Tìm hiểu về dns
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (378.5 KB, 21 trang )
TRƯỜNG ĐẠI HỌC MỎ ĐỊA CHẤT
KHOA CÔNG NGHỆ THÔNG TIN
BÀI TẬP LỚN
MẠNG MÁY TÍNH
ĐỀ TÀI: TÌM HIỂU VỀ DNS
Giáo viên hướng dẫn:
Nhóm sinh viên:
Trần Thị Thu Thủy
08
MỤC LỤC
•
Giới thiệu
•
Chức năng
•
Một số khái niệm cơ bản
•
•
DNS namespace
DNS Server
•
•
•
•
•
Secondary Server :
Caching-only Server :
Stub Server :
DNS Zone
•
•
•
•
Primary Server
Standard Primary Zone
Active Directory Integrated Zones
DNS Resolvers
Resource Records
MỤC LỤC
•
Hoạt động
•
•
•
Phân giải tên miền
Phân giải địa chỉ IP
Recursion Query và Iteration Query
•
Cấu trúc của gói tin DNS
•
Kết luận
GIỚI THIỆU
•
DNS (Domain Name System) là hệ thống tên miền.
•
Phát minh vào năm 1984 cho Internet.
•
Cung cấp ánh xạ giữa tên máy chủ với địa chỉ IP mà thiết bị mạng sử dụng.
CHỨC NĂNG
•
Dịch địa chỉ "IP" thành "tên" và ngược lại.
•
Ứng dụng: Khi liên hệ tới các máy, ta chỉ cần sử dụng chuỗi ký tự dễ nhớ (domain name) thay vì sử dụng địa chỉ IP là một dãy số dài khó nhớ.
MỘT SỐ KHÁI NIỆM CƠ BẢN
1.
DNS namespace
.Hệ thống tên trong DNS được sắp xếp theo mô hình phân cấp và cấu trúc cây logic được gọi là DNS namespace.
MỘT SỐ KHÁI NIỆM CƠ BẢN
Hệ thống tên miền được phân thành nhiêu cấp :
Gốc (Domain root):
• Là đỉnh của nhánh cây của tên miền.
• Nó có thể biểu diễn đơn giản chỉ là dấu chấm “.”
Tên miền cấp một (Top-level-domain) :
• Gồm vài kí tự xác định một nước, khu vực hoặc tổ chức.
• Nó đươc thể hiện là “.com” , “.edu”…
Tên miền cấp hai (Second-level-domain):
• Rất đa dạng. Có thể là tên một công ty, một tổ chức hay một cá nhân.
Tên miền cấp nhỏ hơn (Subdomain):
• Chia thêm ra của tên miền cấp hai trở xuống.
• Thường được sử dụng như chi nhánh, phòng ban của một cơ quan hay chủ đề nào đó.
MỘT SỐ KHÁI NIỆM CƠ BẢN
Phân loại tên miền :
Com: Tên miền này được dùng cho các tổ chức thương mại.
Edu: Tên miền này được dùng cho các cơ quan giáo dục, trường học.
Net: Tên miền này được dùng cho các tổ chức mạng lớn.
Gov: Tên miền này được dùng cho các tổ chức chính phủ.
Org: Tên miền này được dùng cho các tổ chức khác.
Int: Tên miền này dùng cho các tổ chức quốc tế.
Info: Tên miền này dùng cho việc phục vụ thông tin.
Arpa: Tên miền ngược.
Mil: Tên miền dành cho các tổ chức quân sự, quốc phòng.
Mã các nước trên thế giới tham gia vào mạng internet, các quốc gia này được qui định bằng hai chữ cái theo tiêu chuẩn ISO-3166 .Ví dụ : Việt Nam là .vn, Singapo là sg….
MỘT SỐ KHÁI NIỆM CƠ BẢN
2.
DNS Server
Là một máy tính chạy chương trình DNS Server.
Là một cơ sở dữ liệu chứa các thông tin về vị trí của các DNS domain và phân giải các truy vấn xuất phát từ các Client.
