Cours DNS v3.0
Cours DNS v3.0
Cours DNS v3.0
Introduction, le besoin
! LInternet est constitu de rseaux (dizaines de milliers)! ! Les rseaux sont constitus de sous-rseaux ! Les sous-rseaux sont constitus de machines, ! La technologie de base (TCP/IP) permet laccs aux machines par leur adresse IP, ! Il est pratiquement devenu impossible aux humains de connatre les adresses (IP) des machines auxquelles ils veulent accder.
! Le systme DNS permet didentifier une machine par un nom reprsentatif de la machine et du rseau sur lequel elle se trouve ; exemple :
www.ensa.ac.ma identifie la machine www sur le rseau ensa.ac.ma
Introduction, le besoin
! Le systme est mis en uvre par une base de donnes distribue au niveau mondial ! Les noms sont grs par un organisme mondial : NIC (Network Information Center) et les organismes dlgus : RIPE,AFRINIC, NIC Maroc, etc.
Utilit du DNS
Utilit du DNS
Rsolution DNS
3 Serveur DNS
Serveur Web
4 Requte HTTP
196.200.179.66
Le service DNS permet la localisation de ressources de diffrents types partir de leur nom ou du nom du conteneur auquel elles appartiennent
Khalid El Baamrani - Cours DNS
Diffrence entre un domaine (zone) et un hte Noms de domaine/adresses www.google.fr www.support.msdn.microsoft.com www.ensa.ac.ma wanadoo.fr perso.wanadoo.fr Domaine google.fr ensa.ac.a wanadoo.fr wanadoo.fr Machine www www perso
support.msdn.microsoft.com www
Un domaine ne peut pas tre traduit en adresse IP car il ne correspond pas une seule machine Un domaine est un ensemble logique de correspondances entre: Entits du domaine !" Adresses IP Un domaine est un peu comme la reprsentation dun rseau sur lequel se touve(nt) une (des) machine(s)! De mme quune mme machine peut tre sur plusieurs rseaux, elle peut tre dans plusieurs domaines
Khalid El Baamrani - Cours DNS
et htes
Correspond une machine physique ex: - www pour un serveur web (www.google.fr)! - pop pour un serveur pop3 (pop.ucam.ac.ma)! - smtp pour un serveur SMTP (smtp.wanadoo.fr)! - Est lui-mme un enregistrement. Ne peux pas contenir d'enregistrement ex: xyz.www.google.fr n'est possible que si www.google.fr est une zone
Zone Est un conteneur pouvant contenir des enregistrements ou d'autres zones Peut dfinir un hte par dfaut Peut tre gr par un autre serveur DNS que celui qui gre la zone parent (dlgation)
Khalid El Baamrani - Cours DNS
Un serveur DNS est dit autoritaire sur un domaine sil connat la correspondance nom !" adresse(s) IP de toutes les entits du domaine bigboss ripou gustave www smtp ftp admin ns1 IN IN IN IN IN IN IN IN A A A A A A A CNAME NS MX 10 SOA 1.2.3.1 1.2.3.4 1.2.3.8 1.2.3.2 4.4.5.6 4.4.5.7 4.4.5.9 bigboss bigboss smtp
ripou 1.2.3.4
rezo.com. IN rezo.com. IN @ IN
ftp 4.4.5.7
domaine rezo.com
Zone et sous-zones
Zone et sous-zones Une zone peut contenir des sous zones un peu la manire dun rpertoire qui contiendrait dautres rpertoires Exemple Soit un hte: www.info.technique.societe.com
info.technique.societe.com est une zone cest une sous-zone de technique.societe.com technique.societe.com est une zone cest une sous-zone de societe.com societe.com est une zone cest une sous-zone de com technique com est une zone Est.ce une sous-zone ? info OUI Cest une sous-zone de la zone racine:
Khalid El Baamrani - Cours DNS
net
ma
com
societe
autre
autre
autre
complexe
Domaine racine. Point de passage obligatoire. Systme critique.
org
com
ma
rezo
Un nom de domaine est la squence de labels depuis le noeud de larbre correspondant jusqu la racine: rezo.ma Khalid El Baamrani - Cours DNS
DNS racine
!! Les serveurs racine connaissent les serveurs de nom ayant autorit sur tous les domaines racine !! Les serveurs racine connaissent au moins les serveurs de noms pouvant rsoudre le premier niveau (.com, .edu, .ma, etc.)! !! Si les serveurs racine sont inoperationnels # plus de communication sur lInternet !! " multiplicit des serveurs racines !! Le systme DNS impose peu de rgles de nommage : !! noms < 63 caractres !! majucules et minuscules non significatives
DNS racine
Resolver
! Les resolvers sont les processus clients qui contactent les serveurs de nom ! Fonctionnement :
! contacte un serveur (dont l (les) adresse(s) est (sont) configures sur la machine excutant ce resolver)! ! interprte les rponses ! retourne linformation au logiciel appelant ! gestion de cache (dpend de la mise en uvre)!
