Система доменных имен. DNS серверы. Иерархическая структура DNS. Отображение доменных имен в сетевые адреса и обратно

- Если запись PTR найдена она должна содержать FQDN хоста.

 

Одно последствие этого - то, что могут быть получены несовпадающие данные. Разрешение имени в запись A и последующее разрешение имени по адресу из записи, а в PTR запись, может дать другой результат PTR записи, которая содержит оригинальное имя. Это не ограничение DNS, «обратное» отображение должно совпадать с «прямым» отображением. Это свойство используется в некоторых ситуациях, особенно когда требуется присвоить более одного имени записи A относящейся к одному IP адресу.

В то время как нет  такого ограничения в пределах DNS, некоторые прикладные программы сервера или сетевые библиотеки все равно отклонят подключения от хостов, которые не проходят следующий тест:

- состояние информации вложенной во входящем соединении, включая IP источника запроса.

- проверка PTR правильно возвращает FQDN хоста создающего соединение.

- проверка A возвращенного имени проходит удачно и соединение разрывается, если IP адрес источника не перечислен в полученных записях A.

Это хорошая мера предосторожности, помогающая определить и обезвредить  злонамеренные источники маскирующиеся под порядочные сайты и настроены на их собственные записи PTR, возвращающие имена хостов, принадлежащие другим организациям.

3 DNS серверы

DNS-сервер — приложение, предназначенное для ответов на DNS-запросы по соответствующему протоколу. Также DNS-сервером могут называть хост, на котором запущено приложение.

Основной задачей DNS-сервера является обеспечение трансляции доменных имен в IP адреса и обратно.

3.1 Типы DNS-серверов

По выполняемым функциям DNS-серверы делятся на несколько групп, в зависимости от конфигурации конкретный сервер может относиться к нескольким типам;

- авторитативный DNS-сервер — сервер, отвечающий за какую-либо зону.

    ~ Мастер или первичный сервер (в терминологии BIND) — сервер, имеющий право на внесение изменений в данные зоны. Обычно для зоны бывает только один мастер сервер. В случае Microsoft DNS-сервера и его интеграции с Active Directory мастер-серверов может быть несколько (так как репликация изменений осуществляется не средствами DNS-сервера, а средствами Active Directory, за счёт чего обеспечивается равноправность серверов и актуальность данных).

    ~ Слейв или вторичный сервер, не имеющий права на внесение изменений в данные зоны и получающий сообщения об изменениях от мастер-сервера. В отличие от мастер-сервера их может быть (практически) неограниченное количество. Слейв так же является авторитативным сервером (и пользователь не может различить мастер и слейв, разница появляется только на этапе конфигурирования/внесения изменений в настройки зоны).

- Кеширующий DNS-сервер — сервер, который обслуживает запросы клиентов, (получает рекурсивный запрос, выполняет его с помощью нерекурсивных запросов к авторитативным серверам или передаёт рекурсивный запрос вышестоящему DNS-серверу)

- Локальный DNS-сервер; используется для обслуживания DNS-клиентов, исполняющихся на локальной машине. Фактически, это разновидность кеширующего DNS-сервера, сконфигурированная для обслуживания локальных приложений.

- Перенаправляющий DNS-сервер; (англ. forwarder, внутренний DNS-сервер) сервер, перенаправляющий полученные рекурсивные запросы вышестоящему кеширующему серверу в виде рекурсивных запросов. Используется преимущественно для снижения нагрузки на кеширующий DNS-сервер.

- Корневой DNS-сервер — сервер, являющийся авторитативным за корневую зону. Общеупотребительных корневых серверов в мире всего 13 штук, их доменные имена находятся в зоне root-servers.net и называются a.root-servers.net, b.root-servers.net, … , m.root-servers.net. В определённых конфигурациях локальной сети возможна ситуация настройки локальных корневых серверов.