Cung cấp các thông tin do Client yêu cầu.
Có thể chuyển yêu cầu đến một DNS Server khác để nhờ phân giải hộ trong trường hợp nó không thể trả lời được các truy vấn về những tên miền không thuộc quyền quản lý.
Trả lời các máy chủ khác về các tên miền mà nó quản lý.
Máy chủ cấp cao nhất là Root Server do tổ chức ICANN quản lý:
Là Server quản lý toàn bộ cấu trúc của hệ thống tên miền
Root Server không chứa dữ liệu thông tin về cấu trúc hệ thống DNS mà nó chỉ chuyển quyền (delegate) quản lý xuống cho các Server cấp thấp hơn .
Root Server có khả năng định đường đến của một domain tại bất kì đâu trên mạng
Lưu thông tin của Zone.
MỘT SỐ KHÁI NIỆM CƠ BẢN
Primary Server
Được tạo khi ta add một Primary Zone mới thông qua New Zone Wizard.
Các tên miền do Primary Server quản lý thì được tạo, sửa đổi và lưu trữ tại Primary Server và được cập nhật đến các Secondary Server.
Secondary Server :
Secondary Server sử dụng để lưu trữ dự phòng cho Primary Server.
Secondary DNS Server được khuyến nghị dùng nhưng không nhất thiết phải có.
Quản lý những dữ liệu về tên miền (domain).
Không tạo ra các bản ghi về tên miền (domain) mà nó lấy về từ Primary Server.
Khi lượng truy vấn Zone tăng cao tại Primary Server thì nó sẽ chuyển bớt tải sang cho Secondary Server
Khi Primary Server gặp sự cố không hoạt động được thì Secondary Server sẽ hoạt động thay thế cho đến khi Primary Server hoạt động trở lại.
Secondary Server có hai giải pháp lấy thông tin về các Zone mới là lấy toàn bộ (full) hoặc chỉ lấy phần thay đổi (incremental).
MỘT SỐ KHÁI NIỆM CƠ BẢN
Caching-only Server :
Lưu trữ dữ liệu trên bộ nhớ cache của máy để trả lời truy vấn một cách nhanh chóng.
chỉ sử dụng cho việc truy vấn, lưu giữ câu trả lời dựa trên thông tin có trên cache của máy và cho kết quả truy vấn.
Chúng không quản lý một domain nào và thông tin mà nó chỉ giới hạn những gì được lưu trên cache của Server.
Stub Server :
Là DNS Server chỉ chứa các bản copy của Zone, nó chỉ chứa danh sách các DNS Server được xác thực từ master Zone.
Sử dụng stub có thể tăng tốc độ phân giải tên. Dễ quản lý.
MỘT SỐ KHÁI NIỆM CƠ BẢN
3.
DNS Zone
Là tập hợp các ánh xạ từ host đến địa chỉ IP và từ IP đến host của một phần liên tục trong một nhánh của domain..
Hệ thống tên miền (DNS) chia hệ thống tên miền thành Zone, trong Zone quản lý tên miền được phân chia đó.
Các Zone chứa thông tin vê miền cấp thấp hơn, có khả năng chia thành các Zone cấp thấp hơn và phân quyền cho các DNS Server khác quản lý.
Thông tin của DNS Zones là những record gồm tên Host và địa chỉ IP được lưu trong DNS Server, DNS Server quản lý và trả lời những yêu cầu từ Client liên quan đến DNS Zones này.
Có 2 loại DNS Zone : Standard Primary Zone và Active Directory Integrated Zones.
MỘT SỐ KHÁI NIỆM CƠ BẢN
Standard Primary Zone:
Được sử dụng trong các single domain, không có Active Dicrectory .
Tất cả những thay đổi trong Zone sẽ không ảnh hưởng đến các Zone khác. Tuy nhiên nếu ta tạp thêm một Zone (Secondary Zone), thì Zone này sẽ bị ảnh hưởng từ Primary Zone.
Secondary Zone sẽ lấy thông tin từ Primary Zone.
Quá trình chuyển thông Primary Zone đến Secondary Zone được gọi là Zone Transfer.