Dlgation de zone
net
rezo
rezo
www
1.2.3.4
www .rezo.com Quel DNS linternaute doit-il interroger pour connatre ladresse IP de www.rezo.com ?
Khalid El Baamrani - Cours DNS
de zone
Le serveur DNS de la zone com ne gre pas la zone rezo.com On dit que: Le serveur de la zone com a dlgu la gestion de la sous zone rezo.com Dans ce cas, il connat le nom du serveur DNS qui reoit la dlgation sur la zone rezo.com www 1.2.3.4 dns1 1.2.3.2 rezo dns1 1.2.3.2 com rezo com net Enregistrement de type NS
rezo
www
1.2.3.4
www .rezo.com Comment connatre le nom ou ladresse du serveur DNS de la zone rezo.com ?
Khalid El Baamrani - Cours DNS
de zone
Enregistrement de type NS
com k7 La zone com est une sous-zone de la zone . Le serveur DNS de la zone connat donc les adresses des serveurs autoritaires sur la zone com rezo dns1 1.2.3.2 www 1.2.3.4 dns1 1.2.3.2 com k7 2.0.0.5 2.0.0.5
com
net
rezo
rezo
Les adresses des 13 serveurs de la zone racine sont parfaitement connues Ces serveurs sont dit autoritaires sur la zone racine Comment connatre le nom ou ladresse du serveur DNS de la zone com ?
Khalid El Baamrani - Cours DNS
www
1.2.3.4
www .rezo.com
de cache
net
fr
com
Abonns VAVITE
www.microsoft.com = 5.6.7.8 Linformation provient du cache, elle nest peut-tre plus jour ! REPONSE NE FAISANT PAS AUTORITE
DNS
IP(a)!
. (racine)!
IP(c)! Serveur DNS rsolveur Pas d'information sur la requte Mise jour Information en cache 193.48.184.201 193.48.184.201 http://www.yahoo.fr
Serveur DNS
IP(b)! .com
Serveur DNS
IP(c)! .fr
IP(d)! type=NS domaine=yahoo.fr type=A hote=www.yahoo.fr 193.48.184.201 Serveur WEB Serveur DNS
IP(d)! .yahoo.fr
www.yahoo.fr
IP(e)!
www.yahoo.fr (193.48.184.201)!
Khalid El Baamrani - Cours DNS
Internaute abonn auprs dun fournisseur daccs: VAVITE Serveur DNS propos par VAVITE 1.2.3.4 serveur des zones : vavite.fr abonnes.vavite.fr Configuration du fournisseur daccs VAVITE DNS par dfaut : Requte de rsolution DNS: type =A nom = www.microsoft.com 1.2.3.4
abonnes
vavite
La requte ne correspond aucune des zones grs par le serveur (= zones sur lesquelles le serveur est autoritaire)!
Il effectue la rsolution DNS en partant depuis la racine si besoin et fournit une rponse Il se contente de fournir ladresse des serveurs racine ou des serveurs les plus proches de la zone souhaite
+ 193.252.182.103
Une IP est affiche du plus significatif vers le moins significatif. Cest le sens de lecture latin habituel
Adresse DNS :
www.rezo.com
Un hte est affich du moins significatif vers le plus significatif. Cest un sens daffichage arabe habituel Une adresse littrale se rsout toujours en partant de la racine. La racine est implicite, elle est rarement crite
Khalid El Baamrani - Cours DNS
inverse
Problmatique type = A nom = www.yahoo.fr 193.48.184.1 Nom du serveur d'adresse IP 193.48.184.1 Serveur DNS rsolveur
Client DNS
?
hte
zone
supp.msdn.micro.com
193. 48 . 184 . 1
revient rsoudre
hote.dom1.dom2.dom3
+
La rsolution inverse impose de retourner lIP
Recherche inverse
Recherche inverse
.
arpa in-addr
196
255
200
255
179
255
www.ensa.ac.ma 0 66 255
Khalid El Baamrani - Cours DNS
inverse
arpa in-addr
fr
yahoo
com
1 .184.48.193
+
48 184
193
hte 1
zone
On recherche le serveur DNS de la zone 184.48.193 On lui demande de rsoudre lhte 1 de cette zone
IN PTR www.yahoo.fr
184 Serveur DNS autoritaire sur la zone : 184.48.193.in-addr.arpa type = PTR nom = 1.184.48.193.in-addr.arpa nom = www.yahoo.fr
Client DNS
DNS
Serveur DNS
www.rezo.com
DNS
Rpartition de la charge
Serveur DNS secondaire Serveur DNS Primaire ou principal Serveur DNS secondaire
www.rezo.com
rplication
Modification
Le serveur principal de la zone prvient le(s) secondaire(s)! 1 2 3 Le serveur principal de la zone envoie lensemble des enregistrements quelle comporte au(x) secondaire(s) qui en a (ont) fait la demande Le(s) serveur(s) secondaire(s) de la zone demande(nt) une copie de la zone modifie 2
Seules les zone principales sont modifiables sur un serveur DNS. Les zones secondaires sont rpliques. Lenvoi de tous les enregistrements dune zone sappelle un transfert de zone . Cest une opration quil convient de ne pas autoriser systmatiquement.
