dns server
TRANSCRIPT
Domain Name System (DNS) este un sistem distribuit de păstrare și interogare a unor date
arbitrare într-o structură ierarhică. Cea mai cunoscută aplicație a DNS este
gestionarea domeniilor în Internet.
Caracteristicile sistemului de nume (DNS) sunt:
folosește o structură ierarhizată;
deleagă autoritatea pentru nume;
baza de date cu numele și adresele IP este distribuită.
Fiecare implementare TCP/IP conține o rutină software (name resolver) specializată în
interogarea serverului de nume (DNS) în vederea obținerii translatării nume/adresă IP sau
invers.
Există 2 tipuri de rezoluție de nume:
rezoluție recursivă (name resolverul cere serverului de nume să facă translatarea);
rezoluție iterativă (name resolverul cere serverului de nume să îi furnizeze adresa IP a
unui server care poate face translatarea).
Tipic, procesul de rezoluție a numelor se desfășoară astfel:
1. Name resolverul primește de la o aplicație client TCP/IP un nume; acesta formulează o
interogare primului server de nume din lista serverelor;
2. Serverul de nume (DNS) determină daca este mandatat (autorizat) pentru domeniul
respectiv (dacă există configurată o zonă DNS care conține numele respectiv);
3. Dacă este autorizat, transmite răspunsul clientului;
4. Dacă nu, transmite o interogare altui server de nume pentru un răspuns autorizat;
obține răspunsul autorizat și transmite clientului un răspuns neautorizat; totodată
stochează răspunsul local pentru a răspunde la alte cereri pentru același nume.
5. Resolverul de nume transmite răspunsul aplicației utilizator și îl păstrează într-un cache
pentru o anumită perioadă;
6. Dacă name resolverul nu primește un răspuns într-un anumit timp, transmite cererea
următorului server de nume din listă. Când lista este epuizată, va genera o eroare.
Domain Name System (DNS) este un sistem ierarhic de denumire construit pe o bază de date
distribuită pentru calculatoare, servicii, sau orice resursă conectat la Internet sau o reţea
privată . Se asociază diverse informaţii cu nume de domenii atribuit fiecare dintre entităţile
participante. Cel mai important, se traduce numele de domenii semnificative pentru om în
identificare numerică asociată cu echipamente de retea, în scopul de localizare şi abordarea
acestor dispozitive în întreaga lume.
O analogie adesea folosite pentru a explica Domain Name System este că serveşte ca cartea
de telefon pentru Internet prin traducerea umane uşor de calculator nume de host în adrese
IP . De exemplu, numele de domeniu www.example.com traduce la
adresele 192.0.32.10 ( IPv4 ) şi 2620:0:2 d0: 200:: 10 ( IPv6 ).
Domain Name System face posibil de a atribui nume de domenii pentru grupuri de resurse
Internet şi utilizatorilor într-un mod semnificativ, independent de entităţi fizice fiecare
locaţie. Din acest motiv,World Wide Web (WWW), hyperlinkuri şi Internet informatii de
contact pot rămâne consecventă şi constantă, chiar dacă Internet regimul actual de rutare
schimba sau participantul foloseste un dispozitiv mobil. Internet nume de domenii sunt mai
uşor de reţinut decât adresele IP, cum ar fi 208.77.188.166 (IPv4) sau 2001: db8: 1f70:: 999:
de8: 7648:6 E8 (IPv6). Utilizatorii profita de acest lucru atunci când recita
semnificativ Uniform Resource Locators (URL-uri) şi adrese de e-mail fără a fi nevoie să
cunoască modul în care computerul de fapt, le localizează.
Domain Name System distribuie responsabilitatea de a atribui nume de domenii şi de
cartografiere aceste nume la adresele IP prin desemnarea serverele de nume de
autoritate pentru fiecare domeniu.Serverele de autoritate nume sunt atribuite să fie
responsabil pentru domeniile lor specifice, şi în rândul lor, pot atribui alte servere de
autoritate nume pentru lor sub-domenii. Acest mecanism a făcut DNS distribuite şi tolerante
de eroare şi a ajutat evita necesitatea unui registru central unic să fie consultat şi actualizat
continuu.
