Tìm hiểu về dns
TRƯỜNG ĐẠI HỌC MỎ ĐỊA CHẤT KHOA CÔNG NGHỆ THÔNG TIN BÀI TẬP LỚN MẠNG MÁY TÍNH ĐỀ TÀI: TÌM HIỂU VỀ DNS Giáo viên hướng dẫn: Nhóm sinh viên: Trần Thị Thu Thủy 08 MỤC LỤC • Giới thiệu • Chức • Một số khái niệm • • DNS namespace DNS Server • • • • • Secondary Server : Caching-only Server : Stub Server : DNS Zone • • • • Primary Server Standard Primary Zone Active Directory Integrated Zones DNS Resolvers Resource Records MỤC LỤC • Hoạt động • • • Phân giải tên miền Phân giải địa IP Recursion Query Iteration Query • Cấu trúc gói tin DNS • Kết luận GIỚI THIỆU • DNS (Domain Name System) hệ thống tên miền • Phát minh vào năm 1984 cho Internet • Cung cấp ánh xạ giữa tên máy chủ với địa IP mà thiết bị mạng sử dụng CHỨC NĂNG • Dịch địa "IP" thành "tên" ngược lại • Ứng dụng: Khi liên hệ tới máy, ta cần sử dụng chuỗi ký tự dễ nhớ (domain name) thay sử dụng địa IP dãy số dài khó nhớ MỘT SỐ KHÁI NIỆM CƠ BẢN DNS namespace .Hệ thống tên DNS xếp theo mô hình phân cấp cấu trúc logic gọi DNS namespace MỘT SỐ KHÁI NIỆM CƠ BẢN Hệ thống tên miền phân thành nhiêu cấp : Gốc (Domain root): • Là đỉnh nhánh tên miền • Nó biểu diễn đơn giản dấu chấm “.” Tên miền cấp (Top-level-domain) : • Gồm vài kí tự xác định nước, khu vực tổ chức • Nó đươc thể “.com” , “.edu”… Tên miền cấp hai (Second-level-domain): • Rất đa dạng Có thể tên công ty, tổ chức hay cá nhân Tên miền cấp nhỏ (Subdomain): • Chia thêm tên miền cấp hai trở xuống • Thường sử dụng chi nhánh, phòng ban quan hay chủ đề MỘT SỐ KHÁI NIỆM CƠ BẢN Phân loại tên miền : Com: Tên miền dùng cho tổ chức thương mại Edu: Tên miền dùng cho quan giáo dục, trường học Net: Tên miền dùng cho tổ chức mạng lớn Gov: Tên miền dùng cho tổ chức phủ Org: Tên miền dùng cho tổ chức khác Int: Tên miền dùng cho tổ chức quốc tế Info: Tên miền dùng cho việc phục vụ thông tin Arpa: Tên miền ngược Mil: Tên miền dành cho tổ chức quân sự, quốc phòng Mã nước giới tham gia vào mạng internet, quốc gia qui định hai chữ theo tiêu chuẩn ISO-3166 Ví dụ : Việt Nam vn, Singapo sg… MỘT SỐ KHÁI NIỆM CƠ BẢN DNS Server Là máy tính chạy chương trình DNS Server Là sở dữ liệu chứa thông tin vị trí DNS domain phân giải truy vấn xuất phát từ Client Cung cấp thông tin Client yêu cầu Có thể chuyển yêu cầu đến DNS Server khác để nhờ phân giải hộ trường hợp trả lời truy vấn những tên miền không thuộc quyền quản lý Trả lời máy chủ khác tên miền mà quản lý Máy chủ cấp cao Root Server tổ chức ICANN quản lý: Là Server quản lý toàn cấu trúc hệ thống tên miền Root Server không chứa dữ liệu thông tin cấu trúc hệ thống DNS mà chuyển quyền (delegate) quản lý xuống cho Server cấp thấp Root Server có khả định đường đến domain đâu mạng Lưu thông tin Zone MỘT SỐ KHÁI NIỆM CƠ BẢN Primary Server Được tạo ta add Primary Zone thông qua New Zone Wizard Các tên miền Primary Server quản lý tạo, sửa đổi lưu trữ Primary Server cập nhật đến Secondary Server Secondary Server : Secondary Server sử dụng để lưu trữ dự phòng cho Primary Server Secondary DNS Server khuyến nghị dùng không thiết phải có Quản lý những dữ liệu tên miền (domain) Không tạo ghi tên miền (domain) mà lấy từ Primary Server Khi lượng truy vấn Zone tăng cao Primary Server chuyển bớt tải sang cho Secondary Server Khi Primary Server gặp cố không hoạt động Secondary Server hoạt động thay Primary Server hoạt động trở lại Secondary Server có hai giải pháp lấy thông tin Zone lấy toàn (full) lấy phần thay đổi (incremental) MỘT SỐ KHÁI NIỆM CƠ BẢN Caching-only Server : Lưu trữ dữ liệu nhớ cache máy để trả lời truy vấn cách nhanh chóng sử dụng cho việc truy vấn, lưu giữ câu trả lời dựa thông tin có cache máy cho kết truy vấn Chúng không quản lý domain thông tin mà giới hạn những lưu cache Server Stub Server : Là DNS Server chứa copy Zone, chứa danh sách DNS Server xác thực từ master Zone Sử dụng stub tăng tốc độ phân giải tên Dễ quản lý MỘT SỐ KHÁI NIỆM CƠ BẢN DNS Zone Là tập hợp ánh xạ từ host đến địa IP từ IP đến host phần liên tục nhánh domain Hệ thống tên miền (DNS) chia hệ thống tên miền thành Zone, Zone quản lý tên miền phân chia Các Zone chứa thông tin vê miền cấp thấp hơn, có khả chia thành Zone cấp thấp phân quyền cho DNS Server khác quản lý Thông tin DNS Zones những record gồm tên Host địa IP lưu DNS Server, DNS Server quản lý trả lời những yêu cầu từ Client liên quan đến DNS Zones Có loại DNS Zone : Standard Primary Zone Active Directory Integrated Zones MỘT SỐ KHÁI NIỆM CƠ BẢN Standard Primary Zone: Được sử dụng single domain, Active Dicrectory Tất những thay đổi Zone không ảnh hưởng đến Zone khác Tuy nhiên ta tạp thêm Zone (Secondary Zone), Zone bị ảnh hưởng từ Primary Zone Secondary Zone lấy thông tin từ Primary Zone Quá trình chuyển thông Primary Zone đến Secondary Zone gọi Zone Transfer Sau khoảng thời gian định, Secondary Zone cập nhật records từ Primary Zone, trình gọi synchronized ( đồng hóa) Active Directory Integrated Zones: Được tạo máy tính chạy DNS Server nâng cấp thành Domain Controller Thông tin DNS Zones chứa tất Domain Controller DNS Zones lưu đối tượng sở dữ liệu Active Directory Active Directory dịch vụ thư mục dùng để: • Tự động hóa việc quản lý mạng dữ liệu người dung • Bảo mật nguồn tài nguyên phân phối • Cho phép tương tác với thư mục khác MỘT SỐ KHÁI NIỆM CƠ BẢN DNS Resolvers Là dịch vụ sử dụng để truy vấn thông tin từ DNS Server Client DNS Resolver đảm nhận vai trò sau : Truy vấn Name Server Phân giải kết Trả kết cho chương trình yêu cầu MỘT SỐ KHÁI NIỆM CƠ BẢN Resource Records Là hệ thống sở dữ liệu DNS, sử dụng để trả lời cho truy vấn từ DNS Client Record Type Mục đích A Host – Phân giải tên máy thành địa IP (IPv4) MX Mail exchange – Chỉ đến mail Server domain CNAME (Alias) Canonical name – Cho phép host có nhiều tên NS Name Server – Chứa địa IP DNS Server với thông tin domain SOA Start of Authority – Bao gồm thông tin domain DNS Server SRV Service – Được sử dụng Active Directory để lưu thông tin vị trí Domain Controllers AAAA Host – Phân giải tên máy thành địa IP (IPv6) PTR Pointer – Phân giải địa IP thành tên máy HOẠT ĐỘNG Qui trình phân giải tên miền .Giả sử người sử dụng muốn truy cập vào trang web google.com Trước hết chương trình máy người sử dụng gửi yêu cầu tìm kiếm địa IP ứng với tên miền google.com tới máy chủ quản lý tên miền cục thuộc mạng (ISP DNS Server) Máy chủ tên miền cục kiểm tra sở dữ liệu có chứa sở dữ liệu chuyển đổi từ tên miền sang địa IP tên miền mà người sử dụng yêu cầu không Trong trường hợp máy chủ tên miền cục có sở dữ liệu này, gửi trả lại địa IP máy có tên miền nói (google.com) Trong trường hợp máy chủ tên miền cục sở dữ liệu tên miền thường hỏi lên máy chủ tên miền cấp cao (máy chủ tên miền làm việc mức Root) Máy chủ tên miền mức Root trả cho máy chủ tên miền cục địa máy chủ tên miền quản lý tên miền có đuôi com Máy chủ tên miền cục gửi yêu cầu đến máy chủ quản lý tên miền có đuôi (.com) tìm tên miền google.com Máy chủ tên miền quản lý tên miền com gửi lại địa máy chủ quản lý tên miền google.com HOẠT ĐỘNG Máy chủ tên miền cục hỏi máy chủ quản lý tên miền google.com địa IP tên miền google.com Do máy chủ quản lý tên miền google.com có sở dữ liệu tên miền google.com nên địa IP tên miền gửi trả lại cho máy chủ tên miền cục Máy chủ tên miền cục chuyển thông tin tìm đến máy người sử dụng PC người dùng sử dụng địa IP để mở phiên kết nối TCP/IP đến Server chứa trang web có địa google.com 2 Phân giải địa IP Trong không gian tên miền người ta bổ xung thêm nhánh tên miền lập mục theo địa IP Phần không gian có tên miền in-addr.arpa Mỗi node miền in-addr.arpa có tên nhãn số thập phân địa IP Ví dụ miền in-addr.arpa có 256 subdomain tương ứng với 256 giá trị từ > 255 byte địa IP Trong subdomain lại có 256 subdomain nữa ứng với byte thứ Cứ đến byte thứ có ghi cho biết tên miền đầy đủ máy tính mạng có địa IP tương ứng HOẠT ĐỘNG Recursion Query Iteration Query Có hai cách phân giải tên host name: Phân giải đệ quy: Khi DNS Server không phân giải host name, chuyển đến DNS Server khác (forwarded) mạng Quá trình gọi kiểu yêu cầu Recursive (phân giải đệ quy) Phân giải lặp Nếu Recursion bị disable sử dụng Iterative (phân giải lặp), tức gởi yêu cầu phân giải lại tên host name Khi có truy vấn từ Client, trước hết tìm sở dữ liệu nó, không có, cho biết máy chủ khác mà từ tìm thấy kết truy vấn Recursion truy vấn mạng cục bộ, Iterative truy vấn internet CẤU TRÚC GÓI TIN DNS • Trong thành phần cấu trúc gói tin DNS trên, đề cập đến vấn đề bảo mật, quan tâm đến vùng đánh dấu màu xám • • • • Transaction ID : Một số ngẫu nhiên (random) dùng để so khớp với truy vấn phản hồi trở lại Answer Resource Record structures : Đây phần nội dung DNS Server trả lời, lấy resource record (RR) máy DNS Server Authority Resource Record structures : Phần chứa loại, SOA NS record chứa thông tin chứng nhận chủ nhân RR(s) phần trả lời Additional Resource Record structures : phần thông tin resource record thêm vào để gửi cho máy nhận (receiver) KẾT LUẬN DNS có nhiều lợi ích kèm theo nhiều điểm yếu bảo mật Lợi ích: Dể dàng sử dụng đơn giản: cho phép người dùng truy cập máy tính tài nguyên mạng với những tên dể nhớ Khả mở rộng: cho phép khối lượng công việc phân giải tên phân phối nhiều server sở sử liệu Tình thống nhất: cho phép địa IP thay đổi giữ nguyên tên máy, làm cho việc xác định vị trì tàu nguyên mạng dể dàng Điểm yếu bảo mật: Các DNS Server thường bị công theo phương thức sau : • Thay đổi zone file • Zone file giả mạo việc đồng (synchronize) giữa DNS server với • Giả mạo thông tin IP gửi đến cho client DNS Server bị công gây nguy hiểm cho client nhận những thông tin phân giải bị “nhiễm bẩn” TÀI LIỆU THAM KHẢO Computer Networks 5th Edition - Andrew S Tanenbaum Wikipedia Google [...]... tin vê miền cấp thấp hơn, có khả năng chia thành các Zone cấp thấp hơn và phân quyền cho các DNS Server khác quản lý Thông tin của DNS Zones là những record gồm tên Host và địa chỉ IP được lưu trong DNS Server, DNS Server quản lý và trả lời những yêu cầu từ Client liên quan đến DNS Zones này Có 2 loại DNS Zone : Standard Primary Zone và Active Directory Integrated Zones MỘT SỐ KHÁI NIỆM CƠ BẢN... khác MỘT SỐ KHÁI NIỆM CƠ BẢN 4 DNS Resolvers Là dịch vụ sử dụng để truy vấn thông tin từ DNS Server của Client DNS Resolver đảm nhận 3 vai trò sau : Truy vấn 1 Name Server Phân giải kết quả Trả kết