F. Castiglione 1 Servizi Internet di base Domain Name System Filippo Castiglione, IAC – CNR, Roma

1

F. Castiglione

Servizi Internet di base

Domain Name System

Filippo Castiglione, IAC – CNR, Roma

2

F. Castiglione

Argomenti

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

Breve storia

RFC di rif erimento

I l “parenting”

Lo spazio dei nomi a dominio in Lo spazio dei nomi a dominio in I nternet

Lo spazio dei nomi

L’albero dei nomi

L’albero per la risoluzione inversa

Risoluzione dei nomi

La gestione del dns

Nameserver primari e secondari

Caching

I l processo di risoluzione: Nameserver e Resolver

I l processo di risoluzione dei nomi

I root root-servers

Nameserver autoritativi

Le funzioni

Caratteristiche principali

I domini

La delega di autorità

Domini e zone: diff erenze

Domini e zone: i nameserver

Domain Name Service

3

F. Castiglione

Argomenti

22

23

24

25

26

27

I l fi le named.conf

I fi les di zona: risoluzione dirette e inversa

I l fi le named.local

I l fi le named.root

28

nslookup

host

dig

dnswalk

ndc

nsupdate

named-checkzone

named-checkconf

29

30 Bibliografi a-Sitografi a

Le versioni (4.x.y) e (8.x.y): diff erenze e similitudine

Piattaforme HW/ SW

Glossario termini

BI ND

Utility di supporto nella gestione di un nameserver

I nstallazione

Nuove funzionalità della versione 8.x.y

Caratteristiche salienti di BI ND 9

I fi le necessari

4

F. Castiglione

Breve storia

Gli indirizzi IP sono difficili da ricordare: vanno bene per la

comunicazione tra le macchine

modello centralizzato: agli albori di Internet l’associazione tra indirizzo IP e nomi delle macchine era registrata nel file HOSTS.TXT mantenuto presso SRI-NIC (Arpanet) (che veniva scaricato con FTP da tutti gli host [RFC-952, RFC- 953])

traffico e sovraccarico del server centralecollisioni dei nomiconsistenza dei dati gestiti centralmente

modello distribuito: all’inizio degli anni ‘80, l’aumento del numero degli host ha reso indispensabile l’adozione di un modello di gestione distribuita denominato Domain Name System (il sistema dei nomi di dominio)

5

F. Castiglione

6

F. Castiglione

Breve storia – RFC di riferimento

• Il “Domain Name System”

Creato nel 1983 da Paul Mockapetris (RFCs 1034 e 1035), modificato, aggiornato e migliorato da una miriade di successive RFCs

Domain Name System (DNS)definito presso ISI - USC 1984RFC 882, RFC 883, RFC 973 (obsolete)RFC 1034, RFC 1035, RFC 1123, RFC 1537, RFC 1912

7

F. Castiglione

Le funzioni

ad ogni risorsa TCP/IP può essere assegnato un nome simbolico

Sono necessari:

un metodo per associare al nome simbolico di una macchina

l’indirizzo (o gli indirizzi) IP: risoluzione diretta

un metodo per associare ad un indirizzo IP il nome simbolico

della macchina: risoluzione inversa

www.iac.cnr.it 150.146.2.21

diretta

inversa

8

F. Castiglione


Il DNS permette ad ogni organizzazione che ha accesso

ad Internet di:

amministrare la relazione tra nomi ed indirizzi del

proprio dominio in maniera autonoma ed indipendente

risolvere i nomi fuori del proprio dominio accedendoalle informazioni gestite da altre organizzazioni

9

F. Castiglione


database distribuitobasato sul modello client/server

tre componenti principali:spazio dei nomi e informazioni associate (Resource Record - RR)nameserver (application server che mantiene i dati)resolver (client per l’interrogazione del nameserver)

accesso veloce ai dati (database in memoria

centrale e meccanismo di caching)

10

F. Castiglione

Lo spazio dei nomi

Lo spazio dei nomi è organizzato secondo un modello gerarchico:il database del DNS ha una struttura logica “ad albero rovesciato”ciascun nodo dell’albero rappresenta un dominioogni dominio può essere suddiviso in altri domini: sottodominiogni nodo ha una etichetta che lo identifica rispetto al padre

La radice dell'albero è unica, e la sua etichetta è vuota. In certi casi si indica anche come “.”