În general, Domain Name System magazine de asemenea, alte tipuri de informaţii, cum ar fi
lista de servere de mail care accepta e-mail pentru un domeniu de Internet dat. Prin asigurarea
unui nivel mondial, distribuite de cuvinte cheie redirecţionarea servicii bazate pe, Domain
Name System este o componentă esenţială a funcţionalităţii de pe Internet .
Alte identificare, cum ar fi etichetele RFID , coduri de UPC , International caractere din
adresele de e-mail şi nume de gazdă, şi o varietate de alte identificare ar putea utiliza toate
potenţial DNS.
Domain Name System precizează, de asemenea, funcţionalitatea tehnică a acestui serviciu de
baze de date. El defineşte protocolul DNS, o definiţie detaliată a structurilor de date şi
schimburi de comunicare utilizate în DNS, ca parte a protocolului internet Suite .
Prezentare generală
Internet dispune de două principale namespace , ierarhia numele de domeniu şi Internet
Protocol (IP), sistem de difuzoare. Domain Name System menţine spaţiul de nume de
domeniu şi oferă servicii de traducere între aceste două namespace-uri. Serverele de nume
Internet şi o comunicare protocol punerea în aplicare a Sistemului Numele de Domeniu. Un
server de nume DNS este un server care stochează înregistrările DNS pentru un nume de
domeniu, cum ar fi adresa (A) înregistrările, numele serverului (NS) înregistrări, şi poştă
schimbător (MX) înregistrări (a se vedea, de asemenea, Lista de tipuri de înregistrări DNS );
un server de nume DNS raspunde cu răspunsuri la întrebările împotriva baza sa de date.
History
Practica de a folosi un nume, ca mai semnificativ abstracţie omeneşte de gazdei numerice
adresa o pe reţea datează din ARPANET epoca. Înainte de DNS a fost inventat în 1983,
fiecare computer din reţea preluate un fişier denumit HOSTS.TXT unui computer de la SRI
(acum SRI International ) Fişierul HOSTS.TXT mapat nume la adresele
numerice. Un fişierul hosts încă mai există pe sistemele de operare cele mai moderne în mod
implicit şi conţine, în general, o cartografiere a adresei IP 127.0.0.1 la "localhost". Multe
sisteme de operare utilizarea rezoluţie logica nume care permite administratorilor să
configureze priorităţile de selecţie pentru metodele disponibile rezoluţia de nume.
Creşterea rapidă a reţelei a făcut o central menţinută, fişier HOSTS.TXT artizanale
nedurabile; a devenit necesar să se pună în aplicare un sistem mai scalabil capabil de
diseminare a informaţiilor solicitate în mod automat.
La cererea de Jon Postel , Paul Mockapetris inventat Numele de Domeniu System în 1983 şi a
scris prima punere în aplicare. Specificaţiile originale au fost publicate de Internet
Engineering Task Force în RFC 882 şi RFC 883 , care au fost înlocuit în noiembrie 1987 de
către RFC 1034 şi RFC 1035 . Mai multe suplimentare Cerere pentru Comentarii au propus
diferite extensii pentru DNS de bază protocoale.
În 1984, patru Berkeley studenţii-Douglas Terry, Mark Painter, David Riggle, Songnian Zhou
şi-a scris prima Unix punere în aplicare, numit Berkeley Internet Name Domain ( BIND )
Server. In 1985, Kevin Dunlap din decembrie semnificativ re- a scris la punerea în aplicare
DNS. Mike Karels, Phil Almquist, şi Paul vixie au menţinut BIND de atunci. BIND a
fost portat pentru Windows NT platforma de la începutul anilor 1990.
BIND a fost larg răspândite, mai ales pe sisteme Unix, şi este dominant în utilizarea software-
ul DNS de pe Internet. Cu utilizarea grele şi care rezultă control de cod open-source sale,
precum şi mai multe metode de atac ce în ce mai sofisticate, de securitate multe defecte au
fost descoperite în BIND. Acest lucru a contribuit la dezvoltarea unui număr de server de
nume alternative şi programe de rezolvator . BIND versiunea 9 a fost scris de la zero şi are
acum un record de securitate comparabil cu alte DNS software moderne.
