1 domain name system 網域名稱系統 wei-li tang july 8, 2010
Post on 20-Dec-2015
226 views
TRANSCRIPT
1
Domain Name System網域名稱系統
Wei-li TangJuly 8, 2010
2
關於我-唐瑋勵 暨南資工 97 級 計網中心網路組計劃助理 (94.2 – 98.10) 霞蔚山城站長 (94.8 – 95.7)
3
Outline
Why DNS? DNS 基礎概念 電腦的命名 實習
查詢網域名稱架設網域名稱伺服器 (DNS Server)
4
Why DNS?
我家裡電腦放了新的音樂,快連過來抓吧!~~
聽起來好棒喔!請問 IP 位址是?
Image Ref.:このホームページでは一部、ねこねこソフトの画像素材を使用しています。また、これらの素材を他へ転載することを禁じます。
5
Why DNS?
122.117.89.220
…… 呃?
Image Ref.:このホームページでは一部、ねこねこソフトの画像素材を使用しています。また、これらの素材を他へ転載することを禁じます。
6
Why DNS?
結論: IP 位址不易記憶 我們需要更好記憶的方式
解藥: DNS
7
DNS 基礎概念
摘自 TWNIC 97 年度 DNS 安全教育訓練TWNIC 技術組編撰
8 8
網域名稱是什麼 ?
網域名稱是企業或個人在網路上的身份,如同 IP 一樣,都具有唯一的特性網域名稱比 IP 好記好記的網域名稱成為大家申請的對象
字數少 /特殊意義單字 /諧音字
* 摘自 TWNIC 97 年度 DNS 安全教育訓練 / TWNIC 技術組編撰
9 9
域名之分類 分類: 在區分不同的屬性
Top Level Domain (TLD) 頂級域名 gTLDs:
com/net/org/gov/edu/… 共 18類 http://www.iana.org/gtld/gtld.htm
ccTLDs: tw/cn/jp/us 共 248 個 http://www.iana.org/cctld/cctld-whois.htm
Second Level Domain (第二層域名) com.tw/org.tw/ 等
目前 tw 之第二層域名 com.tw/net.tw/org.tw/edu.tw/gov.tw/mil.tw idv.tw/game.tw/club.tw/ebiz.tw
TWNIC 於 2005/11/1 開放泛英(xxx.tw) 申請
* 摘自 TWNIC 97 年度 DNS 安全教育訓練 / TWNIC 技術組編撰
10 10
Internet 的歷史 (1) 1960 年代
57 ARPA 觀念之提出及 IP 觀念之產生 61 分封交換關念之提出
Time Sharing 多工觀念之提出 69 ARPANet 誕生 ,連接數個研究單位
1970 年代 70 hosts 之使用 , 71-72 電子郵件出現 ,並使用 @ 代表 73 FTP 出現 /互連網觀念被提出
研究出乙太網路 (Ethernet) 74 TCP 通訊協定出現
Telnet 出現 76 第一封經由網路傳送的 Email 出現 78 發明數據機 (modem) 79 MUD 出現
Newsgroup 出現 (usenet)
* 摘自 TWNIC 97 年度 DNS 安全教育訓練 / TWNIC 技術組編撰
11 11
Internet 的歷史 (2) 1980 年代
80 400 台主機連接超過 10000 名使用者DOS 出現並與 IBM 結合
81 Gateway(EGP) 觀念出現IBM PC 問世
82 TCP/IP 標準確認Internet 名詞出現
83 名稱伺服器出現網域名稱制度提出 84 DNS 標準確立 Cisco/AOL 成立 85 Symbolics.com 為第一個網域名稱註冊者 86 NNTP(usenet) 標準確立
SGML 出現 (HTML 前身 )PC Virus 出現
88 第一個 Internet Worm 出現 ,感染 5% 主機CERT 成立
Eudora 出現 ,刺激了 Email 的發展
* 摘自 TWNIC 97 年度 DNS 安全教育訓練 / TWNIC 技術組編撰
12 12
Internet 的歷史 (3) 1990
90 TANET 成立撥接服務出現