SEC: telecom
! Serveur de nom primaire : maintient la base de donnes de la zone dont il a lautorit administrative ! Serveur de nom secondaire : obtient les donnes de la zone via un serveur de nom primaire
! interroge priodiquement le serveur de nom primaire et met jour les donnes
! Il y a un serveur primaire et gnralement plusieurs secondaires ! La redondance permet la dfaillance ventuelle du primaire et du (des) secondaire(s)! ! Un serveur de nom peut tre primaire pour une (des) zone(s) et secondaire pour dautre(s).
Khalid El Baamrani - Cours DNS
Configuration de DNS
le fichier /etc/named.conf : options { directory "/var/named"; }; zone "site1.ma" IN { type master; file "site1.db"; }; zone 1.168.192.in-addr.arpa" IN { type master; file 1.168.192.db"; };
Configuration de DNS
le fichier site1.db :
$TTL 43200 site1.ma. ; 12 hours IN SOA serveur.site1.ma. root.serveur.site1.ma. ( 2004021801 ; serial 300 ; refresh (5 minutes)! 60 ; retry (1 minute)! 1209600 ; expire (2 weeks)!
!) NS MX serveur .site1.ma. www .site1.ma. mail .site1.ma. serveur.site1.ma. mail.site1.ma. A A A 192.168.1.1 192.168.1.2 192.168.1.3
10
de DNS
Fonction / Exemple
Spcifie les paramtres de l'autorit du serveur de nom sur le domaine (temps de rafrachissement, mail gestionnaire, )! IN SOA ns.ensa.ac.ma. root.ensa.ac.ma. Serveur(s) de nom autoritaire(s) sur un domaine ou une zone dlgue ensa.ac.ma. IN NS 10 50 ns.ensa.ac.ma. mail.ensa.ac.ma. mail2. ensa.ac.ma.
193.48.184.1
Alias vers un nom canonique dj enregistr de type A (ou AAAA)! www.ensa.ac.ma. IN CNAME ns. ensa.ac.ma.
Pointeur de rsolution inverse (sorte d'annuaire invers)! 1.184.48.193 IN PTR www. ensa.ac.ma.
Configuration de DNS
! ! !
$ORIGIN origine est ajoute tous les noms ne se terminant pas par un point. Si le nom de domaine est le mme que celui de lorigine prcise dans le fichier named.conf, le nom peut tre remplac par le caractre @. TTL (Time To Live): cest la dure de validit des donnes. Le serveur de noms revoie cette valeur avec ses rponses aux demandes de rsolution des noms. Cette valeur impose aux autres serveurs de limiter la conservation des donnes dans la mmoire -cache. Le numro de srie (serial): il sapplique toutes les donnes de la zone. De nombreux administrateurs utilisent la date du jour suivi dun numro de squence. Le format est donc AAAAMMJJSS. Chaque fois quune mise jour du fichier est ralise, il est important dincrmenter le numro de srie. Rafrachissement (refresh): il indique la priodicit de test de validit de ses donnes lesclave qui, lui, demande lenregistrement SOA de la zone chaque intervalle de rafrachissement. Nouvel essai (retry): Si le serveur-esclave narrive pas contacter le serveurmatre au bout de la priode de rafrachissement, il essaie de le contacter selon la priodicit de nouvel essai. Obsolescence (expire): Si lesclave narrive pas contacter le serveur-matre avant lobsolescence, lesclave arrte sa fonction de serveur en cessant de rpondre aux requtes, les donnes tant considres comme trop anciennes pour tre valables. Khalid El Baamrani - Cours DNS
Configuration de DNS
Serveur secondaire:
zone "site1.ma." { type slave; file "site1.slave"; masters { 192.168.1.1; }; }; zone "1.168.192.in-addr.arpa" { type slave; file "1.168.192"; masters { 192.168.1.1; }; };
Configuration de DNS
! Un serveur de noms est capable de grer plusieurs zones simultanment. ! Il suffit pour cela dajouter autant denregistrements de type zone des zones grer. ! Il reste ensuite configurer les fichiers de la base de donnes en consquence.