Spaţiul de nume de domeniu constă dintr-un copac de nume de domenii. Fiecare nod sau
frunză în copac a zero sau mai multe înregistrări de resurse, care deţin informaţii asociate cu
numele de domeniu. Sub copac-împarte în zone începând de la zona de rădăcină . O zonă
DNS poate consta din un singur domeniu, sau poate cuprinde mai multe domenii şi sub-
domenii, în funcţie de autoritatea administrativă delegate la manager.
Un nume de domeniuconstă din unul sau mai multe părţi, numite etichete punct de vedere
tehnic, care sunt în mod convenţional concatenate, şi delimitat prin puncte, cum ar
fi example.com.
-Eticheta mai dreapta transmite la nivel de domeniu de top , de
exemplu, www.example.com nume de domeniu aparţine nivel de domeniu com-top.
Ierarhia de domenii coboară de la dreapta la stânga; fiecare etichetă la stânga
precizează o subdiviziune, sau subdomeniu al domeniului la dreapta. De exemplu: de
exemplu eticheta specifică un subdomeniu al domeniului com, www şi este un domeniu de
sub example.com.Acest arbore de subdiviziuni pot avea până la 127 de niveluri.
Fiecare etichetă poate conţine până la 63 de caractere. Numele de domeniu complet nu
poate depăşi o lungime totală de 253 de caractere în sale punctată eticheta caietul de
sarcini externe. În reprezentarea binară internă a DNS lungimea maximă necesită 255
octeti de depozitare. În practică, unele domenii registrele ar putea avea termene mai
scurte.
numele DNS poate consta din punct de vedere tehnic orice caracter reprezentate într-un
octet. Cu toate acestea, formularea permis de nume de domenii în zona de rădăcină DNS,
cele mai multe domenii şi alte sub, foloseste un format preferat şi setul de
caractere. Caracterele permise într-un etichetă sunt un subset al ASCII setul de caractere,
şi cuprinde caracterele A la Z, la A la Z, cifre 0 la 9, şi cratima. Această regulă este
cunoscut sub numele de regula LDH (litere, cifre, cratimă). Numele de domenii sunt
interpretate în mod independent de caz. Etichetele nu poate începe sau se termină cu o
cratimă. [11]
Un nume de gazdă este un nume de domeniu care are cel puţin o adresă IP asociată. De
exemplu, numele de domeniu www.example.com şi example.com sunt, de asemenea,
nume de gazde, în timp ce com nu este.
nume de domenii internationalizate
Caracterul permis set de DNS împiedicat reprezentarea numelor şi cuvinte de mai multe limbi
în limba maternă alfabetele lor sau script-uri. ICANN a aprobat Domain Names
Internaţionalizarea în Aplicaţii (IDNA) sistem, care hărţi Unicode siruri de caractere în DNS
caracter valid set utilizând Punycode . În 2009, ICANN a aprobat instalarea de IDN codul de
ţară domenii de nivel superior. În plus, multe registre de TLD existente au adoptat IDNA.
Servere de nume
Domain Name System este întreţinut de o bază de date distribuită sistem, care
utilizează client-server model. Nodurile acestei baze de date sunt serverele de nume. Fiecare
domeniu are cel puţin un server DNS autoritar care publică informaţii despre acest domeniu
şi serverele de nume de domenii orice subordinea sa. Partea superioară a ierarhiei este servit
de servere de nume rădăcină , serverele de interogare atunci când se uită în
sus (rezolvarea) un nivel de nume de domeniu-top ( TLD ).
server de nume de autoritate
Un server de nume cu autoritate este un server de nume care dă răspunsuri care au fost
configurate de către o sursă original, de exemplu, administratorul de domeniu sau de DNS
metode dinamice, în contrast cu răspunsurile care au fost obţinute printr-o interogare DNS
regulat la un alt server de nume. Un server de nume de autoritate revine doar-doar răspunsuri
la întrebări despre nume de domenii care au fost configurate în mod specific de către
administrator.
Un server de nume cu autoritate poate fi fie un server master sau un server de sclav. Un
server master este un server care stochează original (master) copii ale tuturor Zone
Records. Un server slave foloseste un mecanism automat de actualizare a protocolului DNS
master în comunicare cu ei pentru a menţine o copie identică a înregistrărilor master.
Fiecare zona de DNS trebuie să fie atribuit un set de servere de nume de autoritate care sunt
instalate în înregistrările NS în zona de mamă.