- Регистрирующий DNS-сервер. Сервер, принимающий динамические обновления от пользователей. Часто совмещается с DHCP-сервером. В Microsoft DNS-сервере при работе на контроллере домена сервер работает в режиме регистрирующего DNS-сервера, принимая от компьютеров домена информацию о соответствии имени и IP компьютера и обновляя в соответствии с ней данные зоны домена.

- DNSBL-сервер (сервер с чёрными списками адресов и имён). Формально, такой сервер не входит в иерархию DNS, однако использует тот же механизм и протокол для работы, что и DNS-сервера.

Виды DNS-запросов:

- Прямой (forward) запрос — запрос на преобразование  имени  (символьного адреса) хоста в числовой IP-адрес.

- Обратный (reverse) запрос — запрос на преобразование IP-адреса  в  имя  хоста.

View.

Некоторые сервера поддерживают возможность работать в разных режимах  для разных сегментов сети. В Bind этот режим называется «view». Например, сервер может для локальных адресов (например, 10.0.0.0/8) отдавать локальные адреса серверов, для пользователей внешней сети — внешние адреса. Так же сервер может быть авторитативным для заданной зоны только для указанного диапазона адресов (например, в сети 10.0.0.0/8 сервер объявляет себя авторитативным за зону internal, при этом для внешних адресов в ответ на запрос имени из зоны internal будет отдаваться ответ «не известен»).

Используемые порты.

Все DNS-сервера по стандарту RFC 1035 отвечают на 53 порту TCP и UDP. При отправке запросов ранние версии BIND использовали 53 порт, более новые ведут себя как DNS-клиенты, используя свободные незарегистрированные адреса.

3.2 Рекурсия

Термином Рекурсия в DNS обозначают алгоритм поведения DNS-сервера, при котором сервер выполняет от имени клиента полный поиск нужной информации во всей системе DNS, при необходимости обращаясь к другим DNS-серверам.

DNS-запрос может быть рекурсивным - требующим полного поиска, - и нерекурсивным - не требующим полного поиска.

Аналогично, DNS-сервер может быть рекурсивным (умеющим выполнять полный поиск) и нерекурсивным (не умеющим выполнять полный поиск). Некторые программы DNS-серверов, например, BIND, можно сконфигурировать так, чтобы запросы одних клиентов выполнялись рекурсивно, а запросы других - нерекурсивно.

При ответе на нерекурсивный запрос, а также - при неумении или запрете выполнять рекурсивные запросы, - DNS-сервер либо возвращает данные о зоне, за которую он ответствен, либо возвращает адреса серверов, которые обладает большим объёмом информации о запрошенной зоне, чем отвечающий сервер, чаще всего - адреса корневых серверов.

В случае рекурсивного запроса DNS-сервер опрашивает серверы (в порядке убывания уровня зон в имени), пока не найдёт ответ или не обнаружит, что домен не существует. (На практике поиск начинается с наиболее близких к искомому DNS-серверов, если информация о них есть в кеше и не устарела, сервер может не запрашивать другие DNS-серверы.)

Рассмотрим  на примере работу всей системы.

Предположим, мы набрали  в браузере адрес ru.wikipedia.org. Браузер спрашивает у сервера DNS: «какой IP-адрес у ru.wikipedia.org»? Однако, сервер DNS может ничего не знать не только о запрошенном имени, но даже обо всём домене wikipedia.org. В этом случае сервер обращается к корневому серверу — например, 198.41.0.4. Этот сервер сообщает — «У меня нет информации о данном адресе, но я знаю, что 204.74.112.1 является авторитативным для зоны org.» Тогда сервер DNS направляет свой запрос к 204.74.112.1, но тот отвечает «У меня нет информации о данном сервере, но я знаю, что 207.142.131.234 является авторитативным для зоны wikipedia.org.» Наконец, тот же запрос отправляется к третьему DNS-серверу и получает ответ — IP-адрес, который и передаётся клиенту — браузеру.