La struttura dello spazio dei nomi:domini generali (gTLD, general Top Level Domain)domini nazionali (ccTLD)domini per la risoluzione inversa (arpa)

11

F. Castiglione

L’internet Domain Name Space

lo spazio dei nomi di Internet, per “tradizione” (RFC1591), è strutturato

secondo un modello misto organizzazionale/geografico

i Top-Level-Domain sono

domini generali “storici” di tipo organizzazionale (gTLD):com: organizzazioni commercialiedu: università e ricerca USAgov: organizzazioni governative USAmil: organizzazioni militari USAnet: provider, centri di interesse per l’Internet, ..org: organizzazioni non governativeint: organizzazioni internazionali, trattati, ...

domini nazionali, rappresentati dai codici ISO3166 di 2 lettere (ccTLD)

il dominio arpa

nuovi domini in corso di attivazione: .info, .museum, …

12

F. Castiglione

Top Level Domains

domini nazionali, rappresentati dai codici ISO 3166 di 2 lettere(ccTLD) (http://www.iana.org/cctld/cctld-whois.htm)

Il dominio .arpa (Address and Routing Parameter Area) viene usato solo per scopi di gestione dell’Internet-infrastructure.

I nuovi gTLD operativi sono:.biz: businesses (e.g. http://www.nic.biz).info: generale (e.g. http://www.nic.info).museum: musei (e.g. http://www.nic.museum/).name: persone (e.g. http://www.nic.name/)

I nuovi gTLD in corso di attivazione:.aero:compagnie aeree.coop: cooperative.pro: professioni

Esercizio: visitare il sito di IANA (Internet Assigned Number Authority) www.iana.org/cctld/cctld-whois.htm

13

F. Castiglione

Visione d’insieme: esempio

14

F. Castiglione

L’albero dei nomi

il “domain name” di ogni nodo è composto dalla sequenza delle etichette dal nodo a “ “ (root), separate da “.” (punto). Es: e.c.a, oppure

h.g.f.d.bun nome a dominio assoluto è detto anche “fully-qualified domain name” o FQDNil ”Distributed Information Tree” (albero dei nomi) definisce una gerarchia dei nomi che rende ogni nome a dominio completamente qualificato univoco in tutto l’albero

15

F. Castiglione

‘‘ ’’

Esempio

root

16

F. Castiglione

‘‘ ’’

uk info com

Esempio

root

Top Level Domains

17

F. Castiglione

‘‘ ’’

uk

acco

btibm

info com

ceu hotels

Esempio

root

Top Level Domains

First Level Domains

18

F. Castiglione

‘‘ ’’

uk

mpglaw

acco

btibm

info com

rf.mpglaw.co.uk

ceu hotels

sysa sysb

Esempio

root

Top Level Domains

First Level Domains

19

F. Castiglione

I domini

per dominio si intende il sottoalbero che inizia dal nodo con il domain name in questione

di solito, le foglie rappresentano il domain name di un host

ai nodi sono associate le informazioni relative a quel nome a dominio

(RR=resource record)entry di hostentry strutturali

20

F. Castiglione

La delega di autorita` (le zone)

Il DNS permette a organizzazioni dotate di un proprio dominio di:

amministrare la relazione nomi-indirizzi del proprio dominio in manieraautonoma ed indipendentedefinire le regole di naming all’interno del proprio dominiodelegare ad altri la gestione degli eventuali domini figli (sotto-domini)risolvere i nomi fuori del proprio dominio accedendo alle informazionigestite da altre organizzazioni

la decentralizzazione della responsabilità amministrativa è ottenutaattraverso il meccanismo della delega

il gestore del dominio “.” è InterNIC (per conto dello IANA/ICANN), chedelega l’autorità per la gestione dei TLD

Esercizio: leggere http://www.internic.net/faqs/domain-names.html

21

F. Castiglione

22

F. Castiglione

‘‘.’’

uk

mpglaw

acco

btibm

info com

rf.mpglaw.co.uk

ceu hotels

sysa sysb

gestito da IANA/ICANN

Esempio: distribuzione dell’autorita` (le zone)

