Система доменных имен. Лекция №8

1.

ВОЕННО-КОСМИЧЕСКАЯ АКАДЕМИЯ ИМЕНИ А.Ф. МОЖАЙСКОГО

2.

Контроль готовности обучаемых к занятию
Вариант №1
Что такое маска подсети?
Вариант №2
Что такое маршрутизация
и какие у неё особенности?
Вариант №3
Что такое динамическая маршрутизация?

3.

ВОЕННО-КОСМИЧЕСКАЯ АКАДЕМИЯ ИМЕНИ А.Ф. МОЖАЙСКОГО
24 кафедра
Информационно-вычислительных систем и сетей
Администрирование вычислительных сетей
Тема 3. Сетевые службы ОС
Windows Server
кандидат технических наук, доцент
БАГЛЮК С.И.

4.

Администрирование вычислительных сетей
ЛЕКЦИЯ № 8. Система доменных имен.
Цель: сформировать знания по
системе доменных имён
Учебный вопрос:
Система доменных имён (DNS).
4

5.

Система доменных имён (DNS)
Что такое разрешение имён?
Разрешение имён – процесс преобразования легко
запоминающегося
имени
хоста,
например,
www.microsoft.com, в IP-адрес, который используется
сетевым протоколом.
Имя хоста представляет собой дружественное для
понимания пользователем имя, которое идентифицирует хост
в сетях TCP/IP.
Имя может быть присвоено серверу, принтеру,
клиентскому компьютеру или другому устройству, которое
присоединено к сети.
Имя должно быть уникально в пределах домена, но
может повторяться в других доменах.
Разрешение имени может быть использовано и
приложениями,
такими
как
сервис
аутентификации
пользователей.

6.

Основные понятия
Служба доменных имен (Domain Name Service, DNS) –
иерархическая распределенная база данных, которая
хранится на специальных компьютерах - DNS-серверах, и
содержащая сопоставления доменных имён DNS с
различными типами данных, такими, как IP-адреса.
DNS позволяет находить компьютеры, службы и другие
объекты сети (как локальной, так и глобальной) по понятным
именам, а также просматривать другие сведения из базы
данных.
DNS-серверы (серверы имен) являются хранилищами
информации, которая составляет базу данных доменных
имен. База данных делится на области, называемые зонами,
которые распределяются между серверами имен. Каждый
сервер имен является ответственным за определенную зону,
т.е. он хранит данные обо всех именах в зоне и является
авторизованным (полномочным) для этих данных.

7.

Понятие зоны и домена
Домен - понятие логическое, относящееся только к
распределению имён, и никак не связанное с технологией
хранения информации о домене.
Зона - способ представления информации в хранилище тех
серверов DNS, которые отвечают за данный домен и
поддомены. Зона охватывает минимум один домен.
домены
зоны

8.

Типы зон в ОС Windows
Интегрированная зона Active Directory – в зоне данного
типа БД DNS хранится в Active Directory. Все DNS-серверы
в зоне интегрированной в AD, считаются основными.
Основная зона – мастер-копия БД DNS, размещаемая в
стандартном текстовом ASCII файле. Напрямую можно
изменять только информацию основной зоны.
Дополнительная зона – информация представляет
собой
копию
данных
(только
для
чтения)
существующей основой зоны. Все
сведения
обновляются только на основном DNS-сервере, а затем
передаются на все дополнительные серверы.
Зона прямого просмотра – содержит информацию о
прямом сопоставлении (доменное имя → IP-адрес).
Зона обратного просмотра – содержит информацию об
обратном сопоставлении (IP-адрес → доменное имя).

9.

Каждая зона имеет верхний узел (в котором может быть
несколько дочерних узлов), имя этого узла используется для
идентификации зоны.
Зона характеризуется двумя обязательными записями:
• записи о ресурсах серверов имен (запись типа NS,
Authoritative name server);
• запись описания параметров управления зоной (запись
SOA, Start of Authority record).
NS-запись необходима для указания DNS-сервера / DNSсерверов, которые будут отвечать за доменную зону
(делегирование домена).
Записи SOA необходимы для кластеров серверов,
поскольку они распределяют запросы между устройствами,
что позволяет избежать перегрузки конкретного сервера. SOA
включает адрес первичного сервера имен домена, адрес
администратора, временные метки, фиксирующие все
обновления зоны, пр.

10.

DNS-сервер осуществляет регистрацию имён, исполнение
запросов и освобождение имён. Использует 53 порт в TCP и
UDP. Для каждой зоны рекомендуется иметь min два сервера.
Возможные типы DNS-серверов:
• Первичный-сервер (primary, master-сервер) - является
ответственным за информацию о зоне. Хранит БД DNS у
себя на жёстком диске;
• Вторичный-сервер (secondary, slave-сервер) - является
ответственным за информацию о зоне. Предназначен для
подстраховки и уменьшения нагрузки основного сервера
доменных имён;
• Кэширующий сервер (caching-only servers) - не является
ответственным за информацию о зоне. Сервер кэширует
результаты полученных запросов для ускорения обработки
повторных запросов;
• Сервер пересылки (forwarders) - не является
ответственным за информацию о зоне. Выполняет
перенаправление запросов на другие DNS сервера.