WWW 觀念提出 91 Internet 開放商用化 92 中山大學成立台灣第一個 BBS 站
WWW 服務問世 93 第一個瀏覽器 Mosaic 問世 , WWW 急遽發展
網域名稱伴隨 WWW 需求快速發展 94 Hinet 商用 Internet 服務
網路銀行 /拍賣出現Netscape 出現 ,結合 Email 功能 ,
Eudora 漸式微 95 Window 95 發表
Amazon/Yahoo/Ebay 成立IP Phone(VoIP) 出現
Netscape vs. IE 之爭
Internet 至 1995 大柢上奠基現今發展的基礎
* 摘自 TWNIC 97 年度 DNS 安全教育訓練 / TWNIC 技術組編撰
13 13
DNS 背景介紹 DNS 的歷史
IP Network 的興起 ,網網互連愈來愈多的主機,hosts 檔的出現
主機名稱的衝突 資訊的一致性 資料的管理
1984年 Paul Mockapetris 建立了第一個DNS 的規範 (RFC1034, RFC1035)85 年隨即出現了第一個網域名稱
* 摘自 TWNIC 97 年度 DNS 安全教育訓練 / TWNIC 技術組編撰
14 14
域名與 Internet相關服務之關係 名稱解析服務為 Internet 服務最基礎的一環
TWNIC 被列為國內 20最重要的資安單位 名稱解析提供機器名稱與 IP 位址雙向對映的機制 WWW www.hinet.net <-> 168.95.1.82 MAIL msa.hinet.net <-> 168.95.4.211
網域名稱比 IP 容易記, 且具代表意義 使用網域名稱讓系統更具移值性,當 IP 變動,只需更改 DNS 設定即可,程式 網頁等不需更改
* 摘自 TWNIC 97 年度 DNS 安全教育訓練 / TWNIC 技術組編撰
15 15
DNS 運作模式 名稱查詢之服務 分散式
自己的資料由自己維護,而其他人的資料則分散在全球 沒有一台電腦會有全部的 DNS 資料 全球最大的分散式資料庫系統 以樹狀結構的方式找到目的位址 (每個節點需要授權 ) http://www.root-servers.org/ 目前 Root Server 分布情形
穩定 負載平衡 :可由 Master 主機自由的複製到 Slave 主機 備援 : 一個網域名稱可有多台主機共同服務 (輸流查詢 )
樹狀結構 經由全球唯一的 Root Server 達到正確搜尋的目的 Root Server 共十三部,每一部可能都有許多 Mirror ( 如 f.roo
t-servers.net 有二三十部 ) 效率
使用 UDP 封包 查詢速度基本上都在 100 msec 內 經由 Cache 來加快 DNS 的查詢
* 摘自 TWNIC 97 年度 DNS 安全教育訓練 / TWNIC 技術組編撰
16 16
DNS 名稱表示法Fully Qualified Domain Name (FQDN)
WWW.EP.NET. 每一個名稱間以 . 隔開
一個 FQDN 可以對應到不同的位置或服務 一個名稱對應到多個 IP 稱為 Round Robin 一個名稱對應到不同的服務如 MX
每個 FQDN 如同 IP 一般皆具有唯一性 其限制
最多 127 層每個分支最長63 字元 (a-z, 0-9, -)總長 255 字元
注意結尾的點
* 摘自 TWNIC 97 年度 DNS 安全教育訓練 / TWNIC 技術組編撰
17 17
DNS 樹狀結構
為網域名稱或機器名稱為上一層與下一層的委任關係
Root
tw cn com net biz arpa …
com net gov …
twnic
www whois cdns Zone1
host1 host1
in-addr ip6 e164
211
72
211210
註 DNS 的搜尋由上往下
IPv4 反解
IPv6 反解
* 摘自 TWNIC 97 年度 DNS 安全教育訓練 / TWNIC 技術組編撰
18 18
運作原理 圖示
查詢w
ww
.twnic.net.
tw
是否屬於自己的 DN ? 是則回應結果
是否有 Cache 資料 ? 是則回應結果
皆非則向 root “.” 詢問 --->
得到的 DNS 資料及主機資料都會 Cache 以備下一次資料被查詢時使用
root
.tw
詢問 .tw 再哪 ?
