TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI VIỆN CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG _* _ BÀI TẬP LỚN THIẾT KẾ MẠNG INTRANET ĐỀ : DICH VỤ DNS Giáo viên hướng dẫn : TS Phạm Huy Hoàng Sinh viên thực hiện: Ngô Hồng Hải – MSSV 20121638 Hoàng Hữu Hơi – MSSV 20121772 Nguyễn Tú Chi – MSSV 20121301 HÀ NỘI – THÁNG 12 NĂM 2015 MỤC LỤC LỜI NÓI ĐẦU Cùng với phát triển nhanh chóng kinh tế, vấn đề ứng dụng hệ thống mạng thông tin vào điều hành sản xuất doanh nghiệp ngày đẩy mảnh Nhà quản lý mong muốn quản trị viên mạng phải nắm bắt hầu hết công nghệ mạng để nhanh chóng triển khai, ứng dụng công nghệ mạng tiên tiến vào phục vụ điều hành sản xuất lập kế hoạch xây dựng bảo vệ hệ thống thông tin nội doanh nghiệp Chắc hẳn nhiều người quan tâm tới lĩnh vực hệ thống đến dịch vụ mạng DNS Một dịch vụ quan trọng Internet nội doanh nghiệp, cho phép toàn máy tính tài nguyên mạng lưu dạng tên truy cập vào hệ thống DNS chuyển từ tên sang địa chị IP ngược lại DNS server nói dịch vụ xương sống hệ thống mạng, giúp cho việc truy cập vào trang web thuận lợi dễ dàng Hiện có nhiều phần mềm cho phép xây dựng DNS server windows có Microsoft DNS, linux có BIND, powerDNS, MyDNS… Nhưng có lẽ phần mềm dùng để xây dựng DNS phổ biến giới nói mạnh BIND Trước xu hướng đó, với giúp đỡ, hướng dẫn tận tình thầy chúng em tiến hành xây dựng hệ thống DNS server tảng hệ điều hành Linux Centos với mong muốn nắm bắt vấn đề tảng, cốt lõi cách thức triển khai hệ thống tên miền Do kinh nghiệm kiến thức chưa sâu nên báo cáo đề tài nhóm chúng em nhiều sai sót, mong thầy góp ý thêm để nhóm hoàn thiện tốt đề tài nghiên cứu sau CHƯƠNG 1: GIỚI THIỆU CHUNG VỀ DỊCH VỤ DNS Mạng internet hay mạng cho vấn đề phân bố địa IP cục toàn cầu cho thiết bị đầu cuối (máy chủ, máy chủ router, giao diện) khả để định số tên tương ứng với tài nguyên, lần muốn truy cập vào nguồn tài nguyên có sẵn mạng, trang web ví dụ :www.example.com, cần thiết để biết địa IP vật lý nó, chặng hạn 192.168.34.166 Với hang trăm triệu vạn thiết bị 200 triệu trang web, nhiệm vụ khó khăn Thậm chí với số máy chủ nguồn tài nguyên Để giải vấn này, khái niệm tên máy chủ tao năm 1970 phép thuộc tính định tài nguyên đặt tên, trường hợp địa IP www.example.com , trì địa điểm tốt ý tưởng người tìm thấy dễ dàng để nhớ tên đặc biệt tên hợp lý mô tả chức năng, nội dụng mục đích địa IP số Chương giới thiệu khái niệm tên máy chủ cung cấp chút tảng tiến hóa hệ thống tên miền từ công cụ sử dụng để quản lý đến tiện ích toàn cầu trách nhiệm trì hoạt động tốt toàn hệ thống internet đại A Brief History of Name Servers Các vấn đề chuyển đổi tên thành địa vật lý cũ mạng máy tính Ngay dài khứ, người ta tìm tháy dễ dàng để nhớ họ sử dụng thiết bị điện báo gọi ”tty2” “cổng 57 MCCU”, phương pháp giải sau sử dụng Trong ví dụ trước, người dùng tiếp tục sử dụng “tty2” thiết bị cấu hình lại để vào cổng 23 vủa MCCU File cấu hình đơn giản thường sử dụng để thực dịch địa Như mạng, thông tin liên lạc đơn giản, lên năm 1970, vấn đề trở nên nghiêm trọng Hệ thống mạng kiến trúc mạng IBM (SNA), có lẽ ông nội mạng, sở liệu chứa máy tính lớn thô sơ xuất lần đầu vào năm 1974 Mô hình Opem Systems Interconnect (OSI), phát triển tổ chức Tiêu Chuẩn Quốc Tế (ISO – www.iso.org), xác định dịch vụ Địa Chỉ/Tên Transport Layer (Layer 4) ban đầu công bố vào năm 1978 NetBOIS cung cấp tên NetBIOS Server (NBNS) xác định vào năm 1984, sau thành Windows Internet Naming Microsoft ARPANET đầu tiên( mạng sau thành Internet) RFC, yêu cầu quaintly tên For Comments tài liệu chuẩn hóa Internet, khái niệm tên miền từ năm 1982 (RFC 799), thông số kỹ thuật cho tên miền hệ thống Internet biết ngày xuất năm 1987(RFC 1034 RFC 1035) Name Server Basics Khi name server mắt mạng, host cẩnbiết địa vật ký name server tên tài nguyên web site mà muốn tiếp cận Sử dụng thông tin này, tìm địa () tài nguyên cách truy vấn name server Tài nguyên thêm, di chuyển, thay đổi xóa vị trí, name server, thông tin sẵn có cho host dùng name server Name server ta đơn giản kho liệu chuyên dụng, dịch tên sang địa IP