11.

DNS-клиент – компьютер-клиент, запрашивающий DNSсерверы для разрешения доменных имён. DNS-клиенты
имеют временный кэш разрешённых доменных имён DNS.
DNS-суффикс – строка знаков, представляющая имя
домена в DNS. DNS-суффикс показывает расположение
узла относительно корня DNS, обозначая положение узла в
иерархии DNS.
Способы разрешения имён:
• файлы
hosts
(в
папке
%systemroot%\system32\drivers\etc) – для статического
сопоставления имен хостов и IP-адресов;
• файлы
lmhosts
(размещается
в
папке
%systemroot%\system32\drivers\etc) – для статического
сопоставления NetBIOS-имен и IP-адресов;
• DNS;
• WINS.

12.

Структура DNS имени
Система
DNS
основана
на
древовидной структуре, называемой
доменных имен:
иерархической
пространством

13.

Структура DNS имени
WWW.VKA.RU.
Корневой
домен
Домен
второго
уровня
Имя
компьютера
Домен
первого
уровня
Домен компьютера
(DNS-суффикс)

14.

Корневой домен и корневые серверы DNS
Корнево́й доме́н (домен нулевого уровня) – домен
самого верхнего уровня в любой системе доменных имён.
Корневой домен обслуживается 13 корневыми серверами
системы доменных имён, которые располагаются в различных
странах мира.
Каждый корневой сервер DNS (за исключением B.root)
состоит из множества хостов-реплик, размещаемых в
различных локациях сети Интернет.
Корневые
серверы
DNS –
DNS-серверы,
обеспечивающие работу корневой зоны DNS в сети
Интернет.
Корневые серверы DNS отвечают на запросы других DNSсерверов в ходе трансляции доменных имён в IP-адреса и
позволяют получить список DNS-серверов для любого
домена верхнего уровня (TLD): RU, COM, NET и др.

15.

В России размещено 9 реплик корневых серверов
DNS, в том числе:
• F.root (Москва);
• I.root (Санкт-Петербург);
• J.root (Москва, Санкт-Петербург);
• K.root (Москва, Санкт-Петербург , Новосибирск);
• L.root (Москва, Ростов-на-Дону , Екатеринбург).
Реплики корневых серверов DNS размещены в
сетях
компаний
«MSKIX»,
«RU-CENTER»,
«Selectel» и «МТС».

16.

Имя хоста
IP-адреса
Управляющая организация
VeriSign, Inc.
University of Southern
b.root-servers.net 192.228.79.201, 2001:500:84::b
California (ISI)
c.root-servers.net 192.33.4.12, 2001:500:2::c
Cogent Communications
d.root-servers.net 199.7.91.13, 2001:500:2d::d
University of Maryland
e.root-servers.net 192.203.230.10, 2001:500:a8::e
NASA (Ames Research Center)
Internet Systems Consortium,
192.5.5.241,
2001:500:2f::f
f.root-servers.net
Inc.
US Department of Defense
g.root-servers.net 192.112.36.4, 2001:500:12::d0d
(NIC)
h.root-servers.net 198.97.190.53, 2001:500:1::53
US Army (Research Lab)
i.root-servers.net 192.36.148.17, 2001:7fe::53
Netnod
j.root-servers.net 192.58.128.30, 2001:503:c27::2:30 VeriSign, Inc.
k.root-servers.net 193.0.14.129, 2001:7fd::1
RIPE NCC
l.root-servers.net 199.7.83.42, 2001:500:9f::42
ICANN
m.root-servers.net 202.12.27.33, 2001:dc3::35
WIDE Project
a.root-servers.net 198.41.0.4, 2001:503:ba3e::2:30

17.

Корневые серверы DNS

18.

Домены первого уровня содержат информацию только о
доменах второго уровня, записи об отдельных хостах могут
содержаться в доменах, начиная со второго уровня.
Созданием и управлением доменами первого уровня с
1998 года занимается международная некоммерческая
организация ICANN (Internet Corporation for Assigned Names
and Numbers - Корпорация Интернет по присвоению имен и
адресов, www.icann.org).
Наиболее часто используемые имена доменов первого
уровня:
• com – коммерческие организации;
• edu – образовательные учреждения;
• org – некоммерческие организации;
• net – провайдеры сетевых сервисов;
• xx – двухбуквенные коды стран (ru, fr, de, by и т.д.);
• info – доступно для любых применений;
• name – используется для персональных сайтов;
• arpa – используется для обратного разрешения DNS.

