DNS - docencia de la ETSIT-URJC

DNS: Domain Name SystemBibliografía:“Redes de Computadores: un enfoquedescendente basado en Internet”:J.F Kurose y K.W. Ross.© GSyC 2008 – Redes I1Nombres y direccionesNombre: forma de identificar una entidad en unsistema (lista de bits o caracteres).−−Entidades: Usuarios, ficheros, recursos, equipos,impresoras, ventanas..Queremos nombres porque queremos operar con ellas.Dirección: para poder operar con una entidad esnecesario acceder a través de un punto de acceso.Los puntos de acceso son entidades que seidentifican por una dirección.Un nombre de una entidad es independiente de suubicación si es independiente de las direcciones desu punto de acceso.−Es más flexible.© GSyC 2008 – Redes I2

¿Por qué es necesario el DNS?Los humanos preferimos nombres a direcciones IP (ej:cacharro.cct.urjc.es frente a 212.128.1.44)Las direcciones IP están ligadas a la estructura de la red, peroeso no tiene por qué reflejarse en el nombrado de máquinas (ej:www.google.com, www.google.es)Las direcciones IP están ligados a máquinas concretas, puede serconveniente un nivel de abstracción no ligado a máquinas (ej:www.urjc.es puede cambiar de máquina, y de IP, pero no tienepor qué cambiar de nombre).Es necesario establecer una correspondencia entre nombres ydirecciones IP.DNS: protocolo de nivel de aplicación, sobre UDP o TCP© GSyC 2008 – Redes I5Un poco de historiaAl principio (años 70), la correspondencia entrenombres y direcciones IP se mantenía en un únicofichero (HOSTS.TXT) con información de todas lasmáquinas de ARPANET.Se obtenía periódicamente por FTP: gestióncompletamente manual.Con el crecimiento de ARPANET se hizo inmanejable.1983, Paul Mockapetris: primeras RFC que describenel Domain Name System.1987, Especificaciones actuales: RFC 1034 y 1035.1997, Extensiones de seguridad. Actual: RFC 4033© GSyC 2008 – Redes I6

Estructura de nombradoSe descentraliza el control consiguiéndose unaestructura jerárquica y fácilmente ampliable.Jerarquía de dominios:− Dominio raíz (root o “.”):−Gestionado por ICANN (Internet Corporation for AssignedNames and Numbers).Dominios de nivel máximo (o de primer nivel):Tradicionales: com, edu, gov, mil, net, org, int, códigos ISOde paises (uk, mx, ar, de, es. . . )En el año 2000 aparecen: biz, info, name, pro, aero, coop,museum− Dominios secundarios, terciarios, . . .© GSyC 2008 – Redes I7Árbol de dominiosDominio raíz.Dominios deprimer nivelcom edu gov mil org net es uk …Dominios desegundo nivelsun mitacm ieee urjceng lcs etsii etsittheory www www© GSyC 2008 – Redes I8

Jerarquía de autoridadesUna organización o autoridad encargada de la administraciónde un dominio puede decidir dividirlo en subdominios, ydelegar la responsabilidad de su administración en otrasorganizaciones.−Ej: Una universidad con varios departamentos puede decidirdividir el dominio de la universidad en diferentes subdominios,uno por cada departamento. Los departamentos conconocimientos telemáticos pueden querer gestionar su propiosubdominio.Una zona es un subárbol de DNS que se administra por unaorganización diferente a la organización que administra elnodo padre de ese subárbolDominio es un concepto ligado al espacio de nombres y Zona esun concepto ligado a la autoridad que administra un dominio:jerarquía de nombres y jerarquía de autoridades.© GSyC 2008 – Redes I9Estructura de gestiónCada vez que se delega un subdominio se delegatambién su gestión (incluyendo su posible división ensubdominios), convirtiéndose en una nueva zona−−Si el gestor del dominio es delega un subdominio urjc, elresponsable de la zona urjc manejará la correspondenciade nombres y direcciones de todas las máquinas de sudominio.Por tanto, la zona urjc quedará definida por todas lasmáquinas del subdominio urjc.Si el responsable de urjc lo cree conveniente, puededelegar un subdominio cct, sin que por ello tenga queinformar al gestor de es.Por tanto, la zona urjc quedaría definida por todas lasmáquinas del dominio urjc excepto las máquinas delsubdominio cct, las cuáles pertenecerían a una zonadiferente.© GSyC 2008 – Redes I10

Estructura de gestiónLa asignación de nombres de dominiosde segundo nivel (subdominios de.es, .com, .org) está gestionada pororganismos denominados “registrars”.A veces un mismo subdominio segestiona por varios “registrars” enrégimen de competencia.© GSyC 2008 – Redes I11Autoridad quegestiona urjc.esexceptoteleco.urjc.esDominios - Zonas.esurjcICANN“Registrar” de .eduadmin arte etsitAutoridad que gestionaetsit.urjc.esmáq1 máq2 máq1 máq2 gsyc tscmáq1 máq2 máq1 máq2© GSyC 2008 – Redes I12

