DNS. Domain Name System (página 2)

Partes: 1, 2

13
Nombres de dominio de nivel superior (TLD) genéricos más utilizados
TLD = Top Level Domain
(Gp:) Nombre de Dominio
(Gp:)
(Gp:) Significado
(Gp:)
(Gp:) COM
(Gp:)
(Gp:) Organizaciones comerciales, Microsoft.com, ibm.com
(Gp:)
(Gp:) EDU
(Gp:)
(Gp:) Universidades, Instituciones academicas,…
(Gp:)
(Gp:) GOV
(Gp:)
(Gp:) Instituciones Gub
(Gp:) ernamentales
(Gp:)
(Gp:) MIL
(Gp:)
(Gp:) Organizaciones militares
(Gp:)
(Gp:) ORG
(Gp:)
(Gp:) Organizaciones no comerciales
(Gp:)
(Gp:) NET
(Gp:)
(Gp:) Grupos relacionados con la Red
(Gp:)
(Gp:) INT
(Gp:)
(Gp:) Organizaciones Internacionales
(Gp:)
(Gp:)

14
Delegación de la autoridad (1/2)
La organización que posee un nombre de dominio, es responsable del funcionamiento y mantenimiento de los servidores de nombres. Esta área de influencia se llama zona de autoridad.
La solicitud de registro se realiza a una autoridad competente, por ejemplo InterNIC (http://www.internic.net/) es una autoridad de registro. Para ello es necesario identificar al menos 2 DNS.
UV: 147.156.1.1 147.156.1.3
Otra opción para solicitar un dominio, es contactar con los servicios ofrecidos por una empresa (ej. www.arsys.es) y/o ISP.
Cada país a su vez también dispone de autoridades de registro La autoridad del dominio TLD "es." que registra los dominios de 2º nivel:
www.nic.es

15
Delegación de la autoridad (2/2)
En una zona existe un administrador local que a su vez puede delegar en otros administradores. P.ej, "uv.es." puede delegar en el Departamento de Informática ("informatica.uv.es.") para gestionar este dominio inferior.
Por tratarse de un servicio de aplicación, un domino/subdominio (dominio de nivel inferior) no tiene porqué corresponder con una red/subred IP, ni tampoco una correspondencia geográfica, aunque normalmente es lo más frecuente en grandes redes
.uv.es < -> 147.156.
Un mismo recurso puede tener asignados varios dominios o nombres registrados, formando servidores virtuales. Por ejemplo, http://robotica.uv.es y http://www.cdlibre.org, son 2 servidores de 2 dominios diferentes pero que se asocian a la misma IP.

16
Controversias y disputas en los nombres
Es frecuente en ciertos dominios la utilización de nombres controvertidos.
Dichas controversias se resuelven en la OMPI (organismo encargado de solucionar de forma amistosa estas situaciones) a nivel mundial. El procedimiento no amistoso es por los tribunales.
A nivel anecdótico, en el año 2000, hubieron unas 2000 quejas, 100 de ellas por demandantes españoles.
España es el tercer país en conflictos de este tipo, detrás de EEUU y UK.

17
Registro de Recursos (RR) (1/3)
Cada entrada en la tabla de un DNS contiene información, no sólo de las direcciones IP, si no de un registro de recursos, con 5 campos o tuplas
[Nombre_dominio] [TTL] [Clase] Tipo Dato_Registro(Valor)

Cuando un cliente (a través de un resolver) pregunta por un nombre de dominio al DNS, lo que recibe son los RR asociados a ese nombre y por tanto la función real del DNS es relacionar los dominios de nombres con los RR
Normalmente existen varios RR por dominio

18
Registro de Recursos (RR) (2/3)
[Nombre_dominio] [TTL] [Clase] Tipo Dato_Registro(Valor)
shackleton.uv.es 600 IN A 147.156.167.210

Nombre_dominio: puede haber más de un registro por dominio. Este campo a veces puede omitirse, tomando por defecto el último nombre de domino indicado con anterioridad.

TTL: tiempo de vida. Indicando la estabilidad del registro (tiempo que se guarda en la caché).
La información altamente estable tiene un valor grande (86400 seg. = 1 día)
La información volátil recibe un valor pequeño (60 seg.)

Clase : Actualmente sólo se utiliza IN, para información de Internet. Este campo si se omite, se toma el último valor indicado con anterioridad

Dato_Registro(Valor) es un número o texto ASCII dependiendo del tipo de registro.