19.

Владельцы ресурсов предпочитают использовать
домены второго уровня в рамках национальных
доменов или доменов общего назначения (например,
microsoft.com), а не закапываться вглубь иерархии имён.
Домены
второго
уровня,
находящиеся
в
географических
доменах,
распределяются
специальными
национальными
организациями,
которым ICANN передало полномочия в этом
вопросе.
Управлением доменами третьего и следующего
уровней занимаются владельцы соответствующих
доменов второго уровня.
Полностью определённое доменное имя (Fully
Qualified Domain Name, FQDN) – исчерпывающее
описание местоположения хоста в иерархии DNS.
Пример: WWW.VKA.RU.

20.

Порядок разрешения доменных имён
1. Обращение к локальному кэшу доменных имён.
Кэш локального сопоставления формируется из двух
источников: локальный файл «hosts» и записи ресурсов,
полученные в ответах на запросы из предыдущих
запросов DNS, которые сохраняются в нём в течение
определенного периода времени.
2. Обращение к DNS-серверу.
Кэш доменных имён
Кэш хранится в оперативной памяти компьютера, его
использование является самым быстрым и эффективным
способом разрешения имён.
Текущее содержимое кэша доменных имён компьютера
можно просмотреть с помощью команды: ipconfig /displaydns
Для очистки кэша доменных имён компьютера используется
команда:
ipconfig /flushdns

21.

Пример файла hosts

22.

Запросы, направляемые серверам за разрешением
доменных
имен,
могут
быть
рекурсивными
или
нерекурсивными (итеративными). В зависимости от типа
полученного запроса сервер выполняет рекурсивное или
итеративное разрешение имен.
Термином рекурсия в DNS обозначают алгоритм поведения
DNS-сервера: «выполнить от имени клиента полный поиск
нужной информации во всей системе DNS, при
необходимости обращаясь к другим DNS-серверам».
Рекурсивный DNS-запрос – требует от запрашиваемого
DNS-сервера выполнения полного поиска.
Нерекурсивный
DNS-запрос
–
не
требует
от
запрашиваемого DNS-сервера выполнения полного поиска с
обращением DNS-серверам, т.к. этот поиск в итеративном
режиме выполнит сам запрашивающий клиент.

23.

Рекурсивный запрос DNS - DNS-клиент возлагает всю
работу по разрешению имени на DNS-сервер.
Корневые
серверы DNS
DNS-серверы домена com
СПб-Телеком
www.microsoft.com
IP-адреса DNS-серверов домена microsoft.com
DNS-серверы
домена microsoft.com
ПК
Web-сайт www.microsoft.com

24.

Итеративный запрос DNS – DNS-клиент обращается к
DNS-серверу с просьбой разрешить имя без обращения
к другим DNS-серверам.
СПб-телеком
Корневые серверы DNS
DNS-серверы домена com
www.microsoft.com
ПК
IP-адреса DNS-серверов домена microsoft.com
DNS-серверы домена microsoft.com
Web-сайт www.microsoft.com

25.

Виды DNS-записей
Каждая DNS-запись имеет имя и тип, в зависимости от
данных, которые она содержит. Наиболее распространенные
типы:
• запись A - сопоставляет имя с IPv4-адресом;
• запись MX - сопоставляет имя с почтовым сервером.
Обратный просмотр DNS (reverse DNS lookup)
Это - обращение к особой доменной зоне для определения
имени узла по его IP-адресу c помощью PTR-записи.
Для выполнения запроса обратного просмотра адрес узла
переводится в обратную нотацию, способ перевода зависит от
версии IP:
• IPv4-адрес 192.168.0.1 превращается в 1.0.168.192.inaddr.arpa.;
• IPv6-адрес 2001:db8::567:89ab — в
b.a.9.8.7.6.5.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.b.d.0.1.0.0.2.ip6.
arpa.

26.

Планирование серверов для DNS
При планировании DNS-серверов необходимо принять во
внимание решение следующих основных задач:
1. Планирование мощности и рассмотрение аппаратных
требований к серверам;
2. Определение числа требуемых DNS-серверов и их роли в
сети;
3. Определение расположения в сети DNS-серверов для
обеспечения трафика, репликации и отказоустойчивости;
4. Определение перечня ОС, которые будут использоваться
для DNS-серверов;
5. Планирование пространства имён для DNS;
6. Выбор
первого
доменного
имени
DNS
(имени
родительского домена DNS для организации);
7. Планирование пространства имён DNS для службы
каталогов Active Directory.

27.

Внешний вид консоли DNS

28.