23

F. Castiglione

‘‘ ’’

uk

mpglaw

acco

btibm

info com

rf.mpglaw.co.uk

ceu hotels

sysa sysb

gestito da Nominet

gestito da NSI



24

F. Castiglione

‘‘ ’’

uk

mpglaw

acco

btibm

info com

rf.mpglaw.co.uk

ceu hotels

sysa sysb

gestito da Nominet

gestito da NSI

gestito da Manches



25

F. Castiglione

Domini e zone: differenze

le informazioni sono mantenute nei nameserver

un nameserver mantiene i dati di un sottoinsieme dello spazio dei nomi: la zona

ogni zona può essere un sottodominio completo, cioè comprendere vari domini su una porzione del DIT (Directory Information Tree) non disgiunta

un nameserver può gestire più zone disgiunte

il dominio padre contiene solo puntatori alla sorgente dei dati dei suoi sottodomini

ciascuna zona contiene i nomi a dominio e i dati appartenenti ad certo dominio, esclusi i nomi e i dati dei sottodomini delegati ad altri

26

F. Castiglione

Divisione in zone: esempio

27

F. Castiglione

Domini e zone: I nameservers

la struttura gerarchica dello spazio dei nomi si riflette nella relazione tra i nameserver

il meccanismo della delega di autorità si basa sui seguenti principi:

ogni nameserver di un dominio, per essere conosciuto nel DNS, deve essere stato registrato dal nameserver del dominio di livello superiore. Questo crea la delega

una volta delegata l'autorità su una zona il nameserver “padre” perde ogni possibilità di modificare le informazioni dei domini contenuti nella zona delegata

i nameserver delegati possono essere più d'uno (è consigliato averne almeno due, in alcuni casi è addirittura obbligatorio), ma uno solo è quello che possiede la vera autorità perché gestisce i files contenenti le informazioni

28

F. Castiglione

Il “parenting” ovvero la creazione di sottodomini

Quando conviene?

Dipende da varie considerazioni:necessità di definire sottodomini per partizionare uno spazio dei nomi piatto e molto estesonecessità di distinguere l’affiliazione delle macchine di un dominionecessità di distribuire la gestione

quanti sottodomini definire?quando delegarne la gestione?che nome assegnare ai sottodomini?

Attenzione alla corretta gestione del meccanismo della

delega per garantire la risoluzione dei nomi per tutto il

dominio!!

29

F. Castiglione

I root-servers

i root-server sono i nameserver della “.“ (radice).sono essenziali al funzionamento del DNS perchè:

contengono le informazioni sui Top-Level-Domain e sui relativi nameserver ai quali ne delegano la gestionecontengono le informazioni per la risoluzione inversa (risoluzione indirizzo-nome)

ogni nameserver deve conoscere nomi ed indirizzi dei

root-server

la lista aggiornata dei root-server è mantenuta da InterNIC

ftp://ftp.rs.internic.net/domain/named.rootftp://ftp.nic.it/pub/DNS/named.root

Esercizio: ftp://ftp.rs.internic.net/domain/named.root

30

F. Castiglione

Root Name Server Operators

Nameserver Operated by:

A Verisign (US East Coast)

B University of S. California –Information Sciences Institute (US West Coast)

C PSI (US East Coast)

D University of Maryland (US East Coast)

E NASA (Ames) (US West Coast)

F Internet Software Consortium (US West Coast)

G U. S. Dept. of Defense (ARL) (US East Coast)

H U. S. Dept. of Defense (DISA) (US East Coast)

I KTH (SE)

J Verisign (US East Coast)

K RIPE-NCC (UK)

L ICANN (US West Coast)

M WIDE (JP)

31

F. Castiglione

Il processo di risoluzione

Il processo di risoluzione dei nomi a dominio è basato sul modello clientserver:

il nameserver (server) è un processo che ha il compito di fornire

“risposte autoritative” ad interrogazioni sui nomi definiti nell’ambito dei

domini per cui è autoritativo;

il resolver (client) è invece utilizzato dalle applicazioni che hanno

necessità di effettuare una risoluzione di nomi a dominio. Esso è

costituito da un insieme di routine di libreria (es. gethostbyname) che

sono in grado di colloquiare con i nameserver, interpretarne le risposte e restituire l’informazione al programma richiedente.