Când numele de domenii sunt înregistrate cu o nume de domeniu registrator instalarea lor
la registrul domeniu unui domeniu de nivel superior necesită alocarea unui server de
nume primar şi cel puţin un server de nume secundar. Cerinţa de servere de nume multiple îşi
propune să facă domeniu încă funcţională, chiar dacă un server de nume devine inaccesibil
sau nefuncţionale. [12] Desemnarea unui server de nume primar este exclusiv determinată de
prioritatea acordată registratorului numele de domeniu. În acest scop, în general,
numai numele de domeniu complet calificat, a serverului de nume este necesară, cu excepţia
cazului în serverele sunt conţinute în domeniu înregistrat, caz în care corespunzător adresa
IP este nevoie, de asemenea.
servere primare nume sunt master adesea serverele de nume, în timp ce server de nume
secundar pot fi puse în aplicare ca serverele slave.
Un server de autoritate indică statutul său de a furniza răspunsuri definitive, considerate de
autoritate, prin stabilirea unui pavilion de software (un pic protocol structura), numit cu
autoritate Răspuns (AA) bit în răspunsurile sale. Acest pavilion este, de obicei reprodus
vizibil în producţia de instrumente de interogare DNS de administrare, pentru a indica faptul
că serverul de nume este o autoritate răspunde pentru numele de domeniu în cauză.
recursive şi caching server de nume
În principiu, servere de nume de autoritate sunt suficiente pentru funcţionarea internetului. Cu
toate acestea, cu doar autoritar serverele de operare nume, fiecare interogare DNS trebuie să
înceapă cu interogări recursive la zona de rădăcină a sistemului de nume de domeniu şi
fiecare utilizator trebuie să pună în aplicare sistemul de software resolver capabile să
funcţioneze recursive.
Pentru a îmbunătăţi eficienţa, a reduce DNS traficul pe Internet, şi creşterea performanţelor în
aplicaţii utilizatorului final, Domain Name System sprijină serverele DNS cache care
stochează rezultate interogare DNS pentru o perioadă de timp determinată în configuraţia
(time-to-live) din nume de domeniu de înregistrare în cauză. , Astfel de caching serverele
DNS, de asemenea, numit DNS cache De obicei, pune în aplicare, de asemenea, algoritmul
recursiv necesare pentru a rezolva un nume dat incepand cu DNS radacina pana la numele
serverele de autoritate din domeniu interogate. Cu aceasta functie puse în aplicare în serverul
de nume, aplicaţii eficienţa câştig de utilizator în proiectarea şi operarea.
Combinaţia de cache DNS şi funcţii recursive într-un server de nume nu este obligatorie,
funcţiile pot fi implementate independent în servere pentru scopuri speciale.
furnizorii de servicii Internet oferă de obicei şi caching nume servere recursiv pentru clienţii
lor. În plus, multe routere reţeaua de domiciliu şi punerea în aplicare a cache DNS recursors
de îmbunătăţire a eficienţei în reţeaua locală.
Rezolvere DNS
Partea de client a DNS este numit un rezolvator DNS. Acesta este responsabil pentru iniţierea
şi derularea interogări care duce în final la o rezolutie maxima (traducere) resursei solicitate,
de exemplu, traducerea unui nume de domeniu într-o adresă IP.
O interogare DNS poate fi fie o interogare non-recursive sau o interogare recursive:
A-recursive interogare care nu este una în care serverul DNS prevede un record pentru
un domeniu pentru care este ea însăşi autoritate, sau oferă un rezultat parţială fără
interogarea alte servere.
O interogare recursivă este unul pentru care serverul DNS va răspunde pe deplin
interogare (sau să dea o eroare) de către alte servere de nume interogarea după cum este
necesar. serverele DNS nu sunt necesare pentru a susţine interogări recursive.
Resolver, sau un alt server DNS recursiv care acţionează în numele resolver, negociază
folosirea serviciului recursive folosind biţi în antetele de interogare.