В данном случае при разрешении имени, то есть в процессе поиска IP по имени:

- браузер отправил известному ему DNS-серверу рекурсивный  запрос - в ответ на такой тип запроса сервер обязан вернуть «готовый результат», то есть IP-адрес, либо сообщить об ошибке;

- DNS-сервер, получивщий  запрос от браузера, последовательно отправлял  нерекурсивные запросы, на которые получал от других DNS-серверов ответы, пока не получил авторитетный ответ от сервера, ответственного за запрошенную зону;

- остальные упоминавщиеся  DNS-серверы обрабатывали запросы  нерекурсивно (и, скорее всего, не стали бы обрабатывать запросы рекурсивно, даже если бы такое требование стояло в запросе).

Иногда допускается, чтобы, запрошенный сервер передавал  рекурсивный  запрос «вышестоящему» DNS-серверу и дождидался готового ответа.

При рекурсивной обработке запросов все ответы проходят через DNS-сервер, и он получает возможность кэшировать их. Повторный запрос на те же имена обычно не идет дальше кэша сервера, обращения к другим серверам не происходит вообще. Допустимое время хранения ответов в  кэше приходит вместе с ответами (поле TTL ресурсной записи).

Рекурсивные запросы  требуют больше ресурсов от сервера (и создают больше трафика), так  что обычно принимаются от «известных»  владельцу сервера узлов (например, провайдер предоставляет возможность делать рекурсивные запросы только своим клиентам, в корпоративной сети рекурсивные запросы принимаются только из локального сегмента). Нерекурсивные запросы обычно принимаются ото всех узлов сети (и содержательный ответ даётся только на запросы о зоне, которая размещена на узле, на DNS-запрос о других зонах обычно возвращаются адреса других серверов).

3.3 Обратный DNS-запрос

DNS используется в первую  очередь для преобразования символьных  имён в IP-адреса, но он также  может выполнять обратный процесс. Для этого используются уже имеющиеся средства DNS. Дело в том, что с записью DNS могут быть сопоставлены различные данные, в том числе и какое-либо символьное имя. Существует специальный домен in-addr.arpa, записи в котором используются для преобразования IP-адресов в символьные имена. Например, для получения DNS-имени для адреса 11.22.33.44 можно запросить у DNS-сервера запись 44.33.22.11.in-addr.arpa, и тот вернёт соответствующее символьное имя. Обратный порядок записи частей IP-адреса объясняется тем, что в IP-адресах старшие биты расположены в начале, а в символьных DNS-именах старшие (находящиеся ближе к корню) части расположены в конце.

 

 

 

 

 

 

Заключение

Система имен доменов  Интернет (DNS) представляет собой превосходный образец широкомасштабной распределенной базы данных. Децентрализованная иерархическая система DNS позволяет с легкостью управлять назначением имен миллионов сетевых компьютеров в Интернет.

Система доменных имён, разработанная в 80-х годах прошлого века, продолжает успешно обеспечивать  удобство  работы  с  адресным пространством Интернета по сей день. Технологии DNS развиваются. Одним из важных и самых ожидаемых интернет - общественностью нововведений в DNS является повсеместное внедрение доменных имен, записываемых с помощью символов национальных алфавитов (например, кириллический домен первого уровня .РФ).

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Список литературы

1. Альбитц П., Ли К.. DNS и BIND. - Пер. с англ. - СПб: Символ-Плюс, 2002. - 696 с.

 

3. В.Водолазкий. GAWK: Справочное руководство. 120 стр.,

4. Хелд Гилберт. Передача данных. Питер, 2004.

5. Эндрю Танненбаум. Компьютерные сети. Питер, 2009.

6. Халсалл Ф. Передача данных, сети компьютеров и взаимосвязь открытых систем. М. Радио и связь, 1995. 
7. Семенов Ю.А. Протоколы и ресурсы Internet. М. Радио и связь, 1996.

11. “Атака и защита DNS”, К. Пьянзин, журнал "LAN/Журнал сетевых решений", 07/1997, URL: http://www.osp.ru/lan/1997/07/79.htm