DNS

Pavel Schneider, schneider@mail.muni.cz

Obsah

• Historie DNS
• DNS
• Údaje v DNS
• Typy záznamů
• Resolver
• Konfigurace
• DNS servery v Linuxu
• BIND
• djbdns
• Další
• Zdroje informací

Historie DNS

Již v dobách ARPAnetu byla potřeba si pamatovat adresy jednotlivých počítačů. A jelikož si člověk pamatuje spíše jména či názvy než skupiny čísel vznikla myšlenka převodu číselných adres na jmenné adresy. V této době ARPAnetu byl překlad na UNIXových strojích řešen pomocí souboru /etc/hosts, který byl distribuován na všechny počítače (dodnes se používá pro účely přezdívek často navštěvovaných serverů a pro použití před dotazem na DNS server nebo v případě výpadku DNS serveru). Tato koncepce přestala však vyhovovat především kvůli nárokům na rychlou aktualizaci a na zvyšující se množství adres díky Internetu. A tak v roce 1983 vyvinul Paul Mockapetris DNS protokol, který je popsán v RFC 882, 883 a aktualizován v RFC 1034, 1035.

DNS

DNS (Domain Name System, systém doménových jmen) - je ucelený celek, umožňující uživatelům používat symbolická doménová jména místo číselných adres. Součástí tohoto systému jsou jak pravidla pro tvorbu doménových jmen i domén jako takových, tak i mechanismy a prostředky pro praktický převod symbolických jmen na číselné IP adresy. Systém tzv. name serverů dohromady tvoří distribuovanou databázi obsahující potřebné převodní informace.

Prostor doménových jmen tvoří strom. Každý uzel stromu obsahuje informace o části jména neboli doméně. Kořenem stromu je tzv. kořenová doména, která se zapisuje tečkou. Pod ní se v hierarchické úrovni nacházejí tzv. domény nejvyšší úrovně Top-Level Domain neboli TLD, například státní cz, sk a další jako com, edu, org. Každý koncový počítač má ve své konfiguraci síťových parametrů obsaženu i adresu lokálního DNS serveru, na nějž se má obracet s dotazy. V operačních systémech odvozených od Unixu je obsažena v souboru /etc/resolv.conf. Pokud počítač hledá určitou informaci v DNS (např. IP adresu k danému jménu), obrátí se s dotazem na tento lokální server. Každý DNS server má ve své konfiguraci uvedeny IP adresy kořenových serverů. Obrátí se tedy s dotazem na některý z nich. Kořenové servery mají autoritativní informace o kořenové doméně. Konkrétně znají všechny existující domény nejvyšší úrovně a jejich servery. Dotaz je tedy následně směrován na některý ze serverů domény nejvyšší úrovně, v níž se nachází cílové jméno. Ten je opět schopen poskytnout informace o své doméně a posunout řešení o jedno patro dolů v doménovém stromě. Tímto způsobem řešení postupuje po jednotlivých patrech doménové hierarchie směrem k cíli, až se dostane k serveru autoritativnímu pro hledané jméno, který pošle definitivní odpověď.

DNS servery se chovají dvěma způsoby:

• rekurzivní řešení dotazu - server se chopí vyřízení dotazu, najde odpověď a pošle ji tazateli. Rekurzivní přístup server zatěžuje (musí sledovat postup řešení, ukládat si mezivýsledky apod.), ale projde jím odpověď a tu si může uložit do vyrovnávací paměti. Typicky se tak chovají lokální servery, aby si plnily vyrovnávací paměti a mohly dalším tazatelům poskytovat odpovědi rovnou.
• nerekurzivní řešení dotazu - server dotaz neřeší, pouze poskytne tazateli adresy dalších serverů, jichž se má ptát dál. Takto se chovají servery ve vyšších patrech doménové hierarchie (kořenové a autoritativní servery TLD), které by rekurzivní chování kapacitně nezvládaly.

Protokol DNS používá k přenosu dat UDP nebo TCP protokol. Základní komunikace probíhá přes protokol UDP avšak jen do velikosti 512B, nad tuto velikost je používán protokol TCP stejně jako pro šíření databáze DNS serverů. Pro přenos prostřednictvím obou protokolů je používán port 53.

Údaje v DNS

Informace o doménových jménech a jejich IP adresách, stejně jako všechny ostatní informace DNS záznamu jsou uloženy v paměti DNS serverů ve tvaru zdrojových vět (Resource Records - RR).