19
Tipo de Registro de Recursos (RR) (3/3)
Indica el tipo de registro. Los más utilizados son:
(Gp:) Tipo de Registro
(Gp:)
(Gp:) Descripción
(Gp:)
(Gp:) SOA
(Gp:)
(Gp:) Start Of Authority
(Gp:)
(Gp:) Inic
(Gp:) io de autoridad,
(Gp:) identificando el dominio o la zona. Fija una
(Gp:) serie de parámetros para esta zona.
(Gp:)
(Gp:) NS
(Gp:)
(Gp:) Name Server
(Gp:)
(Gp:) El nombre de dominio se hace corresponder con el nombre de
(Gp:) una computador
(Gp:) a de confianza para el dominio o
(Gp:) servidor de
(Gp:) no
(Gp:) mbres.
(Gp:)
(Gp:) A
(Gp:)
(Gp:) Address
(Gp:)
(Gp:) Dirección IP de un host en 32 bits. Si este tiene varias direcciones
(Gp:) IP, multihomed, habrá un registro diferente por cada una de ellas.
(Gp:)
(Gp:) CNAME
(Gp:)
(Gp:) Es un alias que se corresponde con el nombre canónico
(Gp:) verdadero.
(Gp:)
(Gp:) MX
(Gp:)
(Gp:) Se trata de un intercambiador de c
(Gp:) orreo (Mail eXchanger), es
(Gp:) decir, un dominio dispuesto a aceptar solo correo electrónico.
(Gp:)
(Gp:) TXT
(Gp:)
(Gp:) Texto, es una forma
(Gp:) d
(Gp:) e
(Gp:) añadir comentarios a la Base de Datos.
(Gp:) Por Ej., para dar la dirección postal del dominio.
(Gp:)
(Gp:) PTR
(Gp:)
(Gp:) Apuntador, hace corresponder una dirección
(Gp:) IP con el nombre de
(Gp:) un sistema. Usado en archivos dirección
(Gp:) –
(Gp:) nombre, la inversa del
(Gp:) tipo A.
(Gp:)
(Gp:) HINFO
(Gp:)
(Gp:) Información del Host, tipo y modelo de computadora y SO
(Gp:)
(Gp:) WKS
(Gp:)
(Gp:) Servicios públicos (Well
(Gp:) –
(Gp:) Known Services). Puede listar los
(Gp:) servicios de las aplicaciones disponibles
(Gp:) en el ordenador.
(Gp:)
(Gp:)

20
Registros MX
Mail Exchanger: son servidores de correo ordenados por prioridad en un dominio y registrados en el DNS, de forma que en caso de fallo del principal, generalmente el que tendrá información de todas las cuentas de correo de los usuarios, el cliente de correo (quien quiere realizar la entrega) averiguará a través del DNS el MX del dominio, quien recibirá el correo en nombre del principal.
Este MX intermediario, no requiere tener configuradas las cuentas de correo y en el momento que el principal se reponga, el MX hará entrega de los correos.

21
Servidores DNS de uv.es
(Gp:) Quien es el SOA? (Start of Authority)

(Gp:) El registro SOA es el primero de una zona de autoridad. Especifica la máquina de donde proviene la información principal y quién es el responsable de su administración

22
El número de serie: AAAAMMDDSS
A: año
M: mes
D: día
SS: número de serie de hoy (SS)

23
DNS secundario se debe conectar cada 86400 seg. (=24 horas)
(Gp:) Si no lo consigue debe reintentar cada 7200 seg. (=2 horas)

(Gp:) Datos DNS secundario caducan a los 30 días

(Gp:) TTL por defecto de los registros en seg.

24
(Gp:) NS (Name Server)
(Gp:) A address

(Gp:) TXT Comentario
(Gp:) SOA (Start of Authority)
(Gp:) MX Servidor de correo

(Gp:) Terminan en punto

(Gp:) ¿Que he preguntado?