© GSyC 2008 – Redes IDominios directo e inversoDominio directo: proporciona para cada nombre unadirección IP.Dominio inverso: proporciona para cada dirección IPun nombre.−−El dominio inverso también se conoce como dominioin-addr.arpa.Los elementos del dominio inverso son las direcciones dered construidas invirtiendo los números que la componen, yterminando en in-addr.arpa. Ejemplo:La red 138.117.0.0 es el dominio inverso 117.138.inaddr.arpa.• La inversión de los números en las direcciones IP se realizapara mantener la misma estructura jerárquica de losnombres de dominio:• En los nombres de dominio, porciones del nombre situadas mása la izquierda representan entidades más específicas,mientras que en las direcciones IP es al revés.13Consulta de una direcciónpara un nombreCada aplicación va enlazadacon una biblioteca de consultaal DNS (resolver), conllamadas como: To_IP() ogethostbyname().La consulta normalmentesigue los pasos siguientes (enuna máquina GNU/Linux):−−−Consulta en un fichero(/etc/hosts).Si no se resuelve, consultaen un servidor de DNS (cuyadirección IP está en/etc/resolv.conf).Variable en función de/etc/nsswitch.confMáquinaAplicaciónSolicitud RespuestaSolicitudResolverRespuestaFicheros:/etc/hosts/etc/resolv.confServidorde DNS© GSyC 2008 – Redes I14

© GSyC 2008 – Redes IEsquema defuncionamiento de DNSSe trata de mantener la informacióncomo una base de datos distribuida.Las consultas al DNS se realizan enmodo cliente-servidor:− Cuando una aplicación (cliente) quiere“resolver” un nombre (que no aparece enel fichero local), pregunta a un servidorde DNS.− El servidor investiga por su cuenta ydevuelve la dirección IP pedida.155209.85.135.1041AplicaciónfirefoxresolverUDPIPEthernet2Consulta a un servidorfirefox: http://www.google.com¿www.google.com?Solicitud UDP(¿www.google.com?)3ServidorDNS53UDPIPEthernet4Respuesta UDP209.85.135.104© GSyC 2008 – Redes I16

© GSyC 2008 – Redes IFuncionamiento básico(sin cachés)Cuando un servidor S recibe una consulta pararesolver un nombre (ejemplo: www.google.com):ØØØØS Comprueba si el nombre pertenece a alguno de los dominiosque sirve (si es que sirve alguno). Si S lo sirve, busca en su“mapa” y devuelve la dirección IP correspondiente.Si S no lo sirve pregunta a un servidor del dominio raíz, que lecontestará con la dirección IP de un servidor de DNS deldominio “com”.Luego S pregunta al servidor de DNS de “com”, que leresponde con la dirección IP de un servidor de DNS de“google.com”.Ahora S pregunta a este último, que ya tiene en sus mapas ladirección IP pedida.Cada servidor puede servir uno o varios dominios, oninguno.17EjemploServidorDNSaplicación53resolverUDP8IPRespuesta UDP Ethernet209.85.135.104…1 Pregunta(¿www.google.com?)7IP dewww.google.comServidor DNS¿IPwww.google.com?32 Pregunta aservidor .com4¿IPwww.google.com?(IP)Servidor DNS .comPregunta al5 servidor .google.com(IP)¿IP 6www.google.com?Servidor DNS .google.com.© GSyC 2008 – Redes I18

Consultas a un servidorCuando se hace una consulta se puede elegirsi se hace en modo recursivo o iterativo :− Recursivas: Las que hace un cliente, que obliganal servidor a hacer las consultas necesarias paraencontrar la dirección pedida.− Iterativas: Las que le hace otro servidor, a lasque responden con la dirección IP del servidordel siguiente dominio en la jerarquía.Siempre que pueden, los servidores usandatos de su cache.© GSyC 2008 – Redes I19Tipos de servidoresSegún el origen de la información quesirven:− Maestro (primario): Tiene la informaciónactualizada por el administrador: tiene todoel mapa original− Esclavo (secundario): Obtiene lainformación (todo el mapa) mediante copiadel maestro.− Sólo Cache: No tiene información propia (elmapa), sino que guarda en memoria losresultados de consultas que él va haciendocuando es preguntado.© GSyC 2008 – Redes I20

Servidor reenviador(forwarder)A veces un servidor de DNS se configura de forma que,cuando reciba peticiones de un cliente, si no conoce larespuesta, en vez de intentar encontrarla por elprocedimiento normal, actúa como cliente (modorecursivo) de otro servidor para que este último obtengala respuesta en su lugar y se la pase. Se dice que elsegundo servidor es un reenviador (forwarder ) delprimero.Esta configuración puede ser útil para:− evitar el excesivo uso de un enlace lento a Internet.−concentrar las preguntas de varios servidores en un únicoservidor reenviador para aprovechar su cache másglobalmente.© GSyC 2008 – Redes I21Tipos de servidoresSegún fiabilidad de la respuesta:− Con autoridad (“authoritative”): Si larespuesta procede del mapa ”original”para el dominio consultado (de un maestroo de un esclavo).− Sin autoridad: Si procede de un servidorcache.© GSyC 2008 – Redes I22