Các name server làm đơn giản hóa việc quản lý mạng làm mạng động sẵn sàng thay đổi Tuy đáp án phát sinh vấn đề Nếu name server ta sẵn, host tiếp cận tài nguyên mạng Ta tạo name server nguồn lực quan trọng nên ta tốt hết nên tạo nhiêu name server trường hợp thất bại Đáp án cho vấn đề tính sẵn sàng name server giới thiệu name server name server thứ cấp Nếu name server không trả lời truy vấn, host thử lại name server phụ Quan trọng name server ngày thấy danh sách 3, 4, hay nhiều name server Các điều khoản name server name server thứ cấp hay name server phụ thứ 3, phụ thứ 4, sử dụng rộng rãi, bao hàm khả tiếp cận ưu tiên, chống lại tính sẵn có Không vấn đề tính ưu tiên dẫn đến việc tập trung trao đổi vào name server bản, làm giảm hiệu suất chung, trường hợp name server không hoạt động, trao đổi phải đợi thời giản trước thử lại với name server thứ cấp, vv…Phần lớn phần mềm name server sử dụng số dạng ngẫu nhiên, thời gian phản hôi cố định tiếp cận luân phiên tới danh sách name server để thử phân tải giảm thởi gian phản hồi Với phát triển mạng, bắt đầu tạo số lượng đáng kể tên name server Nó gây lên vấn đề Sự tổ chức: Việc tìm kiếm xác tên ta cần hàng triệu tên sở liệu chậm, ta cần cách thức để hiển thị tổ chức tên Khả mở rộng: Nếu host tiếp cận tới name server, việc truyền tải trở nên chậm, ta cần cách thức để dàn trải tải name server Quản lý: với nhiều ghi tên sở liệu, vấn đề quản lý trở nên phức tạp hơn, nhiều người quản lý có ý định cập nhật ghi lúc Ta cần cách thức để phân quyền người quản lý CHƯƠNG 2: KIẾN TRÚC DỊCH VỤ DNS DNS bổ sung đặc biệt định nghĩa tên server dùng cho trình phổ biến mạng Internet Có vấn đề đặt ra: - Sự cần thiết hệ thống tên - Sự cần thiết việc phân chia tải hoạt động name servers - Sự cần thiết việc ủy quyền cho admin name servers Dịch vụ DNS giải tất vấn đề Domains Delegation: ─ ─ Dịch vụ DNS sử dụng cấu trúc tên dạng Đỉnh Của node gốc, sau TLDs (the Top-Level Domains), SLDs (the Second-Level Domains), tiếp sau mức thấp hơn, mức phân chia cách dấu “.” TLDs gồm loại bản: - gTLDs (generic Top-Level Domains): com, edu, net, org, mil … - ccTLDs (Country Code Top-Level Domains): us, ca, tv, uk, … ccTLDs sử dụng Figure2 ─ ─ ─ Domain name: tổ hợp SLD name TLD name, viết từ trái qua phải với mức thấp hệ thống phân cấp bên trái mức cao bên phải (sld.tld: sld bên trái, tld bên phải) Second-level Domain: định nghĩa node mức thứ hệ thống phân cấp tên miền, dài Ngoài tên miền dài cần có mức Third-Level Domains, mức thường ccTLDs… Theo quy ước mục đích sử dụng mà gọi domain hay domain name, thường sử dụng để mô tả thực thể đặc trưng Ví dụ: example.com, đó: example SLD com TLD Domain Authority: ─ ─ ─ ─ Khái niệm authority delegation nằm phần hệ thống DNS phản ánh xác tổ chức hệ thống Mỗi node phân cấp hệ thống domain name phân quyền cho tổ chức người chịu trách nhiệm quản lý thi hành node Tổ chức người cho biết để quản lí node ủy quyền Quyền cho node cụ thể ủy nhiệm cho node mức node hệ thống phân cấp tên miền Các qui định hạn chế thẩm quyền nằm thỏa thuận qua node khác hệ thống phân cấp tên miền Quyền cho domain gốc quy định ICANN-www.icann.org (Internet Corporation for Assigned Numbers and Names) Từ năm 1998, ICANN-1 tổ chức phi lợi nhuận- nhận trách nhiệm từ Bộ thương mại Mỹ Khi ICANN thành lập, phần nhiệm vụ mở rộng là: phần hệ thống phân cấp tên miền trách nhiệm cạnh tranh thương mại Để thuận tiện cho cạnh tranh này, hệ thống cung cấp khái niệm accredited registrars, tổ chức ICANN ủy nhiệm hạn chế việc bán quản lí phận hệ thống phân cấp tên miền gTLDs ủy quyền quản lí ICANN ủy quyền cho loạt accredited registrars ccTLDs ủy quyền ICANN cho quốc gia riêng lẻ với mục đích quản trị Figure 1-1 cho thấy quan đại diện cho cấp thấp hệ thống phân cấp; nói cách khác, ủy quyền cho điều mà có thẩm quyền Mỗi cấp hệ thống phân cấp ủy quyền việc có thẩm quyền để kiểm soát phân cấp thấp Trong trường hợp ccTLDs, quốc gia tự đưa quy tắc riêng nước Các quốc gia Hoa Kỳ ccTLDs us, Canada: ca… Do example.md.us tên miền example quản lí bang Maryland Hoa Kì