25

26

27
El árbol de nombres de una organización se compone de una o más zonas. Una zona es una parte contigua del árbol de nombres que se administra como una unidad.
Zonas de autoridad contiene nombre de dominios
Dominio: nombre que agrupa a otras máquinas o dominios inferiores
Zonas de autoridad y dominios

28
Ejemplo: Zonas y dominios
Una empresa con una central y dos sucursales (delegación A y B). La base de datos raíz de Internet apuntará a los servidores de nombres de la oficina central. Estos servidores responderán directamente a peticiones de nombres que pertenezcan a su zona. Si se solicita un nombre de otra de las zonas (delegaciones), el servidor de la oficina central devolverá los nombres y direcciones de los servidores adecuados.
Otra opción, sería centralizarlo todo en un único servidor de todo el dominio y con todas las zonas, pero reduciría la flexibilidad del DNS.

29
Whois
Mecanismo para recuperar de un registro metadatos correspondientes a un dominio
RFC 954, RFC 1834,.
Las bases de datos whois informan sobre IPs, puntos de contacto, organizaciones, .

30
IDN (Internationalized Domain Names)
Definido en RFC 3490
representación de etiquetas de nombre no-ASCII en formato ASCII
codificación ACE: ASCII Compatible Encoding
solución orientada a las aplicaciones
los nombres en DNS siguen siendo ASCII
las aplicaciones (p. ej., navegadores) deben realizar la conversión
Ejemplo:
www.eñe.es ? ACE ? www.xn--ee-zja.es

31
DNS dinámico
En ocasiones, los ISP gestionan de forma dinámica las IP de los host conectados por DHCP de forma arbitraria, sin tener vinculación IP con la MAC.
Si dentro del ISP, algún servidor ha de ser accedido desde el exterior, requerirá tener traducción a IP pública y además dicha IP estar ligada con un nombre, de forma consistente.
Ejemplo: un usuario de un ISP, cuyo host se llama "micasa" quiere ofrecer un servicio de FTP. El nombre completo dentro del ISP del host es "micasa.isp.com", pero dicho ISP utiliza DHCP sin vinculación a MAC, por lo cual nunca tiene la misma IP, sino puede tener cualquiera dentro del rango 200.0.0.0/24.
Para que se pueda acceder desde el exterior, o bien conocen la IP asignada y se indica por teléfono al cliente que quiere conectarse, o bien el ISP modifica los registros tipo A de micasa.isp.com apuntando a la nueva IP concedida por DHCP, de forma consistente, lo que se llama un DNS dinámico.
1.- DHCP entrega IP 200.0.0.1
2.- DHCP indica al DNS nuevo registro de "isp.com": micasa A 200.0.0.1

32
Implementación de la BBDD
Los servidores DNS tienen información completa de una zona de autoridad.
La zona de autoridad abarca al menos un dominio, pudiendo incluir dominios de nivel inferior y tendrá normalmente un servidor de nombres "primario".
Estos dominios de nivel inferior se pueden delegar en otros servidores locales.
Según las características de la zona, los servidores DNS se pueden clasificar en:
primarios o secundarios
maestros o locales

33
Tipos de servidores (1/3)
Primarios (Primary Name Servers): Almacenan la información de su zona en una base de datos local. Son responsables de mantener la información actualizada y cualquier cambio debe ser notificado a este servidor
Secundarios (Secundary Name Servers): Son aquellos que obtienen los datos de su zona desde otro servidor que tenga autoridad para esa zona. El proceso de copia de la información se denomina transferencia de zona.

34
Tipos de servidores (2/3)
Maestros (Master Name Servers): son los que transfieren las zonas a los servidores secundarios. Cuando un servidor secundario arranca busca un servidor maestro y realiza la transferencia de zona. Un servidor maestro para una zona puede ser a la vez un servidor primario o secundario de esa zona. Estos servidores extraen la información desde el servidor primario de la zona. Así se evita que los servidores secundarios sobrecargen al servidor primario con transferencias de zonas.

35
Tipos de servidores (3/3)
Locales (Caching-only servers): no tienen autoridad sobre ningún dominio: se limitan a contactar con otros servidores para resolver las peticiones de los clientes DNS. Estos servidores mantienen una memoria caché con las últimas preguntas contestadas. Cada vez que un cliente DNS le formula una pregunta, primero consulta en su memoria caché. Si encuentra la dirección IP solicitada, se la devuelve al cliente; si no, consulta a otros servidores, apuntando la respuesta en su memoria caché y comunicando la respuesta al cliente.

36
Servidores raíz "."
Las direcciones IP de los dominios superiores no se incluyen en el DNS porque no son parte del propio dominio.
Para consultar hosts externos se consulta a los servidores raíz, cuyas direcciones IP están presentes en un fichero de configuración del sistema y se cargan en el caché del DNS al iniciar el servidor.
Los servidores raíz proporcionan referencias directas a servidores de los dominios de segundo nivel, como COM, EDU, GOV, geográficos, etc.