Подмена сервера доменных имен (DNS) - кибератака, с
помощью которой злоумышленник направляет трафик жертвы на
вредоносный сайт (вместо легитимного IP-адреса): используется
метод «отравления» кэша DNS для перехвата интернет-трафика и
кражи учетных данных или конфиденциальной информации.
Каждый сервер хранит список известных ему DNS-записей,
который называется кэшем. Кэширование DNS - система хранения
адресов на DNS-серверах, ускоряющая получение ответа.
Виды кибератаки:
• перехват трафика ЛВС с помощью подмены протокола ARP;
• подделка ответов с помощью атаки «дней рождения» (DNS не
проверяет подлинность ответов на рекурсивные запросы,
поэтому в кэше сохраняется первый ответ, который может быть
от злоумышленника);
• эксплойт Каминского - злоумышленник отправляет DNSрезолверу запрос для несуществующего домена, DNS-резолвер
перенаправляет его на авторитетный сервер имен, чтобы
получить IP-адрес ложного субдомена; злоумышленник
перегружает DNS-резолвер огромным количеством поддельных
ответов в надежде, что один из этих поддельных ответов

29.

Служба WINS
WINS (Windows Internet Name Service) – устаревшая служба
регистрации имен компьютера и разрешения, которая
сопоставляет имена компьютеров NetBIOS с IP-адресами
узлов.
Сервер
WINS
осуществляет
регистрацию
имён,
выполнение запросов и освобождение имён. Использует 137
порт по TCP и UDP.
NetBIOS (базовая сетевая система ввода-вывода) - это
ранний сетевой протокол, первоначально разработанный
IBM, а позже принятый Microsoft для использования в
операционных системах Windows. NetBIOS предоставляет
средства для обмена данными между компьютерами в
локальной вычислительной сети (ЛВС, LAN).
Если в ЛВС нет ОС Windows 95/98/ME/NT, то служба WINS
может не потребоваться.

30.

Вопросы для самостоятельной подготовки
1. Что такое разрешение имён и DNS?
2. Какие существуют способы разрешения имён?
3. Что такое корневой домен, корневые серверы DNS
(сколько их)?
4. Что такое FQDN (привести пример)?
5. Какой существует порядок разрешения доменных имён?
6. В чём отличие рекурсивных запрос DNS от не
рекурсивных?
7. Какие существуют типы DNS серверов?
8. Что такое домен и зона? Какие существуют типы зон в ОС
Windows?
9. Какие основные задачи решаются при планировании
серверов для DNS?
10.Что такое WINS?

31.

Задание на самостоятельную подготовку
1. Дополнить материал лекции информацией из литературы.
2. Повторить материал лекции по конспекту.
3. Подготовить ответы на вопросы.
Рекомендуемая литература:
1.Антонов В.Н., Терехов В.А., Тюкин И.Ю. Адаптивное управление в технических системах.
– СПб.: Издательство СПб университета, 2001. – 244 с.
2.Бигелоу С. Сети: поиск неисправностей, поддержка и восстановление. – СПб.: БХВПетербург, 2005. – 1200 с.
3.Ватаманюк А.И. Создание, обслуживание и администрирование сетей. – СПб: Питер, 2010.
– 288 с.
4.Гончаренко В.А. Методы и средства защиты компьютерной информации. – СПб.:ВКА
им.А.Ф.Можайского, 2012. – 132 с.
5.Додонов А.Г., Кузнецова М.Г., Горбачик Е.С. Введение в теорию живучести
вычислительных систем. – Киев: Наук. думка, 1990. – 184 с.
6.Залещанский Б.Д., Чернихов Д.Я. Кластерная технология и живучесть глобальных
автоматизированных систем. – М.: Финансы и статистика, 2005.– 384 с.
7.Кенин А.М. Самоучитель системного администратора. – СПб.: БХВ-Петербург, 2009. –560 с.
8.Кучерявый Е.А. Управление трафиком и качество обслуживания в сети Интернет. – СПб.:
Наука и Техника, 2004. – 336 с.
9.Лимончелли Т., Чейлап С., Хоган К. Системное и сетевое администрирование.
Практическое руководство. – М.:Символ-Плюс, 2009. – 944 с.
10.Палмер М., Синклер Р.Б. Проектирование и внедрение компьютерных сетей. – СПб.: БХВПетербург, 2004. – 752 с.
11.Половко А.М., Гуров С.В. Основы теории надежности. – СПб: БХВ, 2006.-704с.
12.Поляк-Брагинский А.В. Администрирование сети на примерах. – СПб.: БХВ-Петербург,
2005. – 320 с.
13.Столлингс В. Современные компьютерные сети. – СПб.: Питер, 2003. – 783 с.
14.Фрадков А.Л. Адаптивное управление в сложных системах: Беспоисковые методы. –
М.:Наука. Гл. ред. физ.-мат. лит., 1990. – 296 с.
15.Хант К. TCP/IP. Сетевое администрирование. – М.: Символ-Плюс, 2006. – 816 с.