Rezolvarea presupune de obicei iterarea prin mai multe servere de nume pentru a găsi
informaţiile necesare. Cu toate acestea, unele rezolvere funcţie de simplist şi pot comunica
doar cu un singur server de nume. Aceste rezolvere simple (numite "rezolvere cioturi"), se
bazează pe un server de nume recursive pentru a efectua munca de a găsi informaţii pentru ei.
mecanismul de rezolvare a Adresa
Numele de domeniu rezolvere determina serverele corespunzătoare numelui de domeniu
responsabil pentru numele de domeniu în cauză printr-o secvenţă de interogări începând cu
dreptul de a etichetei cele mai multe domenii (de nivel superior).
Procesul presupune:
1. O gazda de retea este configurat cu o memorie cache iniţială (aşa-numita indicii) din
adresele cunoscute ale serverelor DNS radacina . Un astfel de fişier indiciu este
actualizată periodic de către un administrator de la o sursă de încredere.
2. O interogare la unul din serverele rădăcină pentru a găsi serverul cu autoritate pentru
domeniul de nivel superior.
3. O interogare la serverul TLD obţinute pentru adresa a unui server DNS cu autoritate
pentru domeniu de nivel secundar.
4. Repetarea pasul anterior pentru a procesa fiecare etichetă nume de domeniu în ordine,
până în etapa finală, care returneaza adresa IP a gazdei căutat.
Diagrama ilustrează acest proces pentru www.wikipedia.org gazdă.
Mecanismul în acest formular simplu ar fi o povară mare de operare pe serverele rădăcină, cu
fiecare căutare pentru o adresă de pornire de către interogarea una dintre ele. Fiind ca fiind
critice în care acestea sunt la funcţia de ansamblu a sistemului, o astfel de utilizare grele ar
crea o piedică de netrecut pentru trilioane de interogări plasate în fiecare zi. În
practică, cache-ul este utilizat in serverele DNS pentru a depăşi această problemă, şi, ca
urmare, serverele de nume rădăcină de fapt sunt implicate, cu foarte putin din traficul total.
dependenţele circulare şi înregistrări lipici
servere de nume în delegaţii sunt identificate prin nume, mai degrabă decât prin adresa
IP. Aceasta înseamnă că un server de nume rezolvarea trebuie să emită o altă cerere DNS
pentru a afla adresa IP a serverului la care a fost menţionată. În cazul în care numele dat în
delegaţia este un subdomeniu al domeniului pentru care delegaţia sunt furnizate, există
o dependenţă circulară . În acest caz, nameserver care furnizează delegaţia trebuie să
furnizeze, de asemenea, una sau mai multe adrese IP pentru nameserver autoritate menţionate
în delegaţie. Aceste informaţii se numeşte lipici. Server de nume de delegare prevede acest
lipici în formă de înregistrări în secţiunea suplimentară a răspuns DNS, şi oferă delegaţia
în secţiunea răspunsul a răspuns.
De exemplu, dacă serverul de nume autoritate for example.org este ns1.example.org, un
computer încercarea de a rezolva www.example.org rezolvă
prima ns1.example.org. Deoarecens1 este conţinută în example.org, acest lucru necesită
rezolvarea example.org în primul rând, care prezintă o dependenţă circulară. Pentru a rupe
dependenta, a nameserver pentru Orgdomeniu de nivel superior includes lipici, împreună cu
delegaţia pentru example.org. Înregistrările clei sunt înregistrări adresa care oferă adrese IP
pentru ns1.example.org. Resolver utilizează unul sau mai multe din aceste adrese IP la o
interogare din serverele de domeniu de autoritate, care îi permite să completeze interogare
DNS.
caching de discuri
Din cauza volumului mare de cereri generate DNS pentru Internet public, designerii au dorit
să ofere un mecanism pentru a reduce sarcina de pe serverele DNS individuale. În acest scop,
procesul de soluţionare a DNS permite cache de înregistrări pentru o perioadă de timp după
un răspuns. Acest lucru presupune locale de consultare şi de înregistrare ulterioară a copia în
loc de iniţiere a unei noi cereri amonte. De timp pentru care un cache DNS resolver un
răspuns este determinat de o valoare numit timp pentru a trăi (TTL), asociate cu fiecare
înregistrare. TTL este stabilit de către administratorul serverului DNS predarea în răspunsul
autoritar. Perioada de valabilitate poate varia de la doar câteva secunde la zile sau chiar
săptămâni.