37
Funciones del cliente DNS
Interrogar al servidor DNS
Interpretar las respuestas que pueden ser registros de recursos (RR) o errores
Devolver la información al programa que realiza la petición al cliente DNS

38
Tipo de preguntas formuladas por los clientes DNS
En el proceso de interrogación, las preguntas pueden ser:
Recursiva: obliga al servidor DNS a que responda aunque tenga que consultar a otros servidores. Esta opción es más frecuente.
Iterativa: el servidor contesta si tiene la información y si no, le remite la dirección de otro servidor capaz de resolver. De esta forma el cliente tiene mayor control sobre el proceso de búsqueda. Esta opción es menos frecuente.
Inversa: permite dada una IP, consultar el nombre. Para ello se ha creado un dominio especial llamada "in-addr.arpa"

39
Ejemplo: ¿IP de www.google.com?
Estamos en un ordenador del lab3 de la UVEG y queremos buscar algo en google, por lo que nuestro cliente web formula una pregunta recursiva ¿IP de www.google.com? a nuestro servidor DNS
Mi PC
www.google.com ?
resolver
lab3inf04.uv.es
gong.ci.uv.es

40
Ejemplo: ¿IP de www.google.com?
El servidor local es el responsable de resolver la pregunta, aunque para ello tenga que reenviar la pregunta a otros servidores. Si se ha solicitado información local, el servidor extrae la respuesta de su propia base de datos. Si es sobre un ordenador externo, el servidor comprueba su caché. Si no tiene dirección IP entonces formulará una pregunta iterativa al servidor del dominio raíz.
Mi PC
www.google.com ?
resolver
.
www.google.com ?
ip del DNS .com
lab3inf04.uv.es
gong.ci.uv.es
El servidor del dominio raíz no conoce la dirección IP solicitada, pero devuelve la dirección del servidor del dominio .com

41
Ejemplo: ¿IP de www.google.com?
El servidor local reenvía la pregunta iterativa al servidor del dominio .com que tampoco conoce la dirección IP, aunque sí conoce la dirección del DNS del dominio .google.com
Mi PC
www.google.com ?
resolver
.
www.google.com ?
ip del DNS .com
.com
www.google.com ?
ip del DNS google.com
google.com
www.google.com ?
209.85.135.99
lab3inf04.uv.es
gong.ci.uv.es
El servidor local vuelve a reenviar la pregunta iterativa al DNS google.com, que ahora si conoce la dirección IP de www.google.com y devuelve la IP al DNS local

42
Mi PC
www.google.com ?
resolver
.
www.google.com ?
ip del DNS .com
.com
www.google.com ?
ip del DNS google.com
google.com
www.google.com ?
209.85.135.99
209.85.135.99
Añadir a Cache
www.google.com
lab3inf04.uv.es
gong.ci.uv.es
Ejemplo: ¿IP de www.google.com? (1/3)
El servidor local se la reenvía a nuestro ordenador, al mismo tiempo que la almacena en la propia caché.
El tiempo de validez de la respuesta en la caché se configura en los servidores remotos y se envía como parte de la respuesta

43
Preguntas inversas (1/2)
Para evitar una búsqueda exhaustiva por todo el espacio de nombres de dominio, se utiliza un dominio especial llamado in-addr.arpa.
Cuando un cliente DNS desea conocer el nombre de dominio asociado a la dirección IP w.x.y.z realiza una pregunta inversa a z.y.x.w.in-addr.arpa.
La inversión de los bytes es necesaria debido a que los nombres de dominio son más genéricos por la derecha, al contrario que ocurre con las direcciones IP.

44
Preguntas inversas (2/2)
La organización que posee una dirección de red es responsable de registrar todas sus traducciones de dirección a nombre en la base de datos del DNS.
Esto se hace en una tabla que es independiente de las correspondencias entre nombre y direcciones.
El dominio in-addr.arpa se creó para apuntar hacia todas esas tablas de red
Destacar que muchas servidores y/o clientes como FTP, WWW, NEWS, Telnet… no aceptarán y/o realizan conexiones de máquinas de las cuales no son capaces de resolver el nombre, por eso el mapeo inverso es obligado.