回應 .tw 位址s
詢問 net.tw 再哪 ?
回應 net.tw 位址
net.tw詢問 twnic.net.tw 再哪 ?
回答 DNS 位置
詢問 www.twnic.net.tw 到底再哪 ?
twnic.net.tw回答 210.17.9.228
回應結果
RecursiveNon-Recusive
* 摘自 TWNIC 97 年度 DNS 安全教育訓練 / TWNIC 技術組編撰
19 19
運作原理 (1) 當被詢問到有關本域名之內的主機名稱的時候, D
NS伺服器會直接做出回答 (此一答案稱為權威回答 (Authoritative Answer) ,此一主機稱為權威主機 )
如果所查詢的主機名稱屬於其它域名的話,會檢查快取 (Cache) ,看看有沒有相關資料
如果沒有發現,則會轉向 root 伺服器查詢,然後root 伺服器會將該域名之授權 (authoritative)伺服器 (可能會超過一台 )的地址告知
* 摘自 TWNIC 97 年度 DNS 安全教育訓練 / TWNIC 技術組編撰
20 20
運作原理 (2) 本地伺服器然後會向其中的一台伺服器查詢,並將這些伺服器名
單存到記憶體中,以備將來之需(省卻再向 root查詢的步驟 )
遠方伺服器回應查詢
將查詢結果回應給客戶,並同時將結果儲存一個備份在自己的快取記憶裡面
如果 Cache資料的時間尚未過期之前再接到相同的查詢,則以存
放於快取記憶裡面的資料來做回應
* 摘自 TWNIC 97 年度 DNS 安全教育訓練 / TWNIC 技術組編撰
21 21
DNS 的平台 UNIX
常見為ISC BIND 共約發行四五十個版本 ( 4.X~9.X)建議使用 9.2.2 以上版本穩定,可靠,最多人使用
Windows可見於 Windows Server 級的版本簡單設定是其優點 GUI 設定根據 BIND 4.x 修改而來 ,並持續更新 Bind 可於 Widnows 上運作
* 摘自 TWNIC 97 年度 DNS 安全教育訓練 / TWNIC 技術組編撰
22 22
名稱伺服器類型 權威主機(Authoritative)
可管理或回答其網域名稱之答案 Master 主機指 DNS 所管轄的資料是從檔案 ( Zone File) 中而來 (twnic.net.tw)
Slave 主機指 DNS 所管轄的資料是以轄區傳送(Zone Transfer) 從 Master 而來 (ns.twnic.tw)
Cache-Only 主機 (168.95.1.1)即沒有管理任何的網域名稱,接受查詢與回應並將其快取以備使用
* 摘自 TWNIC 97 年度 DNS 安全教育訓練 / TWNIC 技術組編撰
23
名稱伺服器類型
Zone File
master
slave
slave
Internet
轄區傳送
轄區傳送
* 摘自 TWNIC 97 年度 DNS 安全教育訓練 / TWNIC 技術組編撰
24 24
正解 /反解之意義與原理 正解 (forward domain): 由機器名稱對應至 IP 反解 (reverse domain): 由 IP 對應至網域名稱
反解的 DNS Query 遠比正解高出許多向 ISP 提出 IP 建立反解的需求
正反解一致有其必要性雖然多數的系統不強求正反解一致性 ,但少數的公司或學校對此仍有要求
由來源 IP 查反解名稱,依結果再查正解,並檢驗其結果 有部分的 Mail Server也會使用正反解確認的機制來減少SPAM 的問題
* 摘自 TWNIC 97 年度 DNS 安全教育訓練 / TWNIC 技術組編撰
25
電腦的命名
26
電腦的命名 FYI 5 (RFC 1187)
Choosing a Name for Your Computer Don't overload other terms already in common use. Don't use long names. Don't use your own name. Use theme names. (e.g. aqua, crimson…etc.) Use real words. …etc.