Sau một khoảng thời gian nhất định, Secondary Zone sẽ cập nhật các records từ Primary Zone, quá trình này được gọi là synchronized ( đồng bộ hóa).
Active Directory Integrated Zones:
Được tạo khi máy tính chạy DNS Server được nâng cấp thành Domain Controller.
Thông tin về DNS Zones đều chứa trên tất cả Domain Controller.
DNS Zones được lưu như một đối tượng trong cơ sở dữ liệu của Active Directory.
Active Directory là một dịch vụ thư mục dùng để:
• Tự động hóa việc quản lý mạng dữ liệu người dung.
• Bảo mật và các nguồn tài nguyên được phân phối.
• Cho phép tương tác với các thư mục khác.
MỘT SỐ KHÁI NIỆM CƠ BẢN
4. DNS Resolvers
Là dịch vụ sử dụng để truy vấn thông tin từ DNS Server của Client.
DNS Resolver đảm nhận 3 vai trò sau :
Truy vấn 1 Name Server.
Phân giải kết quả.
Trả kết quả về cho chương trình đã yêu cầu.
MỘT SỐ KHÁI NIỆM CƠ BẢN
5.
Resource Records
Là hệ thống cơ sở dữ liệu của DNS, được sử dụng để trả lời cho các truy vấn từ DNS Client.
Record Type
Mục đích
A
Host – Phân giải tên máy thành địa chỉ IP (IPv4)
MX
Mail exchange – Chỉ đến mail Server trong domain.
CNAME (Alias)
Canonical name – Cho phép một host có thể có nhiều tên.
NS
Name Server – Chứa địa chỉ IP của DNS Server cùng với các thông tin về domain đó.
SOA
Start of Authority – Bao gồm các thông tin về domain trên DNS Server.
SRV
Service – Được sử dụng bởi Active Directory để lưu thông tin về vị trí của Domain Controllers
AAAA
Host – Phân giải tên máy thành địa chỉ IP (IPv6)
PTR
Pointer – Phân giải địa chỉ IP thành tên máy.
HOẠT ĐỘNG
1. Qui trình phân giải tên miền
.Giả sử người sử dụng muốn truy cập vào trang web google.com
Trước hết chương trình trên máy người sử dụng gửi yêu cầu tìm kiếm địa chỉ IP ứng với tên miền google.com tới máy chủ quản lý tên miền cục bộ thuộc mạng của nó (ISP DNS
Server).
Máy chủ tên miền cục bộ này kiểm tra trong cơ sở dữ liệu của nó có chứa cơ sở dữ liệu chuyển đổi từ tên miền sang địa chỉ IP của tên miền mà người sử dụng yêu cầu không. Trong
trường hợp máy chủ tên miền cục bộ có cơ sở dữ liệu này, nó sẽ gửi trả lại địa chỉ IP của máy có tên miền nói trên (google.com)
Trong trường hợp máy chủ tên miền cục bộ không có cơ sở dữ liệu về tên miền này nó thường hỏi lên các máy chủ tên miền ở cấp cao nhất (máy chủ tên miền làm việc ở mức
Root). Máy chủ tên miền ở mức Root này sẽ trả về cho máy chủ tên miền cục bộ địa chỉ của máy chủ tên miền quản lý các tên miền có đuôi .com.
Máy chủ tên miền cục bộ gửi yêu cầu đến máy chủ quản lý tên miền có đuôi (.com) tìm tên miền google.com. Máy chủ tên miền quản lý các tên miền .com sẽ gửi lại địa chỉ của
máy chủ quản lý tên miền google.com.
HOẠT ĐỘNG
Máy chủ tên miền cục bộ sẽ hỏi máy chủ quản lý tên miền google.com này địa chỉ IP của tên miền google.com. Do máy chủ quản lý tên miền google.com có cơ sở dữ liệu về tên
miền google.com nên địa chỉ IP của tên miền này sẽ được gửi trả lại cho máy chủ tên miền cục bộ.