quả về cho chương trình đã yêu cầu MỘT SỐ KHÁI NIỆM CƠ BẢN 5 Resource Records Là hệ thống cơ sở dữ liệu của DNS, được sử dụng để trả lời cho các truy vấn từ DNS Client Record Type Mục đích... domain CNAME (Alias) Canonical name – Cho phép một host có thể có nhiều tên NS Name Server – Chứa địa chỉ IP của DNS Server cùng với các thông tin về domain đó SOA Start of Authority – Bao gồm các thông tin về domain trên DNS Server SRV Service – Được sử dụng bởi Active Directory để lưu thông tin về vị trí của Domain Controllers AAAA Host – Phân giải tên máy thành địa chỉ IP (IPv6) PTR Pointer – Phân giải... của Server Stub Server : Là DNS Server chỉ chứa các bản copy của Zone, nó chỉ chứa danh sách các DNS Server được xác thực từ master Zone Sử dụng stub có thể tăng tốc độ phân giải tên Dễ quản lý MỘT SỐ KHÁI NIỆM CƠ BẢN 3 DNS Zone Là tập hợp các ánh xạ từ host đến địa chỉ IP và từ IP đến host của một phần liên tục trong một nhánh của domain Hệ thống tên miền (DNS) chia hệ thống tên miền thành... records từ Primary Zone, quá trình này được gọi là synchronized ( đồng bộ hóa) Active Directory Integrated Zones: Được tạo khi máy tính chạy DNS Server được nâng cấp thành Domain Controller Thông tin về DNS Zones đều chứa trên tất cả Domain Controller DNS Zones được lưu như một đối tượng trong cơ sở dữ liệu của Active Directory Active Directory là một dịch vụ thư mục dùng để: • Tự động hóa... miền cục bộ không có cơ sở dữ liệu về tên miền này nó thường hỏi lên các máy chủ tên miền ở cấp cao nhất (máy chủ tên miền làm việc ở mức Root) Máy chủ tên miền ở mức Root này sẽ trả về cho máy chủ tên miền cục bộ địa chỉ của máy chủ tên miền quản lý các tên miền có đuôi com Máy chủ tên miền cục bộ gửi yêu cầu đến máy chủ quản lý tên miền có đuôi (.com) tìm tên miền google.com Máy chủ tên miền... giải đệ quy: Khi DNS Server không phân giải được host name, nó sẽ chuyển đến một DNS Server khác (forwarded) trong mạng Quá trình này được gọi là kiểu yêu cầu Recursive (phân giải đệ quy) Phân giải lặp Nếu Recursion bị disable thì nó sẽ sử dụng Iterative (phân giải lặp), tức là nó sẽ gởi yêu cầu phân giải lại tên của host name Khi có một truy vấn từ Client, trước hết nó sẽ tìm trong cơ sở... hết nó sẽ tìm trong cơ sở dữ liệu của chính nó, nếu không có, nó sẽ cho biết một máy chủ khác mà từ đó có thể tìm thấy kết quả truy vấn Recursion chỉ truy vấn trong mạng cục bộ, còn Iterative có thể truy vấn ra ngoài internet CẤU TRÚC GÓI TIN DNS • Trong các thành phần của cấu trúc gói tin DNS ở trên, khi đề cập đến vấn đề bảo mật, chúng ta chỉ quan tâm đến 4 vùng được đánh dấu màu xám • • • • Transaction... dung do DNS Server trả lời, được lấy trong resource record (RR) trên chính máy DNS Server đó Authority Resource Record structures : Phần này chứa một trong 2 loại, hoặc là SOA hoặc là NS record chứa thông tin chứng nhận chủ nhân của RR(s) trong phần trả lời trên Additional Resource Record structures : phần này là thông tin resource record được thêm vào để gửi cho máy nhận (receiver) KẾT LUẬN DNS có... nguyên tên máy, làm cho việc xác định vị trì tàu nguyên mạng dể dàng Điểm yếu bảo mật: Các DNS Server thường bị tấn công theo các phương thức sau đây : • Thay đổi zone file • Zone file được giả mạo trong việc đồng bộ (synchronize) giữa các DNS server với nhau • Giả mạo thông tin IP gửi đến cho client DNS Server bị tấn công sẽ gây nguy hiểm cho client khi nhận được những thông tin phân giải đã