DNS Implementation and Structure: ─ Việc thực thi DNS ánh xạ xác cấu trúc tên miền ủy quyền mô tả trước Có nhiều tên servers (servers chạy DNS software) cấp hệ thống phân cấp tên miền ủy quyền , chịu trách nhiệm việc chạy name server nằm với kiểm soát có thẩm quyền cấp Figure 1-2 cho thấy cấu trúc này: Figure2 ─ ─ Root name server (hay gọi root-servers) nguồn quan trọng Internet Khi name server truy vấn thông tin domain name mà ko có thông tin, gửi yêu cầu đến root DNS servers Hiện có 13 root-servers toàn giới, mô tả chi tiết phần sau Root-servers biết name server giới sử dụng zone file đặc biệt, điều phân phối với tất DNS software TLD name servers (gTLD ccTLD) điều hành loạt tổ chứcRegistry Operators, đồng ý ICANN mô tả chi tiết phần sau Người sở hữu tên miền ủy quyền để quản lí tên miền có trách nhiệm cho hoạt động người sử dụng ( name domain) name servers- phải có tối thiểu khả phục hồi Name server chịu trách nhiệm vận hành phải ủy quyền chủ sở hữu tên miền tới ISP, web hosting company, phải đăng kí tên miền Có nhiều công ty chủ sở hữu tên miền,tuy nhiên để chạy name server riêng họ, chí việc ủy quyền trách nhiệm cho tên miền phụ (subdomain name servers) chia thành phận tách biệt Khi name server ko trả lời, hay giải quyết, yêu cầu cho tên, Ví dụ: fred.example.com, truy vấn đưa tới root server (điều thảo luận phần tiếp theo), sau trả lời dẫn đến TLD name server thích hợp, cung cấp dẫn đến domain name server thích hợp-để trả câu trả lời thực Figure 1-3 làm rõ trình này: Figure2 Root DNS Operations ─ ─ Các root servers (root DNS) trách nhiệm ICANN, thực đồng ý ICANN thương mại Hoa kỳ với thỏa thuận CRADA (The Cooperative Research and Development Agreement) Thỏa thuận bao gồm phương pháp quy trình theo cập nhật tới hệ thống root name thực ICANN thành lập ủy ban tư vấn hệ thống root server (the root server system advisory committeeRSSAC) để tư vấn hướng dẫn hoạt động phát triển nguồn tài nguyên quan trọng RSSAC yêu cầu IETF phát triển tiêu chuẩn kĩ thuật cho hoạt động root servers Yêu cầu dẫn đến việc xuất RFC 2870 Hiện có 13 root server Chúng giữ tên miền giành riêng: rootservers.net Mỗi root- server thường gồm nhiều máy chủ vật lý, sử dụng trình gọi anycasting, máy chủ vật lý chia sẻ địa IP root servers đặt tên từ a.root-servers.net qua m.rootservers.net, trình bày Table 1-1 Tính đến năm 2010, có 13 tên root-servers, có 200 trường (instances) toàn giới thông tin root-server lấy từ www.root-servers.org Ser ver A B C ─ Operator Location IP Address VeriSign Global Registry Services Sites=6; Los Angeles,US; New York,US*;Frankfurt,DE;Hong Kong,HK;Palo Alto,US*;Ashburn,US* IPv4:198.41.0.4 IPv6:2001:503:BA3E::2:30 Information Sciences Institute Sites=1;Marina del Rey,US IPv4:192.288.79.201 IPv6:2001:478:65::53 Cogent Communications Sites=6;Chicago,US;Herdon,US;Lo s Angeles,US;New York City,US;Frankfurt,DE;Madrid,ES IPv4:192.33.4.14 Công việc root-servers cung cấp lời dẫn đến name servers có thẩm quyền cho TLDs yêu cầu (gTLDs ccTLD) Ví dụ, người dùng yêu cầu thông tin fred.example.com, root-servers cung cấp danh sách name servers có thẩm quyền cho TLD com Năm 2004, ICANN nhận trách nhiệm cho việc trì tập tin tổng thể TLD root-servers- tập tin mà danh sách servers có thẩm quyền cho TLD Sự phân phối tập tin tới hoạt động root-servers thực an toàn giao dịch Để tăng cường an ninh, server cung cấp cập nhật gốc mà truy cập từ root-servers Nó ko phải server hiển thi công khai Figure 1-4 minh họa trình Top-Level Domains ─ Top-Level Domain chia thành Generic Top-Level Domains Country Code Top-Level Domains Mỗi nhóm quản lý có chút khác nhau, kiểm soát ICANN ICANN sử dụng trình kí 10 host phép cập nhật đằng sau vành đai an toàn Tuy nhiên, DDNS điều khiển từ xa người dùng phân tán cập nhật kiểm soát tên miền họ Trong hoàn cảnh này, user nguy hiểm DNS động luôn sử dụng TSIG/TKEY mô tả chương 10, để xác thực request đến ─ Hành vi mặc định DDNS từ chối tất host Kiểm soát việc cập nhật tự động cung cấp file named.conf cập nhật sách (có thể sử dụng với TSIG/TKey) điều khoản