Máy chủ tên miền cục bộ chuyển thông tin tìm được đến máy của người sử dụng.
PC của người dùng sẽ sử dụng địa chỉ IP này để mở một phiên kết nối TCP/IP đến Server chứa trang web có địa chỉ google.com.
2.
Phân giải địa chỉ IP
Trong không gian tên miền người ta bổ xung thêm một nhánh tên miền được lập chỉ mục theo địa chỉ IP.
Phần không gian này có tên miền là in-addr.arpa.
Mỗi node trong miền in-addr.arpa có 1 tên nhãn là chỉ số thập phân của địa chỉ IP.
Ví dụ miền in-addr.arpa có thể có 256 subdomain tương ứng với 256 giá trị từ 0 --> 255 của byte đầu tiên trong địa chỉ IP.
Trong mỗi subdomain lại có 256 subdomain con nữa ứng với byte thứ 2.
Cứ như thế và đến byte thứ 4 có các bản ghi cho biết tên miền đầy đủ của các máy tính hoặc các mạng có địa chỉ IP tương ứng.
HOẠT ĐỘNG
3.
Recursion Query và Iteration Query
Có hai cách phân giải tên host name:
Phân giải đệ quy:
Khi DNS Server không phân giải được host name, nó sẽ chuyển đến một DNS Server khác (forwarded) trong mạng.
Quá trình này được gọi là kiểu yêu cầu Recursive (phân giải đệ quy).
Phân giải lặp
Nếu Recursion bị disable thì nó sẽ sử dụng Iterative (phân giải lặp), tức là nó sẽ gởi yêu cầu phân giải lại tên của host name.
Khi có một truy vấn từ Client, trước hết nó sẽ tìm trong cơ sở dữ liệu của chính nó, nếu không có, nó sẽ cho biết một máy chủ khác mà từ đó có thể tìm thấy kết quả truy vấn.
Recursion chỉ truy vấn trong mạng cục bộ, còn Iterative có thể truy vấn ra ngoài internet.
CẤU TRÚC GÓI TIN DNS
•
Trong các thành phần của cấu trúc gói tin DNS ở trên, khi đề cập đến vấn đề bảo mật, chúng ta chỉ quan tâm đến 4 vùng được đánh dấu màu xám.
•
•
•
•
Transaction ID : Một số ngẫu nhiên (random) dùng để so khớp với truy vấn phản hồi trở lại.
Answer Resource Record structures : Đây là phần nội dung do DNS Server trả lời, được lấy trong resource record (RR) trên chính máy DNS Server đó.
Authority Resource Record structures : Phần này chứa một trong 2 loại, hoặc là SOA hoặc là NS record chứa thông tin chứng nhận chủ nhân của RR(s) trong phần trả lời trên.
Additional Resource Record structures : phần này là thông tin resource record được thêm vào để gửi cho máy nhận (receiver)
KẾT LUẬN
DNS có nhiều lợi ích nhưng cũng kèm theo nhiều điểm yếu về bảo mật.
Lợi ích:
Dể dàng sử dụng và đơn giản: cho phép người dùng truy cập máy tính và tài nguyên mạng với những cái tên dể nhớ.
Khả năng mở rộng: cho phép khối lượng công việc phân giải tên có thể được phân phối trên nhiều server và cơ sở sử liệu.
Tình thống nhất: cho phép địa chỉ IP có thể thay đổi trong khi vẫn giữ nguyên tên máy, làm cho việc xác định vị trì tàu nguyên mạng dể dàng.
Điểm yếu bảo mật:
Các DNS Server thường bị tấn công theo các phương thức sau đây :
• Thay đổi zone file
• Zone file được giả mạo trong việc đồng bộ (synchronize) giữa các DNS server với nhau.
• Giả mạo thông tin IP gửi đến cho client.
DNS Server bị tấn công sẽ gây nguy hiểm cho client khi nhận được những thông tin phân giải đã bị “nhiễm bẩn”.
TÀI LIỆU THAM KHẢO
Computer Networks 5th Edition - Andrew S. Tanenbaum
Wikipedia