E’ possibile configurare il default domain di appartenenza, la lista dei nameserver da interrogare e la search list in un apposito file di configurazione (es. file /etc/resolv.conf su Unix)

32

F. Castiglione

Il processo di risoluzione dei nomi

Se il nome desiderato non è nella zona (o nella cache) del NS interrogato, si innesca il processo di risoluzione dei nomi

La richiesta di risoluzione risale il DIT (Directory Information Tree) fino alla radice e lo ridiscende fino ad arrivare ad un NS autoritativo la cui zona contiene il nome in questione e quindi anche i RR (resource record)

La risposta, opportunamente salvata in tutte le cache intermedie, viene infine passata dal resolver all’utente che aveva effettuato la richiesta

2 modalità di risoluzione dei nomi:

ricorsiva (il resolver chiede al nameserver; il nameserver pensa a tutto)

iterativa (il resolver si rivolge direttamente ai vari nameservers della

catena)

33

F. Castiglione

Il processo di risoluzione dei nomi

34

F. Castiglione

Nameserver autoritativi

un nameserver si definisce autoritativo quando è “in possesso dei dati” per una determinata zona dell’albero dei nomi

per un dominio vi possono essere più nameserver autoritativi

per avere una maggiore affidabilità è fortemente consigliato averne più di uno, localizzati in modo da ridurre il rischio di interruzione del servizio DNS

i nameserver autoritativi si dividono in:primarisecondari

35

F. Castiglione

Nameserver autoritativi primari e secondari

Un nameserver si definisce primario quando possiede i file delle

informazioni (“file di zona”) e pertanto in ogni zona vi sarà un solo

nameserver primarioUn nameserver si definisce secondario quando acquisisce, dal nameserver primario, i dati relativi alla zona mediante una procedura automatica denominata “zone-transfer”

i parametri che regolano il funzionamento della procedura di zone-transfer sono contenuti in uno specifico record del nameserver primario (record SOA)

procedura: /usr/dns/etc/named-xfer -z domname -f outputfile authNS

è necessario valutare attentamente il numero e la dislocazione dei

nameserver secondari in modo da ridurre il più possibile il rischio che problemi di connessione possano impedire la risoluzione dei nomi di un dominio

36

F. Castiglione

Perché avere più server DNS?

Ci sono tre ragioni per avere dei server secondari:RidondanzaLocazioni differentiRiduzione del carico sul primario

RidondanzaSono necessari almeno due nameservers per ogni zona, un primario ed almeno un secondario per ridondanza. Come ogni fault tolerant system, le macchine devono essere il più indipendenti possibile (e.g su reti differenti).

Locazioni differentiI secondary servers devono risiedere in locazioni differenti per poter gestire un alto numero di utenti (i.e. per evitare che gli utenti debbano comunicare su linee a bassa velocità).

Riduzione del carico sul primarioI name server secondary servono (ovviamente) anche per ridurre il carico di lavoro sul primary server.

37

F. Castiglione

Caching

ogni nameserver mantiene copia di tutte le informazioni di cui è

venuto a conoscenza

tali informazioni sono utilizzate durante il processo di risoluzione dei nomi

le risposte date dal nameserver sulla base della cache sono “not authoritative”

le informazioni nella cache di un nameserver rimangono valide

per un tempo limitato (Time-To-Live, TTL)

L’uso della cache può dare luogo a “temporanee” inconsistenze ma aumenta le performance del sistema

38

F. Castiglione

Come funziona il meccanismo di DNS caching?

1. La cache risiede su disco o in memoria centrale? I record della cache sono memorizzati nel segmento dati del processo name-server in memoria centrale. Quindi la cache viene persa se il processo viene terminato.

2. Per quanto tempo viene mantenuta l’informazione nella cache? Ogni DNS resource record in risposta ad una query, contiene un valore “time to live” (TTL) che determina per quanto tempo il server può tenere quel record in cache. Un valore tipico è 86400 secondi (24 hours).

3. C’è un limite massimo per la cache? La cache cresce senza limitazioni, specialmente su servers molto importanti, dove nuovi records vengono messi in cache ad una velocità superiore rispetto a quelli a cui scade il TTL. Sui sistemi UNIX, il processo name server finirà per raggiungere la sua massima dimensione in memoria e verrà terminato dal kernel di sistema. E’ quindi una buona idea schedulare un “cron job” che lo termina e lo fa ripartire settimanalmente.

39

F. Castiglione

L’albero per la risoluzione inversa (in-addr.arpa)

48.146.in-addr.arpa dominio65.48.146.in-addr.arpa sotto-dominio69.65.48.146.in-addr.arpa macchina

nomeindirizzo

Resource record = www.pippo.com

40

F. Castiglione

ping www.nominum.com.