• NAME - doménové jméno, pro něž záznam vytváříte. Zpravidla patří do aktuálně definované domény, pak se píše jen samotné jméno bez tečky na konci a bude k němu doplněna aktuální doména. Pokud jméno ukončíte tečkou, nic se k němu nedoplňuje a bere se jako kompletní. Nemusí být uvedeno, pak se přebírá z předchozího záznamu.
• TYPE - typy záznamů - viz. níže
• CLASS - určuje rodinu protokolů, k níž se záznam vztahuje.
• TTL - time to live - 32bitové číslo udávající dobu, po kterou může být tento RR udržován v cache serveru jako platný. Po vypršení doby je věta považována za neplatnou. Hodnota 0 znemožňuje serveru uložit RR do cache.
• RDLENGTH - 16bitové číslo specifikující délku pole RDATA
• RDATA - vlastní data ve tvaru řetězce proměnné délky. Formát závisí na typu a třídě RR

Typy záznamů

Nejčastěji používané typy zdrojových záznamů jsou tyto:

• SOA - (Start Of Authority) - určuje autoritativní jmenný server pro zónu, je vždy právě jeden a to na počátku souboru. Dříve se musely hodnoty zadávat v sekundách dnes lze použít i zápis v minutách (m), hodinách (h), dnech (d) a týdnech (w).



@ IN SOA ns.kdesi.cz. franta.kdesi.cz. ( 200605140 - seriové číslo 1h - refresh 5m - retry 1w - expire 1d - TTL )



• sériové číslo - verze databázového souboru. Při změně souboru musíme toto číslo zvýšit. Doporučený tvar čísla rrrrmmddčč (čč = číslo aktualizace v rámci dne).
• refresh - uvádí jak často mají sekundární NS ověřovat svá
data.
• retry - jesliže sekudární NS nemůže kontaktovat primární po uplynutí intervalu refresh, bude to dále zkoušet každých Retry sekund.
• expire - jestliže se sekundárnímu NS nepodaří kontaktovat primární NS do Expire> sekund, přestane poskytovat informace (data jsou příliš stará).
• TTL - hodnota se vztahuje ke všem záznamům v db souboru (jako výchozí hodnota) a je poskytována NS v každé jeho odpovědi. Říká, jak dlouho mohou ostatní servery (tj. neautoritativní servery) udržovat daný záznam ve své paměti cache (nula znemožňuje ukládání vět do cache).


• NS - (Name Server) - definuje autoritativní jmenný server pro doménu. Pokud je název name serveru zadán bez tečky nakonci, je k němu následně přiřazena doména serveru.



aaa IN NS ns IN NS ns.jinde.cz.



• A - (host Adress) - přiřazuje doménovému jménu IPv4 adresu.



www IN A 1.2.3.4



• AAAA - (host Adress) - přiřazuje doménovému jménu IPv6 adresu



www IN AAAA 2001:718:1c01:1:02e0:7dff:fe96:daa8



• MX - (Mail eXchange) - specifikuje jméno poštovního serveru. K tomuto jménu se ještě dodává číselná priorita serveru. Nejdříve se zkouší odeslat poštu na server s nejvyšší prioritou (nejvyšší prioritu označuje nejmenší číslo). Pokud se odeslání nezdaří, zkouší se další server atd.



www IN MX 10 mail IN MX 20 mail.jinde.cz.



• CNAME - (Canonical NAME) - definující synonyma doménových jmen.



www IN CNAME neco



• PTR - (PoinTeR) - slouží k překladu IP adresy na doménové jméno (reverzní překlad).



1.2.3.4 IN PTR cosi.kdesi.cz.



• TXT - (TeXT) - textová poznámka.

Resolver

Resolver je vlastně DNS klient, který není spuštěn na PC jako démon, ale zprostředkovává dané služby pomocí knihovny resolveru, které jsou implementovány ve standardních knihovnách C.

Konfigurace

Konfiguračním souborem pro resolver je /etc/resolv.conf. Slouží jako seznam name serverů a zpravidla obsahuje dva typy řádků (druhý se může několikrát opakovat):

• domain - jméno místní domény
• nameserver - IP adresa name serveru

    domain       mojedomena.cz
    nameserver    1.2.3.4
    nameserver    1.2.3.5

PC můžeme také konfigurovat bez použití DNS, v tom případě se veškeré dotazy na překlad adres provádějí lokálně pomocí souboru /etc/hosts. Nejčastěji se tento soubor používá pro vytvoření přezdívek. Například následující příklad umožňuje používat přezdívku localhost a umožňuje zadat do browseru jen http://oo místo http://www.openoffice.cz.

    127.0.0.1    localhost
    212.47.25.165   oo

Možno obě metody kombinovat (nejčastější případ), pomocí souboru /etc/host.conf nebo /etc/nsswitch.conf , ve kterých se nastavuje pořadí, v jakém se budou databáze prohlížet. Zpravidla se nejdříve prohlíží /etc/hosts a posléze DNS.

DNS servery v Linuxu

BIND

BIND je bezesporu nejpoužívanějším DNS serverem na platformě Unix. Je konstruován pro obrovské zatížení, a proto se u všech velkých DNS serverů setkáme právě s touto aplikací.

