Como funciona o DNS e a tradução de nomes para endereços IP
1.
2. Como funciona a Internet
DNS
Antonio M. Moreiras
José Luiz Ribeiro Filho
12/08/2014 – 11h00 às 12h30
3. Como funciona a Internet
Você sabe?
• Como descubro quem é o “dono” de um nome na
Internet?
• Quem controla o DNS pode “desligar” a Internet?
• A tecnologia do DNSSEC pode ter algum efeito no
mercado de certificados para sites?
4. Como funciona a Internet
O que é o DNS?
O DNS é apenas uma GRANDE tabela (catálogo), que
associa nomes fáceis de lembrar (para nós seres humanos),
em números IP que os computadores utilizam.
Nome IP
www.meusite.com.br 200.10.52.10
www.sitio.org 210.120.5.20
www.nome.eng.br 172.55.23.15
www.rnp.br 200.130.35.4
www.nic.br 2001:db8:a:b::c
www.cgi.br 2001:db8::coco
5. Como funciona a Internet
Para que serve o DNS?
Implementa o serviço de
nomes da arquitetura
TCP/IP
Provê um esquema para
atribuir nomes às
estações
Especifica um mecanismo
de mapeamento
automático de nomes de
estações para seus
respectivos endereços
IP
Implementado em um
conjunto hierárquico e
geograficamente
distribuído de
servidores de nomes
7. Como funciona a Internet
Como é feita a tradução de um nome em um IP?
Regras:
• Cada nível só conhece os endereços IP dos servidores de
nomes para os domínios imediatamente inferiores (subdomínios)
• Cada domínio possui pelo menos um servidor de nomes
autoritativo conhecido pelos servidores dos níveis superiores
• A hierarquia de domínios não tem limite para a
quantidade/profundidade de subdomínios
• Para fazer a tradução de um nome podem ser necessárias tantas
consultas quantos forem os níveis de subdomínios até chegar ao
servidor raíz
• Um servidor de nomes local ou intermediário pode conhecer a
tradução de um nome de estação (por um período de tempo –
TTL)
• Mais de um nome de estação pode estar associado a um mesmo
endereço IP
8. Como funciona a Internet
Como é feita a tradução de um nome em um IP?
Exemplo:
root conhece o
IP do servidor .br
www.rnp.br .
.br conhece o
IP do servidor .rnp
.rnp conhece o
IP do servidor www
(200.130.35.4)
10. Como funciona a Internet
Como é feita a tradução de um nome em um IP
Exemplo:
www.rnp.br
(200.130.35.4)
notebook15.xpto.com
(11.183.12.56)
.xpto é o serividor de nomes para notebook15
1)notebook15 pergunta para .xpto se conhece www.rnp.br
2).xpto retorna para notebook15 o IP do servidor .com
3)notebook15 pergunta para .com se conhece www.rnp.br
4).com responde para notebook15 o IP do servidor raiz (.)
5)notebook15 pergunta para raiz (.) se conhece www.rnp.br
6)raiz (.) retorna para notebook15 o IP do servidor .br
7)notebook15 pergunta para .br se conhece www.rnp.br
8).br retorna para notebook15 o IP do servidor de .rnp
9)notebook15 pergunta para .rnp se conhece www.rnp.br
10).rnp retorna para notebook15 o endereço 200.130.35.4
11)notebook15 envia pacotes de dados para 200.130.35.4
11. Como funciona a Internet
Como é feita a tradução de um nome em um IP
Esta sequência é sempre executada?
•Ao longo do processo os servidores intermediários de nomes podem
armazenar as respostas parciais às consultas.
•Os dados são mantidos pelos servidores intermediários de nomes por
um periodo de tempo pré-definido (TTL – Time To Live)
•Nas próximas consultas o servidor intermediário de nomes verifica na
sua memória temporária (cache) se já possui a informação antes de
retornar o IP do servidor de nomes acima na árvore.
•A estação que iniciou a consulta também guarda o resultado da
tradução na sua memória local para evitar solicitar novamente a
tradução do mesmo nome de dominio.
Por que o resultado da tradução do nome para o IP não
deve ser guardada localmente para sempre?
12. Como funciona a Internet
Sequestro de Domínios
É possível sequestrar um domínio?
•Se um dos servidores de nomes de domínio na árvore tiver sua
base de dados comprometida então retornará um endereço IP
incorreto, apontando para um IP destino falso ou para um IP de
um outro servidor de nome de domínio falso.
•Se a memória (cache) local da estação também for alterada o
próximo acesso ao mesmo nome de domínio levará a um IP
falso.
13. Como funciona a Internet
Servidores DNS: zonas, tipos e funções
Além de dividir o espaço de nomes em
domínios, existe também o conceito de zonas.
A zona é uma fonte de informações autoritativas
sobre cada dominio de DNS pertencente à zona.