Esempio: risoluzione dei nomi (ricorsiva)

• Il processo di risoluzione dei nomi step-by-step:

annie.west.sprockets.com

41

F. Castiglione

What’s the IP address of

www.nominum.com?

The Resolution Process

• La workstation annie chiede al suo name-server (quello configurato), dakota, l’indirizzo di www.nominum.com

ping www.nominum.com.

annie.west.com

dakota.west.com

42

F. Castiglione


• Il name-server dakota chiede al root-name-server, m, l’indirizzo di www.nominum.com

ping www.nominum.com.annie.west.com

m.root-servers.netdakota.west.com


www.nominum.com?

43

F. Castiglione


• Il root-server m riferisce a dakota il nome dei name-server com• Questo tipo di risposta si chiama un “referral”


m.root-servers.net

dakota.west.com

Here’s a list of the com name servers.

Ask one of them.

44

F. Castiglione


• Il name-server dakota chiede al name-server com, f, l’indirizzo di www.nominum.com




www.nominum.com?

f.gtld-servers.net

45

F. Castiglione


• Il name-server com, f, riferisce a dakota il nome del name-server di nominum.com


f.gtld-servers.net


Here’s a list of the nominum.com name servers.

Ask one of them.

46

F. Castiglione


• Il name-server dakota chiede ad uno dei server nominum.com, ns1.sanjose, l’indirizzo di www.nominum.com


f.gtld-servers.net


ns1.sanjose.nominum.net


www.nominum.com?

47

F. Castiglione


• Il name-server nominum.com, ns1.sanjose, risponde con l’indirizzo di www.nominum.com


f.gtld-servers.net


ns1.sanjose.nominum.netHere’s the IP address for

www.nominum.com

48

F. Castiglione

Here’s the IP address for

www.nominum.com


• Il name-server dakota risponde ad annie con l’indirizzo di www.nominum.com


f.gtld-servers.net

m.root-servers.net

dakota.west.com


49

F. Castiglione

ping ftp.nominum.com.

Resolution Process (Caching)

• Dopo la query precedente, il name-server dakota conosce:– I nomi e gli indirizzi IP dei name-servers com– I nomi e gli indirizzi IP dei name-servers nominum.com– L’indirizzo IP di www.nominum.com

• Rivediamo il processo di risoluzione

annie.west.com

50

F. Castiglione


What’s the IP address of ftp.nominum.com?


• La workstation annie chiede al suo name-server, dakota, dell’indirizzo ftp.nominum.com

annie.west.com

f.gtld-servers.net

m.root-servers.net

dakota.west.com


51

F. Castiglione


What’s the IP address of ftp.nominum.com?


• dakota ha memorizzato nella cache un record NS che indica che ns1.sanjose e` un name-server nominum.com, quindi gli chiede l’indirizzo di ftp.nominum.com

annie.west.com

f.gtld-servers.net



52

F. Castiglione



ftp.nominum.com


• Il name-server di nominum.com, ns1.sanjose, risponde con l’indirizzo di ftp.nominum.com

annie.west.com

f.gtld-servers.net



53

F. Castiglione



ftp.nominum.com


• Il name-server dakota risponde alla workstation annie con l’indirizzo di ftp.nominum.com

annie.west.com

f.gtld-servers.net



54

F. Castiglione

Servizi Internet di base

Domain Name System

BIND = Berkeley Internet Name Domain

55

F. Castiglione

Piattaforme HW/SW

hardware

disponibile su quasi tutte le attuali piattaforme (PC, Macintosh,

workstation, mainframe)

software

prodotti di pubblico dominio (BIND per Unix e WinNT/Win95,

MIND/NonSequitur per MacOS)

prodotti commerciali (MacDNS, QuickDNS Pro, distribuzione di WinNT server 4.0)

56

F. Castiglione

BIND

BIND (Berkeley Internet Name Domain)

è l’implementazione di nameserver più diffusa su Internet

sviluppata per Unix BSD, ne esistono porting per molti altri ambienti

spesso ne è inclusa una implementazione nel software di corredo di piattaforme Unix

vi sono attualmente tre versioni:

la versione “storica” 4.x.y (l’ultima rilasciata è la 4.9.7)

la versione 8.x.y (l’ultima rilasciata è la 8.2.2-P7)

la versione 9.x.y, ancora in fase di evoluzione

(http://www.isc.org/bind.html)

