HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
BÁO CÁO TIỂU LUẬN
HỆ THỐNG TÊN MIỀN DNS
HỆ THỐNG TÊN MIỀN DNS
Giảng viên: TS. Nguyễn Chiến Trinh
Sinh viên: Phạm Thùy Linh, Nguyễn Thị Mai
Hương, Chu Ngọc Hoàng, Hoàng
Xuân Hổ, Nguyễn Văn Tuấn.
Nhóm báo cáo: IV
BÁO CÁO TIỂU LUẬN
INTERNET VÀ GIAO THỨC
INTERNET VÀ GIAO THỨC
www.ptit.edu.vn
NHÓM BÁO CÁO: IV
Hệ thống tên miền DNS (Domain Name System)
Trang 2
Nội dung
Kết luận
Vấn đề bảo mật trong DNS
Cơ sở dữ liệu DNS
Tổng quan về hệ thống tên miền DNS
PHẦN
PHẦN
1
2
3
4
BÁO CÁO TIỂU LUẬN
INTERNET VÀ GIAO THỨC
INTERNET VÀ GIAO THỨC
www.ptit.edu.vn
NHÓM BÁO CÁO: IV
Hệ thống tên miền DNS (Domain Name System)
Trang 3
Phần 1: Tổng quan về hệ thống DNS
1. Giới thiệu hệ thống tên miền DNS
2. Chức năng của DNS
BÁO CÁO TIỂU LUẬN
INTERNET VÀ GIAO THỨC
INTERNET VÀ GIAO THỨC
www.ptit.edu.vn
NHÓM BÁO CÁO: IV
Hệ thống tên miền DNS (Domain Name System)
Trang 4
1. Giới thiệu hệ thống tên miền DNS
DNS (Domain Name System) được định nghĩa trong các RFC 1034
và 1035, chỉ một hệ thống cho phép thiết lập tương ứng giữa địa chỉ
IP và tên miền.
DNS dùng cổng 53 để truyền tải thông tin.
DNS sử dụng UDP hoặc TCP
BÁO CÁO TIỂU LUẬN
INTERNET VÀ GIAO THỨC
INTERNET VÀ GIAO THỨC
www.ptit.edu.vn
NHÓM BÁO CÁO: IV
Hệ thống tên miền DNS (Domain Name System)
Trang 5
2. Chức năng của DNS
Các DNS trợ giúp qua lại với nhau để dịch địa chỉ "IP" thành "tên" và
ngược lại.
=> Không phải nhớ địa chỉ IP
Chỉ định tên miền cho các nhóm người sử dụng Internet theo một cách
có ý nghĩa, độc lập với mỗi địa điểm của người sử dụng.
=> WWW duy trì tính ổn định khi dòng internet thay đổi
Hệ thống tên miền phân phối trách nhiệm gán tên miền và lập bản đồ
những tên tới địa chỉ IP bằng cách định rõ những máy chủ có thẩm
quyền cho mỗi tên miền.
=> Tăng khả năng chịu đựng lỗi, tránh việc quá tải
BÁO CÁO TIỂU LUẬN
INTERNET VÀ GIAO THỨC
INTERNET VÀ GIAO THỨC
www.ptit.edu.vn
NHÓM BÁO CÁO: IV
Hệ thống tên miền DNS (Domain Name System)
Trang 6
Phần 2: Cơ sở dữ liệu DNS
1. Cách phân bố dữ liệu
2. Cơ chế phân giải tên miền
3. Hệ thống cache
4. Các bản ghi DNS
5. Cấu trúc gói tin DNS
BÁO CÁO TIỂU LUẬN
INTERNET VÀ GIAO THỨC
INTERNET VÀ GIAO THỨC
www.ptit.edu.vn
NHÓM BÁO CÁO: IV
Hệ thống tên miền DNS (Domain Name System)
Trang 7
1. Cách phân bố dữ liệu
Hệ thống tên miền được sắp xếp theo cấu trúc phân cấp.
Mức trên cùng được gọi là root và ký hiệu là “.”
Tên miền ở dưới mức root được gọi là Top - Level Domain.