Ca o consecinţă a acestui remarcabil cache arhitectură şi distribuite, modificări la
înregistrările DNS nu se propaga în întreaga reţea imediat, dar necesită toate cache să expire
şi reîmprospăta dupa TTL. RFC 1912 transmite regulile de bază pentru determinarea TTL
valorile corespunzătoare.
Unele rezolvere pot suprascrie valorile TTL, ca protocolul sprijină cache de până la 68 de ani
sau nu caching la toate. caching negative , adică cache de fapt de non-existenta a unei
înregistrări, este determinat de servere de nume de autoritate pentru o zonă care trebuie să
includă Start a Autorităţii (SOA) înregistrează atunci când raportarea nu există date de tipul
solicitat există. Valoarea din câmpul MINIM inregistrarea SOA şi TTL de SOA în sine este
folosită pentru a stabili TTL pentru răspunsul negativ.
Reverse lookup
Un revers lookup este o interogare de DNS pentru numele de domeniu în cazul în care adresa
IP este cunoscută. Mai multe nume de domeniu poate fi asociat cu o adresă IP. Magazine
DNS adresele IP în formă de nume de domenii ca un nume format special în
pointer (PTR), înregistrările în top-level domain infrastructură ARPA . Pentru IPv4, domeniul
este in-addr.arpa. Pentru IPv6, căutare inversă domeniu este ip6.arpa. Adresa IP este
reprezentat ca un nume în reprezentare octet inversă-comandat pentru IPv4, şi reprezentarea
inversă a ordonat ciuguli pentru IPv6.
Atunci când se efectuează o căutare inversă, clientul DNS converteşte adresa în aceste
formate, şi interogări apoi numele pentru un record PTR urma lanţului de delegaţia ca pentru
orice interogare DNS. De exemplu, adresa IPv4 208.80.152.2 este reprezentat ca un nume
DNS ca 2.152.80.208.in-addr.arpa. DNS resolver începe prin interogarea serverele rădăcină,
care este punctul de la servere pentru ARIN-addr.arpa zona 208.in. De acolo serverele
Wikimedia sunt atribuite pentru 152.80.208.in-addr.arpa, şi PTR căutare completează de către
interogarea nameserver Wikimedia pentru 2.152.80.208.in-addr.arpa, ceea ce duce la un
răspuns de autoritate.
Client căutare
Utilizatorii, în general, nu comunică direct cu un rezolvator DNS. În schimb rezoluţie DNS
are loc în mod transparent în programele de aplicaţii, cum ar fi browsere web , clienti de e-
mail , Internet şi alte aplicaţii. Atunci când o aplicaţie face o cerere, care necesită un nume de
domeniu de căutare, astfel de programe trimite o cerere rezoluţie DNS resolver în sistemul de
operare locale, care, la rândul său, se ocupă de comunicaţiile necesare.
DNS resolver aproape invariabil va avea un cache (vezi mai sus) care conţin lookups
recente. În cazul în care cache-ului poate oferi răspunsul la cerere, resolver va returna
valoarea din cache la programul care a făcut cererea. În cazul în care cache-ul nu conţine
răspunsul, resolver va trimite cererea la unul sau mai multe servere DNS desemnate. În cazul
de acasă majoritatea utilizatorilor, a furnizorul de servicii Internet la care maşina se
conectează va furniza, de obicei, acest server DNS: un astfel de utilizator va trebui fie
configurate ca adresa serverului manual sau permis DHCP a le seta; cu toate acestea, în cazul
în care administratorii de sisteme au configurate sisteme de a folosi propriile servere DNS,
rezolvere lor DNS punctul de a menţine serverele de nume separat al organizaţiei. În orice
caz, serverul de nume astfel contestat va urma procesul prezentat mai sus , până când se
găseşte fie cu succes un rezultat sau nu. Se întoarce apoi rezultatele sale la DNS resolver,
presupunând că aceasta a găsit un rezultat, cache resolver care rezultă în mod corespunzător
pentru utilizare în viitor, şi mâinile rezultatul înapoi la software-ul care a iniţiat cererea.
rezolvere Broken
Un nivel suplimentar de complexitate apare atunci când rezolvere incalca regulile de protocol
DNS. Un număr de ISP-uri mari au configurat serverele lor DNS pentru a încălca regulile
(probabil pentru a le permite să ruleze pe hardware mai puţin costisitor decât un rezolvator pe
deplin conforme), cum ar fi prin neascultarea TTLS, sau prin care indică faptul că un nume
de domeniu nu exista doar pentru că unul din serverele numele său nu răspunde.