zone tùy chọn Các báo cáo điều khoản đề cập chương 12 ─ Có số công cụ mã nguồn mở bắt đầu cập nhật DDNS; chúng bao gồm ns update, tiện ích phân phối BIND ( mô tả chương 9) Alternative Dynamic DNS Approaches( Phương pháp tiếp cận Dynamic DNS thay thế) ─ Như nói trước đó, hạn chế lớn DDNS (RFC 2136) domain tạo tự động Cách tiếp cận khác cho vấn đề tồn ─ BIND-DLZ (mã sở tích hợp vào BIND từ release 9.4) có cách tiếp cận triệt để thay tất zone file zone file đơn giản, mô tả sở liệu BIND-DLZ hỗ trợ sở liệu mã nguồn mở bao gồm MySQL, PostgreSQL, BDB, LDAP Tất truy vấn đến DNS hướng dẫn đến truy cập thường xuyên tạo mới, sửa xóa zone data phản ánh phản hồi name server ─ Giống thứ sống, có lựa chọn Tùy thuộc vào sở liệu lựa chọn, hiệu suất giảm xuống Trình điều khiển sơ liệu BIN-DLZ có thư mục /contrib phát hành BIND( từ 9.4) Đối với thông tin cấu hình BIND-DLZ, trình điều khiển sở liệu liệu hiệu suất sử dụng website BIND-DLZ (binddlz.sourgeforge.net) ─ PowerDNS (www.powerdns.com) có quyền- name server lấy cách tiếp cận tương tự (non-BIND) với mã sở cách tham khảo tất truy vấn sỡ liệu back-end cho phép domain thêm vào tự động ─ BIND 10 ( mô tả chương 14) hỗ trợ đầy đủ việc tạo xóa zone sử dụng sở liệu back-end (mặc định SQLite) File vùng văn tiêu chuẩn nạp vào sỡ liệu cách sử dụng tiện ích loadzone 38 ─ Caution: Việu sử dụng thay đổi thời gian thực với DNS record mà biện pháp bảo vệ tích hợp dẫn đến lỗi nhỏ lan truyền khắp mạng internet với hậu thảm khốc DNS cache giữ hồ sơ 12 (được xác định bỏi hai $TTL cho zone file giá trị TTL cho RR cụ thể), lỗi thời gian dài để sửa chữa Vấn đề bảo mật ─ ─ ─ ─ ─ ─ Trong trình hoạt động DNS tiềm tàng nguy bảo mật Ví dụ DNS hay dịch vụ truy cập công khai FTP hay web site Tổng quan vấn đề bảo mật phải quay lại từ chi tiết file cấu hình bảo mật nhỏ DNS Điểm quan trọng xác định sách bảo mật thủ tục để hiểu cần bảo vệ hay hiểu cần bảo vệ để chống lại nguy công nguy chấp nhận Khái quát thuật ngữ DNSSEC để bảo vệ bảo mật DNS Có hình thức bảo mật DNS Để đánh giá nguy tiềm tàng sách bảo vệ cần phải hiểu dòng chảy liệu bên hệ thống DNS DNS Data Flow Các nguy bảo mật sơ đồ trên: Stt Vùng Zone File Nguy Phân loại File lỗi (mã Local 39 Giải pháp Quản trị hệ ─ + + + Dynamic Updates độc vô tình) Không xác Server-Server thực updates, địa IP giả mạo Zone Tranfers Địa IP giả Server-Server mạo Remote Queries Resolver Queries Đầu độc cache Server- Client địa IP giả mạo, liệu bị chặn, phá vỡ Master Slave Dữ liệu bị Remote chặn, đầu độc Client-Client cache, địa IP cục giả mạo thống Kiến trúc mạng, TSIG,SIG(0), chặn update Kiến trúc mạng, TSIG,TKEY chặn DNSSEC DNSSEC, SSL/TLS Phân loại bảo mật: Local Threat: nguy dễ ngăn chặn nhất, đòi hỏi yêu cầu sách quản trị hệ thống tốt Zone File file cấu hình DNS cần bảo vệ Có thể hạn chế truy cập đọc viết bảo vệ lưu Stealth name server sử dụng để giảm thiểu truy cập công khai BIND chạy chroot jail Server- Server (2): Nếu tổ chức sử dụng slave name server dùng zone tranfer Nó chạy nhiều master name server masterslave server Phương pháp thay yêu cầu để phân phối zone tranfer Phương thức để chọn lựa yêu cầu phân phối zone transfer phươngN thức dễ bảo vệ zone transfer, phụ thuộc vào yêu cầu thủ tục tổ chức Nếu zone transfer yêu cầu, BIND đưa nhiều tham số cấu hình để giảm thiểu nguy vốn có trình, TSIG TKEY đưa phương thức bảo mật để truyền zone transfer Server- Server (3): BIND mặc định chặn update tự động Nếu tổ chức yêu cầu update, BIND cung cấp tham số cấu hình để giảm thiểu rủi ro Thiết kế kiến trúc mạng- hệ thống phức tạp phía chu vi đáng tin tương lai giảm thiểu hiển lộ diện TSIG SIG(0) sử dụng để bảo vệ giao dịch 40 + + Server- Client (4): Các cache từ xa bị đầu độc, nội dung cache bị đầu độc tới vị trí trang web kẻ công, Nó thực cách sử dụng IP giả mạo, đánh cắp liệu kỹ thuật hack khác Nếu trang web bình thường có nguy bị công, trang web có nhiều thông tin nhân, lượng thông tin lớn, doanh thu cao có nhiều nguy bị công thực toàn quy mô giải pháp DNSSEC điều hoàn toàn hợp lý Client- Client(5): giao thức