Tên miền cấp cao dùng chung- gTLDs như .com, .net, .org …
Tên miền cấp cao quốc gia – ccTLD như .vn, .jp, .kr, …
Ngoài ra: iTLD ( .int, .arp …) và usTLD ( .gov, .edu …)
BÁO CÁO TIỂU LUẬN
INTERNET VÀ GIAO THỨC
INTERNET VÀ GIAO THỨC
www.ptit.edu.vn
NHÓM BÁO CÁO: IV
Hệ thống tên miền DNS (Domain Name System)
Trang 8
Vị trí của 13 root name server trên bảng đồ thế giới
Máy chủ tên gốc (root name server):
•
Kết nối server tên có thẩm quyền nếu không biết ánh xạ tên
•
Lấy kết quả ánh xạ
•
Trả về kết quả ánh xạ cho server tên khu vực
BÁO CÁO TIỂU LUẬN
INTERNET VÀ GIAO THỨC
INTERNET VÀ GIAO THỨC
www.ptit.edu.vn
NHÓM BÁO CÁO: IV
Hệ thống tên miền DNS (Domain Name System)
Trang 9
2. Cơ chế phân giải tên miền
DNS service có 2 chức năng chính là phân giải tên > IP và IP > tên.
Trạm (host) ở
cis.poly.edu muốn tìm địa chỉ IP
của gaia.cs.umass.edu
Truy vấn lặp lại :
Server được kết nối (liên hệ)
trả lại tên miền của server
cần để kết nối
“Tôi không biết tên miền này,
nhưng hãy hỏi server này”
Có 2 dạng truy vấn (query)
BÁO CÁO TIỂU LUẬN
INTERNET VÀ GIAO THỨC
INTERNET VÀ GIAO THỨC
www.ptit.edu.vn
NHÓM BÁO CÁO: IV
Hệ thống tên miền DNS (Domain Name System)
Trang 10
2. Cơ chế phân giải tên miền
DNS service có 2 chức năng chính là phân giải tên > IP và IP > tên.
Trạm (host) ở
cis.poly.edu muốn tìm địa chỉ IP
của gaia.cs.umass.edu
Truy vấn đệ quy trong DNS :
Đưa trọng trách xử lý tên
miền cho server được kết
nối.
Có 2 dạng truy vấn (query)
BÁO CÁO TIỂU LUẬN
INTERNET VÀ GIAO THỨC
INTERNET VÀ GIAO THỨC
www.ptit.edu.vn
NHÓM BÁO CÁO: IV
Hệ thống tên miền DNS (Domain Name System)
Trang 11
3. Hệ thống cache
Mỗi lần server tên miền học được
ánh xạ, nó sẽ lưu đệm ánh xạ đó
Các mục lưu đệm quá thời hạn
bị loại bỏ (biến mất) sau một
thời gian (TTL)
Server tên miền mức cao (TLD)
thường lưu đệm trong các
server tên miền khu vực (cục
bộ)
Mục đích
Làm tăng tốc độ phân giải bằng cách sử dụng cache.
Giảm bớt gánh nặng phân giải tên máy cho các Name Server.
Giảm việc lưu thông trên những mạng lớn.
BÁO CÁO TIỂU LUẬN
INTERNET VÀ GIAO THỨC
INTERNET VÀ GIAO THỨC
www.ptit.edu.vn
NHÓM BÁO CÁO: IV
Hệ thống tên miền DNS (Domain Name System)
Trang 12
4. Các bản ghi DNS
Bản ghi DNS (Resource Record) là mẫu thông tin dùng để mô tả các
thông tin về cơ sở dữ liệu DNS.
BÁO CÁO TIỂU LUẬN
INTERNET VÀ GIAO THỨC
INTERNET VÀ GIAO THỨC
www.ptit.edu.vn
NHÓM BÁO CÁO: IV
Hệ thống tên miền DNS (Domain Name System)
Trang 13
5. Cấu trúc gói tin DNS
Phần mở đầu (The message header): 12 bytes, bao
gồm các cờ và các giá trị điều khiển quá trình trao đổi.
Trong DNS:
Bản tin truy
vấn - query và
trả lời - reply
có cùng khuôn
dạng.
BÁO CÁO TIỂU LUẬN
INTERNET VÀ GIAO THỨC
INTERNET VÀ GIAO THỨC
www.ptit.edu.vn
NHÓM BÁO CÁO: IV
Hệ thống tên miền DNS (Domain Name System)
Trang 14
5. Cấu trúc gói tin DNS
Phần truy vấn (The DNS question): Thông thường, chỉ có 1
truy vấn mỗi bản tin, tuy nhiên số lượng truy vấn được cho
phép 1 cách bất kỳ, xác định bởi trường QDCOUNT.
Trong DNS:
Bản tin truy
vấn - query và
trả lời - reply
có cùng khuôn
dạng.
BÁO CÁO TIỂU LUẬN
INTERNET VÀ GIAO THỨC
INTERNET VÀ GIAO THỨC
www.ptit.edu.vn
NHÓM BÁO CÁO: IV
Hệ thống tên miền DNS (Domain Name System)
Trang 15
5. Cấu trúc gói tin DNS
Phần phản hồi (The DNS Answer):
Chứa 3 thành phần: thành phần trả lời, thành phần máy chủ xác
thực và thông tin thêm.
