement il recherche un serveur autoritaire qui a l'informa-on Cache le résultat pour de requêtes futures Egalement connu sous le nom de Serveur RECURSIF Ø SERVEUR AUTORITAIRE î Con-ent l'informa-on réelle mise dans le DNS par le propriétaire du domaine 5/26/14 AFNOG- 2014 SSF 17

Trois rôles du DNS Ø Le MEME protocole est u-lisé pour la communica-on du resolver " cache et du cache " serveur autoritaire Ø Il est possible de configurer un seul serveur de nom en tant que serveur cache et serveur autoritaire à la fois Ø Mais il exécute toujours seulement un rôle pour chaque requête entrante Ø Ce qui est commun mais NON RECOMMANDÉ (à voir plus tard) 5/26/14 AFNOG- 2014 SSF 18

Rôle 1: LE RESOLVER Ø Un morceau de logiciel qui formate une requête DNS dans un paquet UDP, l'envoie à un cache, et décode la réponse Ø Habituellement une bibliothèque partagée (ex. libresolv.so sous Unix) parce que beaucoup d'applica-ons ont besoin de lui Ø CHAQUE hôte a besoin d'un resolver ex chaque poste de travail Windows en a un 5/26/14 AFNOG- 2014 SSF 19

Comment le resolver trouve le serveur cache? Ø Il doit être explicitement configuré (sta-quement ou par l intermédiaire du DHCP, etc) Ø Il doit être configuré avec l'adresse IP du serveur cache (pourquoi pas le nom?) Ø Bonne idée de configurer plus d'un cache au cas où le premier tomberait en panne 5/26/14 AFNOG- 2014 SSF 20

Comment choisissez- vous quel serveur cache configurer? Ø Vous devez avoir la PERMISSION d u-liser le serveur cache î Ex. serveur cache de votre ISP, ou le votre Ø Préférer le serveur cache voisin î Réduit au minimum la perte aller- retour de temps et de paquets î Peut réduire le trafic sur votre liaison externe, puisque souvent le serveur cache peut répondre sans contacter d'autres serveurs Ø Préférer un serveur cache fiable î Peut- être votre propre serveur cache 5/26/14 AFNOG- 2014 SSF 21

Le Resolver peut être configuré avec le(s) domaine(s) par défaut Ø Si "foo.bar" échoue, réessayer alors la requête en tant que "foo.bar.mydomain.com" Ø Peut sauver la saisie mais ajoute la confusion Ø Peut produire du trafic inu-le supplémentaire Ø Éviter Habituellement 5/26/14 AFNOG- 2014 SSF 22

Exemple: Configura-on resolver Unix /etc/resolv.conf search sse.ws.afnog.org nameserver 196.200.219.200 nameserver 196.200.223.1 C est tout ceux dont vous avez besoin pour configurer un resolver 5/26/14 AFNOG- 2014 SSF 23

Les tests du DNS Ø Juste saisir dans la zone adresse de votre navigateur : "www.yahoo.com? Ø Pourquoi est ce que ce n est pas un bon essai? 5/26/14 AFNOG- 2014 SSF 24

Tester le DNS avec dig Ø "dig" est un programme qui effectue des requêtes DNS et affiche les résultats Ø Meilleur que "nslookup", "host" parce qu il montre l'informa-on crue complètement dig tiscali.co.uk. -- par défaut pour demander le type "A" dig tiscali.co.uk. mx -- indique le type de requête dig @212.74.112.66 tiscali.co.uk. mx -- Envoyé à un cache DNS particulier (dépasse /etc/ resolv.conf) 5/26/14 AFNOG- 2014 SSF 25

Le point à la fin d un nom de domaine dig tiscali.co.uk. Trailing Ø Empêche n'importe quel domaine par défaut d être ajouté Ø Prendre l habitude de l u-liser au cours des tests du DNS î seulement sur des noms de domaine, pas sur les adresses IP D Dot 5/26/14 AFNOG- 2014 SSF 26

# dig @81.199.110.100 www.gouv.bj. a ; <<>> DiG 8.3 <<>> @81.199.110.100 www.gouv.bj a ; (1 server found) ;; res options: init recurs defnam dnsrch ;; got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 4, ADD'L: 3 ;; QUERY SECTION: ;; www.gouv.bj, type = A, class = IN ;; ANSWER SECTION: www.gouv.bj. 1D IN CNAME waib.gouv.bj. waib.gouv.bj. 1D IN A 208.164.179.196 ;; AUTHORITY SECTION: gouv.bj. 1D IN NS rip.psg.com. gouv.bj. 1D IN NS ben02.gouv.bj. gouv.bj. 1D IN NS nakayo.leland.bj. gouv.bj. 1D IN NS ns1.intnet.bj. ;; ADDITIONAL SECTION: ben02.gouv.bj. 1D IN A 208.164.179.193 nakayo.leland.bj. 1d23h59m59s IN A 208.164.176.1 ns1.intnet.bj. 1d23h59m59s IN A 81.91.225.18 ;; Total query time: 2084 msec ;; FROM: ns.t1.ws.afnog.org to SERVER: 81.199.110.100 ;; WHEN: Sun Jun 8 21:18:18 2013 ;; MSG SIZE sent: 29 rcvd: 221 5/26/14 AFNOG- 2014 SSF 27

Interpréta-on des résultats: header ( entête) Ø STATUS î NOERROR: 0 ou plus d ER est retourné î NXDOMAIN: domaine inexistant î SERVFAIL: le serveur cache ne pouvait pas localiser la réponse î REFUSED: la requête n est pas disponible sur le serveur cache Ø FLAGS AA: Réponse des serveurs autoritaires (pas du serveur cache ) Vous pouvez ignorer les autres QR: Query/Response (1 = Réponse) RD: Recursion Desired ( Résursion Désiré ) RA: Recursion Available ( résursion disponible ) 5/26/14 AFNOG- 2014 SSF 28

Interpréta-on des résultats Ø Answer sec-on (Les ERs demandés) î Chaque enregistrement a un temps de vie (TTL) î Dit combien de temps le cache la gardera Ø Authority sec-on î Quels serveurs de noms sont autoritaires pour ce domaine Ø Addi-onal sec-on î Plus d enregistrements (ERs) : typiquement des adresses IP pour les serveurs de noms autoritaires Ø Total query -me Ø From î vérifie quel serveur a donné la réponse! î Si vous faites une faute de frappe, la requête peut aller à un serveur par défaut 5/26/14 AFNOG- 2014 SSF 29

Exercices Pra-ques Ø Configurer le resolver Unix Ø Faire des requêtes DNS en u-lisant 'dig' Ø U-liser tcpdump' pour afficher les requêtes émises qui sont envoyées au cache 5/26/14 AFNOG- 2014 SSF 30

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back