57

F. Castiglione

Le versioni (4.x.y) e (8.x.y): differenze e similitudine

File di configurazione

named.boot (4.x.y)formato ormai in uso da anniconsente solo alcune “personalizzazioni” generali

named.conf (8.x.y)nuovo formato (stile linguaggio c)funziona con IPv6 (http://www.6bone.net)consente una personalizzazione completa sia generale che zona per zona

Esiste una procedura in perl (named-bootconf.pl) per la

conversione dal formato 4.x.y al formato 8.x.y rimangono inalterati i file delle singole zone

58

F. Castiglione

Nuove funzionalita` della versione 8.x.y

meccanismo del notifypermette l’aggiornamento quasi in tempo reale tra nameserver primario e secondari

meccanismo di logging flessibile e personalizzabile, senza uso

obbligato del logging del sistema (syslog)

controllo degli accessi personalizzabile per zona

migliore ottimizzazione della memoria centralemigliora notevolmente le prestazioni del servizio, specialmente per

implementazioni con molte zone attive sulla stessa macchina

numero max di zone incrementato a 4.294.967.295 (232)

supporto iniziale di DNSSEC

supporto di WindowsNT

update dinamico (NSUPDATE) e incrementale (IXFR)

59

F. Castiglione

Caratteristiche salienti di BIND 9

Versione corrente 9.2.0 (rilasciata il 26 novembre 2001!!!)

Miglioramento delle funzionalità di update dinamico

Supporto per zone di elevate dimensioni (.com)

Miglioramento funzionalità DNSSec/TSIG

Miglioramento funzionalità IXFR

Views

RNDC - Remote Named Daemon Control

60

F. Castiglione

I file necessari

il file named.boot/named.confil file named.localil file named.root

i file per la risoluzione direttai file per la risoluzione inversa

61

F. Castiglione

Il file named.boot

Il file named.boot è il file di configurazione principale per il funzionamento del processo nameserver nella versione 4.x.y

§ definisce la directory in cui si trovano gli altri file necessari al funzionamento del nameserver (directory)§ definisce l’ordine con cui verranno restituiti gli indirizzi delle singole macchine (sortlist)§ definisce quali sono i nameserver che possono prelevare le zone per cui il nameserver è autoritativo (xfernets)§ definisce l’interfaccia locale della macchina su cui il processo nameserver è attivo§ definisce i domini per i quali il nameserver è autoritativo (primary e secondary)§ definisce i riferimenti ai root nameserver (cache)

62

F. Castiglione

Il file named.conf

il file named.conf è il file di configurazione principale per il funzionamento del processo nameserver dalla versione 8.x.y

§ definisce la directory in cui si trovano gli altri file necessari al funzionamento del nameserver (directory)§ definisce la raccolta dei dati statistici relativi al processo nameserver (statistics-interval)§ definisce l’ordine con cui verranno restituiti gli indirizzi delle singole macchine (topology)§ definisce quali sono i nameserver che possono prelevare le zone per cui il nameserver è autoritativo (allow-transfer)§ definisce il livello e la distribuzione dei “log” prodotti dal processo nameserver senza dover necessariamente il syslog del sistema (logging/channel/category)§ definisce l’interfaccia locale della macchina su cui il processo nameserver è attivo§ definisce i domini per i quali il nameserver è autoritativo (master e slave)§ definisce i riferimenti ai root nameserver (hint)

63

F. Castiglione

Esempio di file named.local

Il nameserver ha bisogno di questo file per utilizzare il loopback.Per convenzione questa rete è la 127.0.0.0 e l'indirizzo dellamacchina è il 127.0.0.1

Un esempio di file named.local:

@ IN SOA nameserver.cnr.it. dns-adm.nameserver.cnr.it (19941227 ;file Version #86400 ;Refresh = 1 day1800 ;Retry = 30 minutes604800 ;Expire = 6 days86400 ;Default TTL = 1 day)@ IN NS nameserver.cnr.it.1.0.0.127.in-addr.arpa. IN PTR localhost.