Instalace

BIND (proces named) se standardně spouští pod uživatelem root, což není z hlediska bezpečnosti příliš přívětivé. Proto je velmi vhodné vytvořit nového uživatele, pod kterým by se BIND spouštěl a spouštět tak BIND v tzv. chrootovském režimu. Na stránkách Chroot-BIND-HOWTO naleznete velice podrobný postup jak nastavit chrootovský režim, tady jen ve zkratce:

• vytvoření nového uživatele a skupiny pro proces nameserveru, např named ve skupině named
• vytvoření potřebné adresářové struktury



/chroot/named/etc /chroot/named/etc/named /chroot/named/dev /chroot/named/var /chroot/named/var/run



• vytvoření speciálních souborů /dev/null, /dev/random
• nastavení práv chroot adresáře
• stažení BIND
• instalace BIND do adresářové struktury chroot

Konfigurace

Konfigurace jmenného serveru BIND probíhá pomocí souboru /etc/named.conf, který je po startu přečten a následně zavedeny příslušné DNS databáze do paměti. Příkazy pro nastavení v /etc/named.conf:

• acl - definuje seznam IP adres pro řízení přístupu
• controls - definuje řídící kanály pro použití rndc utilitou



controls { inet 127.0.0.1 allow { localhost; }; };



• include - vkládá soubor



include jmeno_souboru;



• key - specifikuje informace pro použití při autentizaci a autorizaci
• logging - definuje události, které se mají zaznamenávat
• options - globální nastavení serveru



options { directory "/var/named"; query-source port 53; forward první_dotazovany_server; forwarders { ostatni_servery; };



• server - nastavuje různé konfigurační možnosti
• trusted-keys - definuje trusted DNSSEC keys
• zone - definuje zónu

Typy zón:

• master - znamená: tento server vlastní tzv. master kopii dat pro zónu a je pro ní primárním jmenným serverem.
• slave - zóna je kopií master zóny. Parametr masters řekne IP stroje kterého má named kontaktovat pro kopii a updaty zóny.
• forward - přesměrovávání dotazů podle forward a forwarders.
• hint - seznam kořenových jmenných serverů.



zone "xyz.cz" { type master; notify yes; file "xyz.cz.zone"; }; zone "abc.cz" { type slave; masters { 194.149.105.18; }; file "abc.cz.zone"; }; zone "." { type hint; file "root.hints"; };

Konfigurace zónových souborů probíhá pomocí vět RR (Resource Records), které již byly popsány dříve. Příklad zone souboru:

$TTL 1d

@       IN   SOA   ns.kdesi.cz.  franta.kdesi.cz. (
                   200605140 - seriové číslo
                   1h        - refresh
                   5m        - retry
                   1w        - expire
                   1d        - TTL
                   )

        IN  NS  ns
        IN  MX  10 mail.ns

www     IN   CNAME   neco

www     IN   A   1.2.3.4

Kontrola

Pro kontrolu vámi vytvořených konfiguračních souborů named.conf a souborů zón slouží programy named-checkconf a named-checkzone.

Spuštění

Spouštění je doporučeno v chrootovském režimu pomocí příkazu named -u named -t /chroot/named/.

djbdns

Narozdíl od BINDu není djbdns jediným programem, ale souborem několika malých programů, které plní vždy jen jedinou funkci.

• dnscache - dnscache plní právě funkci keše a lze jej používat stejně dobře také samostatně například pro urychlení práce na pomalé vytáčené lince.
• tinydns - tinydns je vlastní DNS server, který použijete pro poskytnutí informací o vašich doménách. Narozdíl od BINDu pracuje pouze s UDP protokolem.
• axfrdns - potřebný, pokud chcete registrovat nové domény, neboť součástí registrace je i kontrola správnosti údajů v DNS, při které si servery CZ NICu stahují zónu právě přes AXFR.

Kromě výše uvedených obsahuje djbdns i další dva servery - rbldns a walldns a několik klientských aplikací, které lze používat například pro převod jmen a adres z příkazové řádky (např. namísto klasického nslookupu). V neposlední řadě je zde ještě knihovna, která umožňuje programovat DNS klienty jednodušším způsobem, než jaký nabízí standardní resolver.

Návod jak nainstalovat djbdns.

Další

• MyDNS
  - DNS server, který používá jako úložiště záznamu MySQL databázi. Oproti Bindu v něm nenajdete žádné knihovny pro převod jmen a adres, není rekurzivní a neobsahuje keš. Na druhou stranu má jiné přednosti: je malý a rychlý, záznamy se spravují velmi snadno (rozhraní k MySQL existují hromady) a hlavně se všechny změny projevují okamžitě. Samozřejmostí MyDNS je také spolupráce i s jinými než MyDNS nameservery.
• MaraDNS
  - plně funkční DNS server podporující autoritatívní, rekurzívní a kešující DNS.
• Dents
  -serverová část protokolu DNS

Zdroje informací

www.owebu.cz
www.fi.muni.cz/~xbatko
cs.wikipedi.org
archiv P090
www.earchiv.cz
www.abclinuxu.cz
linux.tosovsky.info
www.isc.org