Bản thân phần trả lời đã chứa thành phần trả lời.
Trong DNS:
Bản tin truy
vấn - query và
trả lời - reply
có cùng khuôn
dạng.
BÁO CÁO TIỂU LUẬN
INTERNET VÀ GIAO THỨC
INTERNET VÀ GIAO THỨC
www.ptit.edu.vn
NHÓM BÁO CÁO: IV
Hệ thống tên miền DNS (Domain Name System)
Trang 16
5. Cấu trúc gói tin DNS
Phần quyền truy nhập (Authority section): Authority record có cấu cấu
trúc giống hệt với phần phản hồi (Answer). Ngoài ra chúng bao gồm
bản ghi của các server bắt buộc khác.
Trong DNS:
Bản tin truy
vấn - query và
trả lời - reply
có cùng khuôn
dạng.
BÁO CÁO TIỂU LUẬN
INTERNET VÀ GIAO THỨC
INTERNET VÀ GIAO THỨC
www.ptit.edu.vn
NHÓM BÁO CÁO: IV
Hệ thống tên miền DNS (Domain Name System)
Trang 17
5. Cấu trúc gói tin DNS
Phần bản ghi bổ sung (Additional Information): Tương tự với phần
trên, phần bản ghi bổ sung có cấu trúc giống với phần phản hồi.
Ngoài ra nó chứa các bản ghi hữu ích khác.
Trong DNS:
Bản tin truy
vấn - query và
trả lời - reply
có cùng khuôn
dạng.
BÁO CÁO TIỂU LUẬN
INTERNET VÀ GIAO THỨC
INTERNET VÀ GIAO THỨC
www.ptit.edu.vn
NHÓM BÁO CÁO: IV
Hệ thống tên miền DNS (Domain Name System)
Trang 18
Phần 3: Vấn đề bảo mật trong DNS
1. Các điểm yếu của DNS
2. Bảo mật DNS Server
BÁO CÁO TIỂU LUẬN
INTERNET VÀ GIAO THỨC
INTERNET VÀ GIAO THỨC
www.ptit.edu.vn
NHÓM BÁO CÁO: IV
Hệ thống tên miền DNS (Domain Name System)
Trang 19
Tấn công đầu độc cache (cache poisoning attack)
Cách 1: Thiết lập một DNS Server giả mạo với các record độc
hại
Cách 2: Gửi một spoofed reply đến client nạn nhân thông qua
sự giúp đỡ của 1 sniffer
Cách 3: Gửi một lượng lớn snoofing reply đến client nạn nhân
Cách 4: Attacker gửi một lượng lớn snoofed reply đến DNS
Server
Tấn công tràn bộ đệm (buffer overflow attack)
Tấn công trong quá trình zone transfer (Zone transfer attack)
Tấn công từ chối dịch vụ (Denial of Service Attack)
Tấn công phương thức cập nhật động (Dynamic update attack)
1. Các điểm yếu của DNS
BÁO CÁO TIỂU LUẬN
INTERNET VÀ GIAO THỨC
INTERNET VÀ GIAO THỨC
www.ptit.edu.vn
NHÓM BÁO CÁO: IV
Hệ thống tên miền DNS (Domain Name System)
Trang 20
2. Bảo mật DNS Server
Dùng chuẩn DNSSEC để cung cấp chế độ bảo vệ, chống tấn công vào
cache.
Đặt mật khẩu mạnh cho các DNS server
Tắt tính năng đệ quy trên các server được ủy quyền (Delegated Name
Servers). Theo mặc định thì name server hỗ trợ tính năng recursive,
chúng ta tắt tính năng này đi vì bản thân các name server liên lạc với
nhau theo kiểu nonrecursive.
Ngăn không cho thực hiện chuyển vùng trái phép bằng cách sử dụng
Access control list, chỉ những máy tính nào có địa chỉ IP nằm trong danh
sách này được thực hiện quá trình chuyển vùng với DNS Server chính.
BÁO CÁO TIỂU LUẬN
INTERNET VÀ GIAO THỨC
INTERNET VÀ GIAO THỨC
www.ptit.edu.vn
NHÓM BÁO CÁO: IV
Hệ thống tên miền DNS (Domain Name System)
Trang 21
Phần 4: Kết luận
Tài liệu tham khảo:
1. Computer Networking A Top Down Approach - James F. Kurose.
2. Routing bit - Ruhann Du Plessis
3. Slide Internet và Giao thức
4. Các bài viết và tư liệu trên mạng…