DNSSEC có khái niệm ”securityaware resolver” theo chuỗi bảo mật lan truyền từ name server miền có thẩm quyền tới giải yêu cầu client Các kiểu hoạt động máy chủ DNS ─ ─ ─ ─ + + + + + DNS đóng nhiều vai trò khác nhau- name server master số zone slave zone khác Nó cung cấp caching chuyển hướng dịch vụ tới dịch vụ cho đối tượng khác thực Thực vây, sức mạng BIND đến từ việc điều khiển tốt nhỏ lẻ chức hoạt động Chức name server bị điều khiển file cấu hình Việc cấu hình name server phụ thuộc vào yêu cầu trở nên phức tạp Chúng ta tập trung vào kiểu hoạt động như: master server (máy chủ tổng thể) authoritative-only server (máy chủ có thẩm quyền ) thuật ngữ clause để diễn tả nhóm câu lệnh xuất file name.conf Các thuật ngữ quan trọng: nhóm Option Clause : tập cấu lệnh điều khiển toàn hành vi name server Trong số trường hợp toàn câu lệnh bị ghi đè Clause đinh Zone Clause Nhóm Zone Clause: câu lệnh liên quan đến zone định bên cấu hình Câu lệnh Type: sử dụng zone clause quy định làm name server hoạt động cho zone định Lệnh đệ quy (recursion statement): điều khiền truy vấn truy vấn đệ quy có hỗ trợ hay không Lệnh file: sử dụng để quy định địa vật lý zone file xuất zone clause 41 ─ ─ ─ ─ ─ ─ ─ 7.1 Master name Server Cấu hình master DNS hiểu cấu hình cấu hình zone master, chứa hay nhiều zone file mà DNS có thẩm quyền đọc từ hệ thống file cục Một master yêu cầu để chuyển file zone tới nhiều slave server zone file bị thay đổi Trạng thái zone master dành cho zone quy định BIND9 gồm: type master file name.conf zone “example.com” in{ type: master; file: “master.example.com”; } Ví dụ zone “example.com” quy định zone áp dụng câu lệnh, type master quy định DNS zone master cho example.com file master.example.com quy định tên zone file hệ thống file chứa hồ sơ nguồn choc ho example.com ─ Một zone master thu data zone từ zone file cục ngược với zone slave (thu nhận data zone thông qua hoạt động zone transfer từ zone master) Điều có ý nghĩa có zone file cho khu khu vực Khi zone file bị thay đổi cần đồng zone master thủ công tự động Điều dễ dàng để quản lý đảm bảo hoạt động zone transfer vốn có cấu hình master-slave Một zone name server (sử dụng thông điệp NOTIFY) zone thay đổi cho slave zone Điều đảm bảo thay đổi zone thông báo cho cá slave zone Thông điệp NOTIFY bị chặn cách cấu hình câu lệnh notify: no name.conf zone clause cho tên miền 7.2 Slave Name Server Một Slave Name Server thu thông tin từ zone master phản ứng lại thẩm quyền với vùng zone mà gọi slave cho ghi vào vùng hợp lệ Các hành vi chuyển zone xem 42 ủy nhiệm cho zone tới slave khoản thời gian quy định khoảng thời gian cố định ghi SOA cho phép slave name server trả lời truy vấn zone type file masters }; "example.com" in{ slave; "slave.example.com"; {192.168.23.17;}; tin khác với master server: type: slave xác định DNS slave master{192.168.23.17} địa zone master để slave lấy thông tin từ zone master ─ Một slave server cố gắng cập nhật hồ sơ zone có thay đổi Nếu cập nhật thất bại, định kỳ thử tiếp cận với zone master khoảng thời gian thử.Khi slave không tiếp cận với zone master hết thời gian SOA RR dành cho khu tiêp cận, ngừng trả lời truy vấn zone.Các slave name server không sử dụng liệu hạn Các hành vi Slave name Server ─ ─ ─ + + ─ Slave server trả lời có thẩm quyền để truy vấn cho tên tên miền miễn họ có nắm giữ hồ sơ vùng Tính cung cấp cho người dùng cách linh hoạt đăng ký name server cho tiên miền xác định Khi đăng ký tên miền, yêu cầu server chọn có thẩm quyền truy vấn tới vùng miền, điều không cần thiết mà sử dụng hai hay nhiều slave server Tính linh hoạt cho phép zone master ẩn từ truy cập công cộng có yêu cầu.