64

F. Castiglione

Utility di supporto nella gestione di un nameserver

nslookuphostdigdnswalkndcnsupdate

L’RFC 1713 descrive un insieme di tools che possono essere utili

per il debugging della configurazione di un nameserver

65

F. Castiglione

nslookup

è normalmente distribuito insieme al S.O. o alla distribuzione di BINDsi può utilizzare sia in modalità interattiva che tramite riga di comandodispone di aiuto in linea

filippo[132]->nslookupset query=anywww.iac.cnr.itServer: 150.146.2.25Address: 150.146.2.25#53

Non-authoritative answer:www.iac.cnr.it canonical name = silos.iac.rm.cnr.it.

Authoritative answers can be found from:iac.cnr.it nameserver = nameserver.cnr.it.iac.cnr.it nameserver = silos.rm.iac.cnr.it.nameserver.cnr.it internet address = 194.119.192.34silos.rm.iac.cnr.it internet address = 150.146.2.210

66

F. Castiglione

nslookup

Query per tutti i record del

dominio cnr.it

filippo[133]-> nslookupServer: 150.146.2.25Address: 150.146.2.25#53set query=anycnr.itNon-authoritative answer:cnr.it nameserver = dns3.nic.it.cnr.it nameserver = pdadr1.pd.cnr.it.cnr.it nameserver = dns.cnr.it.cnr.it origin = dns.cnr.it. mail addr = m.astolfi.src.cnr.it. serial = 2003080102 refresh = 86400 retry = 3600 expire = 604800 minimum = 86400cnr.it nameserver = dns2.cnr.it.

Authoritative answers can be found from:cnr.it nameserver = dns3.nic.it.cnr.it nameserver = pdadr1.pd.cnr.it.cnr.it nameserver = dns.cnr.it.cnr.it nameserver = dns2.cnr.it.dns3.nic.it internet address = 193.205.245.66pdadr1.pd.cnr.it internet address = 150.178.1.2dns.cnr.it internet address = 150.146.205.10dns2.cnr.it internet address = 150.146.81.2

67

F. Castiglione

host

è incluso nella distribuzione di BIND ed è inoltrereperibile presso:

ftp://ftp.nikhef.nl/pub/network/host.tar.Z

non è interattivo: si utilizza da linea di comandopermette di fare interrogazioni complesse a qualsiasinameserverè dotato di aiuto in linea

hosthost -i 146.48.65.3host -av cnr.it nameserver.cnr.ithost -avl cnr.it nameserver.cnr.ithost -t soa cnr.ithost -C cnr.it

68

F. Castiglione

host

Query per tutti i record del dominio cnr.it

filippo[137]-> host -va cnr.itQuery about cnr.it for record types ANYTrying cnr.it ...Query done, 6 answers, status: no errorThe following answer is not authoritative:cnr.it 542353 IN NS nameserver.cnr.itcnr.it 542353 IN NS dns2.nic.itcnr.it 542353 IN NS itgbox.iat.cnr.itcnr.it 542353 IN NS simon.cs.cornell.educnr.it 542353 IN NS ns1.surfnet.nlcnr.it 155353 IN SOA nameserver.cnr.it Daniele\.Vannozzi.iat.cnr.it (2000111801 ;serial (version)86400 ;refresh period (1 day)1800 ;retry interval (30 minutes)604800 ;expire time (1 week)86400 ;default ttl (1 day))……

69

F. Castiglione

host

filippo[137]->host -C ba.cnr.itba.cnr.it NS nameserver.cnr.it dns.ba.cnr.it postmaster.dns.ba.cnr.it(1999071201 3600 1800 604800 86400)ba.cnr.it NS dns.ba.cnr.it dns.ba.cnr.it postmaster.dns.ba.cnr.it(1999071202 3600 1800 604800 86400)!!! dns.ba.cnr.it has different serial than nameserver.cnr.itba.cnr.it NS area.area.ba.cnr.it dns.ba.cnr.it postmaster.dns.ba.cnr.it(1999071201 3600 1800 604800 86400)

70

F. Castiglione

dig

è incluso nella distribuzione di BINDnon è interattivo; si utilizza da linea di comandopermette di fare interrogazioni complesse ed aqualsiasi nameserverè dotato di aiuto in linea

dig -hdig dns.iat.cnr.itdig dns.iat.cnr.it mxdig -x 146.48.65.3dig @nameserver.cnr.it cnr.it

71

F. Castiglione

dig

Query per tutti i record del dominio cnr.it

filippo[137]->dig cnr.it

; <<>> DiG 9.1.3 <<>> cnr.it;; global options: printcmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31784;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:;cnr.it. IN A