Ca un nivel final de complexitate, unele aplicaţii (cum ar fi web-browsere) au, de asemenea,
propriile lor cache DNS, în scopul de a reduce utilizarea bibliotecii rezolvitorului DNS în
sine. Această practică se poate adăuga o dificultate în plus atunci când problemele de
depanare DNS, ca ea ascunde prospeţimea de date, şi / sau date ce vine de la care
cache. Aceste cache de obicei utilizarea foarte scurt cache ori-pe ordinea de un minut.
Internet Explorer reprezintă o excepţie notabilă: versiunile 3.x până la IE cache DNS
înregistrări pentru 24 de ore în mod implicit. Internet Explorer 4.x şi versiunile ulterioare
(până la IE 8) reduce timpul implicit în valoare de o jumătate de oră, care pot fi modificate în
cheile de registry corespunzătoare.
detalii protocol
DNS foloseşte în principal User Datagram Protocol (UDP) pe portul 53 pentru a servi
cererile. interogări DNS UDP constau dintr-o singură solicitare din partea clientului, urmată
de o UDP singur răspuns de la server. Transmission Control Protocol (TCP) este folosit
atunci când datele dimensiunea de răspuns mai mare de 512 octeţi, sau pentru sarcini, cum ar
fi zona de transferuri . Unele sisteme de operare, cum ar fi HP-UX , sunt cunoscute de a avea
implementari resolver care folosesc TCP pentru toate întrebările, chiar şi atunci când UDP ar
fi suficiente.
Un Record de resurse (RR) este elementul de bază de date în sistemul de nume de
domeniu. Fiecare înregistrare are un tip (A, MX, etc), o limită de expirare de timp , o clasă, şi
unele specifice tip de date. înregistrările de resurse de acelaşi tip defini un set de resurse
record. Ordinea de înregistrări într-un set de resurse, returnaţi de către un resolver la o cerere,
este nedefinit, dar de multe ori serverele punerea în aplicare a round-robin prin care se
dispune pentru a realiza echilibrarea încărcării. DNSSEC , cu toate acestea, lucrările de la
dosar complet de resurse stabileşte într-o ordine canonică.
Atunci când sunt trimise printr-o reţea IP, toate înregistrările utilizaţi formatul comun
specificat în RFC 1035 :
RR (Resource Record) domenii
Câmp DescriereLungimea
( octeţi )
NUME Numele de nod la care se referă acest record (Variabila)
TIPTipul de RR in forma numerica (de exemplu,
15 pentru MX incidenţa RMO)2
CLASA Codul clasei de 2
TTL
Contele de secunde în care RR rămâne valabil
(maxim este de 2 31 -1, care este de
aproximativ 68 ani.)
4
RDLENGTH Lungimea RDATA câmp 2
RDATA De date suplimentare RR-specifice (Variabila)
NUME este numele de domeniu complet calificat, de nod în copac. Pe sârmă, numele poate fi
scurtat prin compresie etichetă în cazul în care se termină a numelor de domenii menţionat
mai devreme în pachet poate fi înlocuit la sfârşitul numelui de domeniu curent.
TYPE este tipul de înregistrare. Acesta indică formatul datelor şi dă un indiciu al utilizării
prevăzute a acestuia. De exemplu, înregistrarea A este folosit pentru a traduce dintr-un nume
de domeniu la oadresă IPv4 , record listele NS care serverele de nume se poate răspunde la
căutările pe o zonă DNS , şi înregistrarea MX specifica serverul de mail folosit să se ocupe de
mail pentru un domeniu specificat într-o adresă de e-mail (a se vedea, de asemenea, Lista de
tipuri de înregistrări DNS ).
RDATA sunt date de-specifice relevanţă tip, cum ar fi adresa IP pentru înregistrări adresa, sau
prioritatea şi numele de gazdă pentru înregistrările MX. Ei bine cunoscut record tipuri pot
folosi eticheta de compresie în domeniul RDATA, dar "necunoscut" nu trebuie să tipuri de
înregistrări ( RFC 3597 ).