( hidden master) Để làm rõ ý trên: xem xét trường hợp sau: Nếu file slave server bị hỏng công , nhanh chóng phục hồi từ master qua zone tranfer Nếu mà file master server bị hỏng phục hồi qua phương tiện lưu thời gian Để giải vấn đề cần tránh cho master hiển thị công khai Minh họa mô hình master- slave 43 Mô hình hidden master Slave cache ─ ─ ─ Một zone Slave thu thập tất liệu zone mà hoạt động slave thông qua trình zone transfer Quá trình không nên nhầm lẫn với cache Slave server sử dụng giá trị làm giới hạn từ SOA RR để đặt time out liệu vùng chuyển lại tất liệu Bộ nhớ cache chứa RR cá nhân trả lời truy vấn cụ thể từ resolver name server khác hoạt động resolver loại bỏ RR TTL xảy Thêm vào slave server thường có thẩm quyền trả lơi yêu cầu thông tin khu vực Cache có quyền trả lời với liệu vùng lần thu thập liệu Khi đọc từ cache liệu không đánh dầu độc quyền 44 ─ Chỉ có Master slave server có thẩm quyền xuất NS RRs cho vùng có kiểu server có thẩm quyền trả lời cho khu vực ─ + Sử dụng NOTIFY để thông báo thay đổi Slave server định kỳ thu thập lại thay đổi từ zone master khoảng thời gian quy định cách thay đổi tham số refresh zone SOA RR Nếu NOTIFY cho phép zone zone nạp nạp lại lúc, thông điệp NOTIFY gửi tới tất slave server quy định SOA RR zone file Khi nhận NOTIFY, slave server yêu cầu Nếu số serial vùng liệu thấp so với số serial yêu cầu SOA RR slave server khởi tạo zone transfer để hoàn thành update zone data Các NOTIFY ẩn chứa nguy bảo mật Để giảm thiểu nguy cơ, hành động mặc định BIND chấp nhận NOTIFY zone server + + ─ ─ ─ ─ 7.3 Caching Name Server Một caching nam server thu thập thông tin cụ thể hình thức hay nhiều hồ sở miền cách gửi câu truy vấn tới name server có thẩm quyền zone để trả lời truy vấn host/client lưu vào cache Khi có yêu cầu tương tự yêu cầu trước, trả lời với liệu lưu cache Quá trình phải diễn thời gian sống RR Các yêu cầu cho RR giải vấn đề dẫn đến việc giải truy vấn lần name server có thẩm quyền zone Cache làm tang hiệu DNS giảm thiểu tải mạng Ví dụ: Option{ Recursion yes; allow-recursion {10.2/16;192.168.2/24;}; } zone ”.” in{ type: file: “ root server”; hint; 45 } + + Option: câu lệnh cho tất zone cấu hình trừ ghi đè trực tiếp lên câu lệnh khác Recursion yes: bật cache- mặc định BIND bỏ qua allow-recursion: quy định địa IP cho phép xử lý truy vấn đệ quy + zone ”.” : quy định server thông thường im lặng sử dụng để truy cập tới vùng mà không quy định phần lại cấu hình + type: hint: tên miền tham chiếu gốc sử dụng kết hợp với zone”.” + File “root.server”: xác định vị trí zone file chứa địa RR rootserver ─ Ý nghĩa Caching ─ Nguy caching: + Việc sử dụng cache tốn chi phi hiệu đáng kể + Cache bị đầu độc công ─ Ứng dụng phổ biến Caching: + Như name server hoạt động master hay slave cho hay nhiều vùng caching server cho tất truy vấn + Giống máy chủ đệm tên miền- sử dụng hỗ trợ chuẩn phân giải PCbased 7.4 Fowarding Name Server ─ Máy chủ chuyển tiếp DNS server máy chủ chuyển tiếp tất truy vấn tới DNS khác lưu trữ kết ─ Fowarding Name Server giải theo cách sau truy cập tới mạng như: chậm, tốn kém, tắc nghẽn: + Khi name server nơi mà truy vấn chuyển cung cấp truy vấn đệ quy để hỗ trợ kết phiên truy vấn đệ quy- kết Nếu name server cục caching only name server không chuyển tiếp truy vấn mà lại có nhiều phiên truy vấn dẫn tới tăng tải mạng tắc nghẽn + Các name server miền DNS địa phương web site lưu kết cung cấp câu rả lời nhanh cho thông tin thường xuyên truy cập loại bỏ lưu lượng truy cập từ bên không cần thiết 46 Forwarding DNS Server BIND cho phép cấu hình chuyển tiếp sử dụng câu lệnh forward forwarders cấp độ toàn vùng sở vùng file name.conf Ví dụ Options{ Forwarders{10.0.0.1;10.0.0.2}; Forward only; } Forwarders: áp dụng cho toàn cấu hình trừ ghi đè lên câu lệnh zone clause Forwarders forward thường kết hợp với Forwarder(IP1, IP2) IP1,IP2 sử dụng luân phiên Forward only: tất truy vấn bị chuyển tiếp Ví dụ 2: Chuyển tiếp tới địa cụ thể Zone “example” in{ Type: forward; Forwarders{10.0.0.1;10.0.0.2}; Forward only; } 7.5 Stealth Name Server Stealth Name Server name server mà không xuất RRNS hiển thị công khai cho tên miền Stealth sử dụng cấu hình vùng DMZ split server có đặc điểm sau: 47 + tổ chức cần cho biết DNS Server để cung cấp truy cập tới dịch vụ cong khai web, email, FTP + Các tổ chức không muốn giới nhìn thấy chủ nội truy vấn (hoặc zone transfer) trường hợp dịch vụ DNS server bị tổn hại Kiến trúc Stealth split server Các public