Zona Primária - mantém um servidor autoritativo que conhece a tradução
dos nomes de todos os subdomínios da sua respectiva zona. As alterações
da correspondência entre nomes de domínio / estações e números IP é feita
na base de dados dos servidores de zonas primárias.
Zona Secundária – o servidor de nomes da uma zona secundária mantém
uma cópia dos registros de um servidos de zona primária (backup). Os
registros de uma zona secundária não podem ser alteradas diretamente.
14. Como funciona a Internet
Servidores DNS: zonas, tipos e funções
DNS Autoritativo- responsável oficial pela base de dados de tradução
de um nome de domínio / estação para endereços IP em um domínio
ou zona.
DNS Recursivo –.servidor intermediário que mantém tabelas com dados
temporários com traduções de nomes de domínios / estações para IPs e
endereços IP dos servidores autoritativos de um domínio (incluindo os
raíz). Os dados não são tão confiáveis quanto os mantidos pelos DNS
autoritativos.
Resolver (cliente) – componente que existe no sistema operacional da
estação (cliente) para o qual são encaminhados os pedidos de tradução
de nomes de domínio. Pode manter uma lista permanente (arquivo hosts)
e uma memória temporária localmente. Os dados do arquivo hosts é de
responsabilidade do usuário/cliente.
15. Como funciona a Internet
Arquivo local hosts
Nas estações Windows o arquivo hosts é encontrado em:
C> /Windows/System32/drivers/etc/hosts
16. Como funciona a Internet
Gestão administrativa
Registries x Registrars
DNS Registry
Os DNS registries são as base de dados que contém os domínios e as informações
administrativas (nome do “dono”do domínio, contatos técnicos, etc.) de cada um dos
‘top level domains’ da Internet. A maioria dos DNS registries operam somente com
bases de informações dos top level e second level.
Um operador de DNS registry, também chamado Network Information Center (NIC),
mantém os dados administrativos dos domínios em uma base de informações onde
estão os endereços IP dos servidores de nomes autoritativos de cada domínio. Cada
Registry é uma organização que gerencia o processo de registro e atualização dos
dados dos domínio pelo qual é responsável (ex: .com, .net, .org). Controla as políticas
de alocação de nomes. Pode acumular também a função de DNS registrar ou delegá-la
para outras organizações.
http://en.wikipedia.org/wiki/Domain_name_registry
17. Como funciona a Internet
Gestão administrativa
Registries x Registrars
DNS Registrar
Os DNS registrars é uma organização comercial que gerencia o processo de reserva
de nomes de domínio da Internet. Um DNS registrar precisa ser credenciado por um
DNS registry operador de pelo menos um generic top level domains (gTLD) e/ou um
detentor de country code top level domain (ccTLD).
A administração de DNS registrars é realizada seguindo regras estabelecidas pelos DNS
Registry responsável por um determinado domínio.
Na prática o DNS registrar opera como um “serviço de vendas”de nomes de domínio e
remunera o DNS registry com um percentual do preço do nome de domínio vendido.
Uma parcela dos recursos recebidos pelos DNS Registries contribuem para
o financiamento das organizações de governança da Internet como a ICANN.
http://en.wikipedia.org/wiki/Domain_name_registrar
18. Como funciona a Internet
Servidores DNS - mitos
• O tráfego da Internet não passa pelos servidores raíz
• A tradução de nomes não depende dos servidores raíz
localizados nos Estados Unidos
• Não são necessários mais servidores raíz
• As transações para tradução de nomes não consomem banda
na Internet
• O Brasil possui cópias das bases de dados dos servidores raíz.
• A IANA não está obrigada a conceder a gestão de um nome de
dominio nacional (ccTLD) a um governo/instituição
governamental
19. Como funciona a Internet
Servidores raíz DNS – cópias no Brasil
20. Como funciona a Internet
DNSSEC
• O DNS é susceptível a ataques
– Man in the middle
– Cache poisoning
• O DNSSEC acrescenta criptografia a cada uma das
interações do DNS
– Para funcionar bem, todos os elementos devem
suportar:
• Os autoritativos
• O recursivo
• O resolver
• Com o DNSSEC também é possível armazenar no DNS
certificados usados em outros protocolos.
21. Como funciona a Internet
Consultando um domínio
• Whois – programa para consultar as bases de dados do DNS
$ whois moreiras.eng.br
domain: moreiras.eng.br
owner: Antonio Marcos Moreiras
ownerid: 152.619.338-89
country: BR
owner-c: AMM193
admin-c: AMM193
tech-c: AMM193
billing-c: AMM193
nic-hdl-br: AMM193
person: Antonio Marcos Moreiras
e-mail: moreiras@gmail.com
created: 20001016
changed: 20090521
http://whois.registro.br
22. Obrigado
Antonio M. Moreiras
moreiras@nic.br
José Luiz Ribeiro Filho
jose.luiz@rnp.br