Configuration de DNS
Contrle des transferts de zones:
! La clause allow-transfer permet aux administrateurs dappliquer une liste daccs aux transferts de zones. Cette clause est apte limiter les transferts dune zone spcifique ou bien limiter les transferts de toutes les zones. ! Limitation globale du transfert:
options { directory "/var/named"; allow-transfer { 192.168.1.40; }; };
NSLOOKUP
de NSLookup
NSLOOKUP.EXE est un programme permettant de gnrer des requtes DNS et d'interprter les rponses.
de NSLookup
www.freesbee.fr
www.freesbee.fr
de NSLookup
Recherche du serveur d'adresse: www.freesbee.fr sans utiliser de DNS rsolveur Etape 1 : Recherche du serveur de nom de "fr." auprs d'un serveur racine
Serveur DNS
IP(a)!
. (racine)!
www.freesbee.fr
A.ROOT-SERVERS.NET
A quel serveur faut-il en faire la demande ? Quel est le type d'enregistrement recherch ? Quel est le nom de l'enregistrement recherch ?
fr.
de NSLookup
Recherche du serveur d'adresse: www.freesbee.fr sans utiliser de DNS rsolveur Etape 1 : Recherche du serveur de nom de "fr." auprs d'un serveur racine 1 2
www.freesbee.fr A quel serveur faut-il en faire la demande ? Quel est le type d'enregistrement recherch ? Quel est le nom de l'enregistrement recherch ? Serveur DNS de "." NS (Name Server)! fr.
Obtention du serveur racine par dfaut Changement de serveur Changement du type de requte Obtention des DNS de "fr."
root
2 3
de NSLookup
Recherche du serveur d'adresse: www.freesbee.fr sans utiliser de DNS rsolveur Etape 1 : Recherche du serveur de nom de "fr." auprs d'un serveur racine 1 2
www.freesbee.fr Obtention des DNS de "fr." A quel serveur faut-il en faire la demande ? Quel est le type d'enregistrement recherch ? Quel est le nom de l'enregistrement recherch ? Serveur DNS de "." NS (Name Server)! fr.
fr.
de NSLookup
Recherche du serveur d'adresse: www.freesbee.fr sans utiliser de DNS rsolveur Etape 2 : Recherche du serveur de nom de "freesbee.fr" auprs d'un serveur de "fr." Qui est serveur de nom du domaine "fr." ? Qui est serveur de nom du domaine "freesbee.fr" ?
www.freesbee.fr
A quel serveur faut-il en faire la demande ? Quel est le type d'enregistrement recherch ? Quel est le nom de l'enregistrement recherch ?
freesbee.fr
de NSLookup
Recherche du serveur d'adresse: www.freesbee.fr sans utiliser de DNS rsolveur Etape 2 : Recherche du serveur de nom de "freesbee.fr" auprs d'un serveur de "fr." 1 2
www.freesbee.fr A quel serveur faut-il en faire la demande ? Quel est le type d'enregistrement recherch ? Quel est le nom de l'enregistrement recherch ? 128.112.129.15 NS (Name Server)! freesbee.fr.
Changement de serveur DNS Changement du type de requte Obtention des DNS de "freesbee.fr" Liste des serveurs de noms du domaine "freesbee.fr"
server 128.112.129.15
1 2 3
de NSLookup
Recherche du serveur d'adresse: www.freesbee.fr sans utiliser de DNS rsolveur Etape 3 : Recherche de l'IP de "www.freesbee.fr" auprs d'un serveur de noms de "freesbee.fr" Qui est serveur de nom du domaine "fr." ? Qui est serveur de nom du domaine "freesbee.fr" ?
www.freesbee.fr
128.112.129.15
213.36.80.2
A quel serveur faut-il en faire la demande ? Quel est le type d'enregistrement recherch ? Quel est le nom de l'enregistrement recherch ?
www.freesbee.fr
de NSLookup
Recherche du serveur d'adresse: www.freesbee.fr sans utiliser de DNS rsolveur Etape 3 : Recherche de l'IP de "www.freesbee.fr" auprs d'un serveur de noms de "freesbee.fr" 1 2
www.freesbee.fr A quel serveur faut-il en faire la demande ? Quel est le type d'enregistrement recherch ? Quel est le nom de l'enregistrement recherch ? 213.36.80.2 NS (Name Server)! freesbee.fr.
server 213.36.80.2
2 3
103.122.252.193.in-addr.arpa
ls wanadoo.fr
server 192.168.0.2
Un transfert de zone ne peut tre demand qu un serveur autoritaire sur la zone requise
ls solaire.fr
ls solaire.fr
Un client qui demande un transfert de zone doit y tre autoris. Cela se configure via les paramtres de la zone principale.
Un transfert de zone retourne la totalit des enregistrements contenus dans la zone. Cest la mthode quutilisent les serveurs DNS pour mettre jour leurs zones secondaires