external host( máy chủ công cộng máy chủ ngoài) cung cấp thẩm quyền để trả lời nhớ đệm dịch vụ, truy vấn đệ quy không chấp nhận Zone transfers cho phép name server công cộng theo yêu cầu, họ không nên chuyển đến chấp nhận chuyển từ stealth server Điều phân định rõ rang phần riêng công cộng, cần thiết name server bị nỗi đơn giản kiểm tra file named.conf zone file không mang lại thông tin thành phần mạng ẩn Stealth Server View Clause BIND cung cấp View Clause sử dụng để cung cấp chức tương tự server đơn lẻ, không giải vấn đề name server bị công, qua tiết lộ liệu thông qua kiểm tra file named.conf hay zone file 48 Xem xét cẩn thận khả hệ thống tập tin làm tổn hại server hiển thị công khai thiết kế câu lệnh view phải đảm bảo trước sử dụng view cấu hình Stealth DNS 7.6 Authoritative-Only Name Server Thuật ngữ “ authoritative-only nam server” thường sử dụng để mô tả hai đặc tính liên quan đến DNS: + name server xác thực câu trả lời đưa ra; zone master slave cho nhiều miền + name server nhớ đệm Authoritative-only server thường sử dụng hai cấu hình rõ rang: + server mở rộng công cộng cấu hình DNS ẩn sử dụng để cung cấp cho khoảng bảo vệ + thứ name server hiệu cao Options{ Recursion no; } Recursion: có hiệu lực hạn chế cache; 49 CHƯƠNG 4: GIẢI PHÁP LOAD BALANCING BẰNG DNS Việc phân công ứng dụng với kết nối người dùng đến hệ thống cụ thể vượt công suất hệ thống này, hệ thống khác với yêu cầu vào ứng dụng khác lãng phí dung lượng Để đạt mục tiêu cho mức cân trọng tải tất hệ thống, hệ thống phải tổ chức thành nhóm hệ thống Tấc hệ thống nhóm cung cấp thông tin khối lượng tải chúng để thiết bị cân tải Thiết bị có trách nhiệm phân phối yêu cầu kết nối từ người sử dụng tới hệ thống máy chủ ứng dụng, dựa sở thông tin khối lượng công việc Người dùng không thấy cụm Họ cố gắng thử kết nối đến dịch vụ, giả sử chạy máy trình cân tải Bộ cân tải chuyển yêu cầu kết nối tới cung cấp dịch vụ thực sở khối lượng công việc tất các hệ thống cluster Thông tin tình trạng công việc (tải) cung cấp chức năng, chẳng hạn quản lí việc cư trú hệ thống đích Nếu ko có thông tin khối lượng công việc từ hệ thống yêu cầu, cân tải sử dụng quy tắc phân phối, ví dụ như: -1 phân phối round-robin đơn giản _ Số lượng phân phối kết nối Chúng ta thảo luận kĩ thuật sử dụng để hỗ trợ cung cấp cân tải, khả mở rộng, vấn đề tiếp Giải pháp trước tiên để giải vấn đề cân tỉa thường đặt điểm mà name server dịch sang địa IP thực tế: hệ thống DNS Bằng cách xoay quanh qua bảng địa IP cho dịch vụ cụ thể, số mức độ cân tải đạt cách tiếp cận gọi round- robin DNS Những lợi ích phương pháp tuân thủ giao thức rõ ràng cho máy khách mày chủ đích Ngoài ra, thực lần vào lúc bắt đầu giao dịch Nhưng cách tiếp cận bị cản trở name servers trung gian phần mềm máy khách (bao gồm vài trình duyệt phổ biến nhất) nơi ẩn chứa 50 địa IP trả dịch vụ DNS bỏ qua giá trị TTL, đặc biệt TTL ngắn ko có Kết là, chức cân tải cung cấp DNS bỏ qua, máy khách tiếp tục sử dụng địa IP lưu thay giải vấn đề lần Thậm chí máy khách không lưu địa IP, giải thuật round-robin DNS có hạn chế sau: - Nó không cung cấp khả phân biệt cổng - Nó không đoán trước thứ sẵn có servers - Nó không đưa vào tài khoản khối lượng tải servers RFC 1974 thảo luận việc hỗ trợ DNS để cân tải đề cập đến round-robin DNS CHƯƠNG 5: CÁC BÀI THỰC HÀNH THIẾT LẬP DỊCH VỤ DNS 51 TÀI LIỆU THAM KHẢO [1] Thiết kế cài đặt mạng Intranet 52 [...]... ─ NSEC, RRSIG, DS, DNSKEY, và KEY Resource Records Những RR được sử dụng trong bảo mật DNS (DNSSEC) cấu hình như mô tả trong chương 10 và 11 SRV Resource Records Dịch vụ (SRV) RR được sử dụng để ánh xạ dịch vụ lên host Chương 13 mô tả các RR SRV, và Chương 8 chứa một cuộc thảo luận về việc sử dụng các bản ghi SRV trong cân bằng tải và khả năng phục hồi 4 DNS Queries ─ Các nhiệm vụ chủ yếu được thực... mail.example.net + Đây là phương pháp cổ điển của việc xác định một máy chủ mail dự phòng, trong đó có một giá trị ưu đãi thấp hơn (20 trong ví dụ) Trong trường hợp các máy chủ mail đầu tiên là không có sẵn, các máy chủ mail dự phòng (lý tưởng tại một