Clasa de o înregistrare este setată la IN (pentru Internet) pentru înregistrările DNS comune
care implică nume de host-Internet, servere, sau adrese IP. În plus,
clasele Chaos (NC) şi Hesiod (SA)exista. Fiecare clasă este un spaţiu independent cu nume
diferite delegaţii potenţial de zone DNS .
În plus faţă de înregistrările de resurse definite într-un fişier zonă , sistemul de nume de
domeniu defineşte, de asemenea, solicita mai multe tipuri care sunt folosite numai în
comunicarea cu alte noduri DNS (pe fir), cum ar fi atunci când zona de efectuarea
viramentelor (AXFR / IXFR) sau pentru EDNS (OPT).
înregistrări DNS Wildcard
Sistemul de nume de domeniu acceptă nume de domenii wildcard, care sunt nume care încep
cu eticheta asterisc, * ', de exemplu, *. exemplu ". Inregistrările DNS aparţinând wildcard
nume de domenii specifică normele pentru generarea de înregistrări de resurse în cadrul unui
singur zonei DNS prin substituirea etichete întregi cu potrivire componente ale numelui de
interogare, inclusiv orice descendenţi specificate. De exemplu, în x.example zona de DNS,
următoarea configuraţie specifică faptul că toate subdomeniile (inclusiv subdomeniile de
subdomenii) de utilizare x.example theaxexample schimbătorul de mail. Înregistrările
pentru axexample sunt necesare pentru a specifica schimbătorul de e-mail. Ca acest lucru are
ca rezultat excluderea acestui nume de domeniu şi a subdomeniilor sale din meciurile
wildcard, toate subdomeniile de axexample trebuie să fie definite într-o declaraţie separată
wildcard.
Rolul de înregistrări wildcard a fost rafinat în RFC 4592 , deoarece definiţia iniţială în RFC
1034 a fost incompletă şi a dus la interpretări greşite de către implementatori.
Probleme de securitate
DNS nu a fost proiectat iniţial cu securitate în minte, şi are astfel o serie de probleme de
securitate.
O clasă de vulnerabilitati este cache otrăvire DNS , care trucuri un server de DNS în crezând
că a primit informaţii autentice atunci când, în realitate, ea nu are.
răspunsurile DNS sunt în mod tradiţional nu criptografice semnat, ducând la multe posibilităţi
de atac, iar Domain Name System Extensii de Securitate (DNSSEC) modifică DNS pentru a
adăuga suport pentru răspunsuri semnate criptografic. Există diferite extensii pentru a sprijini
asigurarea transferului de informaţii, precum şi zona.
Chiar si cu criptare, un server de DNS ar putea deveni compromise de un virus (sau pentru
care contează un angajat nemulţumit), care ar duce la adresele IP de acel server să fie
redirecţionate către o adresă malitios cu o lungă TTL . Acest lucru ar putea avea un impact de
anvergura la potenţial milioane de utilizatori de Internet, dacă ocupat serverele DNS cache
date incorecte IP. Acest lucru ar necesita manual epurare a tuturor cache afectate DNS cerute
de TTL lung (până la 68 de ani).
Unele nume de domenii pot spoof alte nume, similare cu aspect domeniu. De exemplu,
"paypal.com" şi "paypa1.com" sunt nume diferite, dar utilizatorii pot fi în măsură să-i spuneţi
diferenţa atunci când utilizatorul de caractere (font) nu diferenţiază în mod clar litera L şi
numeralul 1 . Această problemă este mult mai grave în sistemele care
acceptă internaţionalizate nume de domenii , deoarece în multe coduri de caractere ISO
10646 , pot să apară pe ecrane identice tipic. Această vulnerabilitate este ocazional exploatat
în phishing .
Tehnici, cum ar fi forward-a confirmat DNS inversă poate fi de asemenea folosite pentru a
ajuta la validarea rezultatelor DNS.
Ministerul Educatiei din Republica Moldova
Colegiul de Informatica din Chisinau
Catedra Informatica Aplicata
Referat
La disciplina S.O.
Tema: Protocolul DNS si Server DNS
A elaborat: elevul gr. I-401 Botezatu Ion
A verificat: prof. Bivol Anatolie
Chisinau 2011