Mapas de dominioCada mapa de dominio incluye un conjunto deregistros de recurso (RR):− Son la unidad de consulta.− Cada registro de recurso tiene 5 campos:Nombre de dominioTiempo de vida: Tiempo de validez del registro en lascachesClase: En Internet siempre INTipo: Define el tipo del registroValor: Contenido que depende del campo tipo© GSyC 2008 – Redes I23Tipos de registroSOA: Da información de gestión de una zona del dominio (servidor denombres primario, administrador, etc.).NS: Identifica al servidor de nombres de una zona.A: Define una dirección IP de una estación (puede tener varias).MX: Define el servidor de correo del dominio.CNAME: Permite asociar un alias a un nombre de dominio.HINFO: Da información del tipo de máquina y sistema operativo deun determinado sistema.TXT: Da información del dominio.SRV: Elementos del dominio asociados a determinados servicios.PTR: Nombre canónico de un registro.© GSyC 2008 – Redes I24

© GSyC 2008 – Redes IEjemploNombre TTL Clase Tipo Valorst1.es. 86400 IN SOA ns.st1.es.admin-st1.gmail.com. (2008030201 ; Nº de serie28800 ; Refresco7200 ; Reintento604800 ; Expiración86400 ) ; TTLst1.es. 86400 IN NS ns.st1.es.st1.es. 86400 IN MX correo.st1.es.ns.st1.es. 86400 IN A 193.147.184.6tierra.st1.es. 86400 IN A 193.147.184.7marte.st1.es. 86400 IN A 193.147.184.8luna.st1.es. 86400 IN A 193.147.184.9sol.st1.es. 86400 IN A 193.147.184.10www.st1.es. 86400 IN CNAME marte.st1.es.correo.st1.es. 86400 IN CNAME luna.st1.es.itis.st1.es. 86400 IN NS ns.itis.st1.es.lade.st1.es. 86400 IN NS ns.lade.st1.es.ns.itis.st1.es. 86400 IN A 212.135.11.45ns.lade.st1.es. 86400 IN A 212.146.13.14525¿UDP o TCP?Se usa el puerto 53 de TCP y el 53 de UDPpara el servidor de DNS:− Normalmente el resolver hace consultas usandoUDP.− Normalmente el servidor responde usando elprotocolo de la consulta.− Si la respuesta UDP es de más de 512 bytes(truncada), el resolver la repite usando TCP.− Las transferencias de zona de primario asecundario usan TCP.© GSyC 2008 – Redes I26

Formato de mensaje de DNSIDFlagsNº de consultas Nº de RRs de respuestaNº de NSs con autoridad Nº de NSs sin autoridadConsultasRespuestas: registros RR© GSyC 2008 – Redes I27Formato de mensaje de DNSID (16 bits): identifica el mensaje de DNS. El que realiza la consultaelige ID, la respuesta copia este mismo ID:Flags:−−−−−−−−QR (1 bit): QR=0 en preguntas, QR=1 en respuestas.Opcode (4 bits): 0 resolución directa, 1 resolución inversa y 2 para peticiónde estado.AA (1 bit): 1 si la respuesta es de un servidor con autoridadTC (1 bit): 1 si el mensaje ha sido truncadoRD (1 bit): 1 si la petición es recursivaRA (1 bit): 1 si el servidor acepta peticiones recursivasZero (3 bits): siempre a cero, no se utilizanRcode (4 bits): códigos de respuesta de un servidor:0: no hay error1: formato de consulta erróneo2: error en el servidor, no tiene la respuesta después de reenviar la solicitud3: error de nombre (sólo lo manda un servidor autoritario)© GSyC 2008 – Redes I28

Formato de mensaje de DNSConsulta:− Qname: nombre que se consulta.− Qtype: tipo de consulta, A, PTR, etc− Qclass: clase de consulta, IN (Internet)Respuesta:− Registro RR:Dominio, tipo (A, IN, NS, MX, etc), TTL, etc© GSyC 2008 – Redes I29Referencias“Redes de Computadores: un enfoque descendente basado enInternet”. J.J. Kurose y K.W. Ross. Pearson Educación. (capítulo 2)“Distributed Systems: Principles and Paradigms”, Andrew S.Tanenbaum, Maarten van Steen. (Capítulo 5)“DNS: The Domain Name System”, capítulo 14 de “TCP/IP Illustrated,Volume 1”,W. Richard Stevens, Ed. AddisonWesley, 1994.“DNS and BIND”, P. Albitz & C. Liu, Ed. O’Reilly, 2001FAQ de comp.protocols.tcp-ip.domains:http://www.faqs.org/faqs/internet/tcp-ip/domains-faq/part1/ICANN: http://www.icann.net/DNS Resources Directory: http://www.dns.net/dnsrd/© GSyC 2008 – Redes I30