vị trí địa lý khác nhau) sẽ được sử dụng Máy chủ mail dự phòng này thường được định nghĩa là một máy chủ mail chuyển tiếp đơn giản cho các tên miền, không ngừng... trong giao dịch DNS Để tránh sử dụng TCP khi kích thước khối giao dịch DNS vượt quá 512 byte, thì có 1 tính năng gọi là EDNS0 (Extended DNS 0 RFC 2671) được sử dụng EDNS0 (Được mô tả chi tiết hơn ở chương 17) về cơ bản chuyển thành 1 khối kích thước UDP được mở rộng BIND 9 và 10 đều được chuyển thành 1 khối EDNS0 có kích thước tối đa là 4096 (4K) byte theo mặc định, mặc dù nó có thể được cấu hình Ngay... phân giải trên một máy chủ sẽ gửi một truy vấn lặp đi lặp lại "địa chỉ IP của www.example.com là gì?" Để nó được cấu hình locally DNS Resolver  DNS Resolver nhìn lên www.example.com trong bảng local (cache của nó), nhưng nó không được tìm thấy Bởi vì truy vấn này được lặp đi lặp (nó không yêu cầu đệ quy), DNS Resolver phản ứng với một giấy giới thiệu có chứa danh sách các thư mục gốc -máy chủ  Resolver... mail Bất kỳ máy chủ khác khi người dùng muốn làm cho hiển thị công khai cũng được xác định bằng cách sử dụng A RR; trong file ví dụ, điều này bao gồm các dịch vụ web (www) và các name server joe vì một lý do tốt nhất được biết đến chủ sở hữu tên miền ─ Nó được cho phép để xác định địa chỉ IP cùng với nhiều tên như trong đoạn sau đây (ở đây là name server và máy chủ web được đồng nằm trên một máy) : ns1... một địa phương hoặc DNS Resolver từ xa hoặc một name server đại diện cho một Resolver Các PC resolver (hoặc thường hơn stub-resolver) là thư viện phần mềm được cài đặt trên mỗi máy tính sử dụng để dịch một yêu cầu của người dùng hoặc ứng dụng để truy vấn DNS Ví dụ, một truy vấn điển hình sẽ là "địa chỉ IP của www.example.com là gì?" Các phân giải PC sẽ sử dụng một DNS Resolver cấu hình cục bộ, như 28... miền nước ngoài hoặc bên ngoài Trong DNS biệt ngữ, ftp.example.net được gọi là tên kinh điển, mà chỉ đơn giản có nghĩa là tên dự kiến hoặc tên 25 thực ─ CNAME RR thường được sử dụng khi gán tên dịch vụ đến các host hiện có; Ví dụ, nếu một máy chủ được thực sự gọi là hóa đơn nhưng chạy một FTP và một dịch vụ web, sau đó CNAME RR thường được sử dụng để xác định các dịch vụ này, như thể hiện trong đoạn sau... yêu cầu đến địa chỉ IP của www.example.com để giải quyết nó Bộ phân giải tên miền trên máy chủ sẽ gửi lặp đi lặp lại 1 truy vấn “Địa chỉ IP của www.example.com là gì?” để nó đc cấu hình DNS resolver + + + + + + + DNS resolver tìm www.example.com trên bảng local, nhưng nó ko đc tìm thấy Do truy vấn này được lặp đi lặp lại, DNS resolver phản hồi lại với 1 lời chỉ dẫn đến các root-servers Bộ phân giải lựa... về trong các câu trả lời Khi giao dịch với câu trả lời lớn, điều này có thể gây ra các phản ứng để vượt quá giới hạn 512-byte của một giao dịch DNS UDP, do đó làm giảm hiệu suất Khi CNAME Records phải được sử dụng ─ Như đã nói ở phần trước, CNAME RR là thường xuyên và thường được sử dụng để lập bản đồ dịch vụ như FTP, web, gopher, và những người khác trên một máy chủ duy nhất Trong những trường hợp... có thể cập nhật nhiều máy chủ Bảo trì có thể quá trình khu vực này liên quan đến việc chuyển giao các tập tin khu vực từ một máy chủ DNS khác giữa một master và slave DNS cho các tính năng zone-sử dụng của giao thức DNS Thời gian giữa chuyển đổi khu tập tin là một yếu tố quyết định lớn của tốc độ mà thay đổi các thông tin được lan truyền khắp vùng Internet ─ Thiết kế ban đầu của DNS cho phép để thay ... transfer) trường hợp dịch vụ DNS server bị tổn hại Kiến trúc Stealth split server Các public external host( máy chủ công cộng máy chủ ngoài) cung cấp thẩm quyền để trả lời nhớ đệm dịch vụ, truy vấn đệ... Chương ─ NSEC, RRSIG, DS, DNSKEY, KEY Resource Records Những RR sử dụng bảo mật DNS (DNSSEC) cấu mô tả chương 10 11 SRV Resource Records Dịch vụ (SRV) RR sử dụng để ánh xạ dịch vụ lên host Chương 13... Các kiểu hoạt động máy chủ DNS ─ ─ ─ ─ + + + + + DNS đóng nhiều vai trò khác nhau- name server master số zone slave zone khác Nó cung cấp caching chuyển hướng dịch vụ tới dịch vụ cho đối tượng