27
電腦的命名 暨大資工系 (早期 )
數學家名稱 erdos.csie.ncnu.edu.tw (Paul Erdös) polya.csie.ncnu.edu.tw (George Polya) euclid.csie.ncnu.edu.tw (歐幾里德 )
28
電腦的命名 暨大資工系 (近期 )
克寧老師:幫電腦取名就要用女性名稱! lilina.csie.ncnu.edu.tw (鋼彈W) teto.csie.ncnu.edu.tw (風之谷 ) tima.csie.ncnu.edu.tw ( 大都會 /手塚治虫 )
29
電腦的命名您想好如何為自己的電腦取名了嗎?
我的選擇 feena.csie.ncnu.edu.tw
(戀愛小說女主角 )
30
實習
31
查詢網域名稱 Windows
Nslookup Unix
NslookupHostDig
32
架設網域名稱伺服器 (DNS Server)
以於 CentOS安裝 BIND 9 為例yum install bind bind-chroot
設定防火牆 Setup -> Firewall Configuration 關閉 SELinux ( 須重新啟動系統 ) 開放 53:udp
33
架設網域名稱伺服器 (DNS Server)
設定防火牆 Setup -> Firewall Configuration
12
34
架設網域名稱伺服器 (DNS Server)
設定防火牆
35
架設網域名稱伺服器 (DNS Server)
BIND 使用範例檔案 (課程提供 ) cd /var/named/chroot wget http://voip.com.ncnu.edu.tw/Summer2010/dns-sample.tar.gz tar zxvf dns-sample.tar.gz ln -s /var/named/chroot/etc/named.conf /etc/named.conf
36
架設網域名稱伺服器 (DNS Server)
測試用域名 : pcXXX.nm.ncnu.edu.tw 於 VM中使用 ifconfig 查詢,以此類推: 如為 10.10.36.1 ,則網域為 pc1.nm.ncnu.edu.tw 如為 10.10.36.20 ,則網域為 pc20.nm.ncnu.edu.tw 如為 10.10.36.161 ,則網域為 pc161.nm.ncnu.edu.tw
修改設定 /var/named/chroot/etc/named.local.zones /var/named/chroot/var/named/data/named.lug
37
架設網域名稱伺服器 (DNS Server)
named.local.zoneszone "pc161.nm.ncnu.edu.tw" {
type master;
file "/var/named/data/named.lug";
allow-query { any; };
allow-update { none; };
};
38
架設網域名稱伺服器 (DNS Server)
named.lug$TTL 300@ IN SOA ns.pc161.nm.ncnu.edu.tw. s97321537.ncnu.edu.tw. (
2010070801 ; serial300 ; refresh 5 min.60 ; retry 1 min.604800 ; expirt 1 weeks3600 ; negative ttl 1 hour)IN NS ns.pc161.nm.ncnu.edu.tw.IN MX 0 alice.pc161.nm.ncnu.edu.tw.
ns IN A 10.10.39.161
alice IN A 10.10.39.161alice IN TXT "This is Alice's computer!"alice IN HINFO "Pentium 4" "Linux"
selina IN A 10.10.21.198
39
免費資源免費網域名稱
台灣BBS聯盟 ( 提供免費 *.twbbs.org 域名 )
DynDNS ( 提供 *.dyndns.org 等域名與 DDNS)TWNIC *.idv.tw 14天免費推廣活動
DNS 代管 ( 域名需自備 )Hurricane Electric Hosted DNSXName.org
40
特別企劃!持續參與本校 Linux User Group ,將有機會擁有 *.ncnu.net 等域名!
身為暨大人,不可不擁有!
入手方式:密切注意 LUG後續活動!
Image Ref.: 簡單易懂的現代魔法 1 / 宮下未紀
41
Reference
TWNIC 97年度 DNS 安全教育訓練 / TWNIC 技術組編撰 RFC 1187 (FYI 5) Choosing a name for your computer.
D. Libes. August 1990. DNS & BIND 管理 / Paul Albitz, Cricket Liu 著 ; 蔣大偉
編譯 (O’Reilly 歐萊禮 2007)