45
Árbol para la resolución inversa "in-addr.arpa"

46
Ejemplo de resolución inversa de nombres

47
Soporte para IPv6
RFC3596 define:
Un nuevo tipo de RR (AAAA) para la correspondencia de nombre de dominio a dirección IPv6
Un dominio para consultas inversas
IP6.ARPA
La versión IP utilizada para la consulta es independiente de la versión de protocolo de los RRs
cinco servidores raíz ya tienen dirección IPv6 asignada

48
Formato de los mensajes
El cliente envía solicitud (pregunta) en un mensaje formateado y el servidor añade la información requerida en dichos campos.

49
Captura con Ethereal / wireshark
Consulta (query)
ID de Transacción para hacer corresponder con respuesta
Parámetros (Flags)
Pregunta
Nombre buscado
Tipo (A: Host, NS: Servidor, MX: correo, .)
Clase: IN (internet)

50
Respuesta (answer): ID y Flags
Respuesta
Nombre buscado, Tipo (A: Host, NS: Servidor, MX: correo, .), Clase,
TTL (tiempo en caché), longitud datos, IP buscada

51
Authoritative nameservers (servidores de confianza)
Additional records (IPs de los anteriores)

52
Comandos y ficheros relacionados con DNS

53
Consultas con nslookup en Windows
(Gp:) La respuesta se realiza fuera de nuestro DNS
desde la caché
externamente

54

55
Consultas con host

56
El servidor se identifica a sí mismo
¿Porque el servidor continúa identificándose a sí mismo?.

Esto es debido a que en una organización mantiene en funcionamiento dos o más servidores, ya que uno de ellos podría estar muy ocupado o incluso, fuera de servicio, por ejemplo, para mantenimiento. De esta forma sabemos quién nos contesta.

57
Quién tiene una dirección IP conocida

58
Servidores DNS raízReferencias directas a servidores de dominios de segundo nivel como COM, EDU, GOV, .

59
Servidores DNS Raiz
Conocen a todos los servidores de dominios de primer nivel
Reciben consultas de servidores locales que no saben resolver un nombre
Hay 13 servidores raíz ubicados en distintos continentes

60
Configuración de un cliente de DNS (1/3)
Nombres y direcciones necesarios para arranque. La primera línea es obligatoria
Orden en que debe buscarse una resolución de nombres (bind es el DNS)

61
Configuración de un cliente de DNS (2/3)
  Para configurar una estación de trabajo en modo cliente de DNS se debe crear el archivo de resolución de cliente /etc/resolv.conf

62
Configuración de un cliente de DNS (3/3)
  o bien configurar DHCP para que entregue toda la información

63
Requisitos para conexión a Internet y diseño de la base de datos de un servidor de nombres
La conexión de un servidor DNS particular a la base de datos mundial de Internet necesita:
 
Registrar uno o más bloques de direcciones IP y, opcionalmente, un número de sistema autónomo en el NIC (Network Information Centre)
Asignar nombres y direcciones a los ordenadores propios.
Obtener la lista de servidores raíz que, en conjunto, cubran el servicio mundial.
Se puede copiar un archivo de InterNIC que contiene esta lista del registro. Este fichero se puede obtener con FTP anónimo a FTP.RS.INTERNIC.NET
Construir un servidor de nombres de dominio primario que contendrá registros tipo A y PTR, y, al menos, una copia secundaria
Comprobar los servidores.
Pasar a la condición de operativo.
Registrar los nombres de dominio y servidores de la organización en los servicios de inscripción de la región.

64
RFCs de DNS
RFC's principales
RFC 920: Domain Requirements
RFC 1101: DNS Enconding of Network Names and Other Types
RFC 1033 : Domain Adminstrators Operations Guide
RFC 1034: Domain Names – Concepts and Facilities
RFC 1035: Domain Names – Implementation and Specification
RFC 1591: Domain Name System Structure and Delegation
RFC 1183: New RR Types

También se está trabajando en DNS y seguridad para evitar el ataque conocido como DNS Spoofing o suplantación. RFC 2535.

DNS Spoofing. Un intruso se hace pasar por un DNS. El intruso puede entregar o bien información modificada al host, o bien engañar al DNS local para que registre información en su cache. P.ej, puede hacer resolver www.mibanco.es a una IP que será la del atacante, de forma que cuando un usuario de MiBANCO se conecta, lo hará realmente con el atacante.