;; AUTHORITY SECTION:cnr.it. 10800 IN SOA dns.cnr.it. m.astolfi.src.cnr.it. 2003080102 86400 3600 604800 86400

;; Query time: 11 msec;; SERVER: 150.146.2.25#53(150.146.2.25);; WHEN: Wed Aug 20 17:20:44 2003;; MSG SIZE rcvd: 78

72

F. Castiglione

dnswalk

DNS debuggerEsegue il trasferimento di zona di un dominio e necontrolla la consistenza dei dati (record NS e MX checorrispondono a CNAME, catena di CNAME, mancanzadella risoluzione inversa, ecc.)Riproduce sul file system la struttura del DNS per ildominio controllatoFa parte dei contrib del BIND (disponibile anche suhttp://www.visi.com/~barr/dnswalk/)Necessita del perl e di alcuni moduli addizionali(Net::DNS e IO::Socket). Le vecchie versioni di dnswalknecessitano anche di ‘dig’

73

F. Castiglione

dnswalk

Effettua controlli su:associazione tra record A e PTRuso dei CNAME (es. CNAME definito verso un altro CNAME)

uso dei record MX (MX definito verso CNAME o host inesistenti)

presenza di un solo nameserverutilizzo di caratteri non validi nei nomi a dominio (es: ‘_’ )

assenza del ‘.’ finale nei record PTR (125 IN PTR host.cnr.it )

lame delegations

74

F. Castiglione

dnswalk

Esempio:

dnswalk -F ba.cnr.it.Checking ba.cnr.it.Getting zone transfer of ba.cnr.it. from dns.ba.cnr.it...done.SOA=dns.ba.cnr.it contact=postmaster.dns.ba.cnr.itWARN: netrider.ba.cnr.it A 194.119.200.30: no PTR recordWARN: mailhost.ba.cnr.it CNAME bigarea.ba.cnr.it: unknownhostWARN: embnet.ba.cnr.it CNAME embnet.area.ba.cnr.it: CNAME(to area.area.ba.cnr.it)WARN: ftp.ba.cnr.it CNAME ftp.area.ba.cnr.it: CNAME (toarea.area.ba.cnr.it)0 failures, 6 warnings, 0 errors.

75

F. Castiglione

ndc

NDC consente di gestire il processo named evitando diinviare segnali con il comando KILL.

# ndc reload BA.CNR.ITZone is now scheduled for reloading.# ndc getpidmy pid is <241># ndc statusnamed 8.2.2-REL Sat Oct 30 17:27:21 MET [email protected]:/root/bind8_2_2/src/bin/namednumber of zones allocated: 256debug level: 0xfers running: 0xfers deferred: 0soa queries in progress: 0query logging is OFFserver is DONE primingserver IS NOT loading its configuration

76

F. Castiglione

nsupdate

Consente di aggiornare una zona in modo dinamico,inviando al named i RR da inserire.

# nsupdate> update add cc.dynamic.ba.cnr.it 3600 IN A 100.100.100.100causerà l’inserimento del RR ‘cc 3600 IN A 100.100.100.100’ nel dominiodynamic.ba.cnr.itL’operazione verrà registrata in un file di log (‘file di zona’.log) e propagata ai serversecondari:;BIND LOG V8[DYNAMIC_UPDATE] id 8347 from [193.204.191.39].1315 at 941985572 (named pid959):zone: origin dynamic.ba.cnr.it class IN serial 1999072501update: {add} cc.dynamic.ba.cnr.it. 3600 IN A 100.100.100.100;BIND LOG V8[INCR_SERIAL] from 1999072501 to 1999072502 Sat Nov 6 15:44:32 1999

77

F. Castiglione

nsupdate

ATTENZIONE! Il file di zona verrà riscritto (ogni 30 minuti oallo shutdown di named) con i RR aggiunti via nsupdate:file di zona prima di nsupdate @ IN SOA dns.ba.cnr.it. postmaster.dns.ba.cnr.it. (1999072501 3600 1800 604800 86400 )@ NS dns.ba.cnr.it.@ NS area.area.ba.cnr.it.;WWW IN A 194.119.200.100file di zona riscritto da named ;BIND DUMP V8$ORIGIN ba.cnr.it.dynamic 86400 IN NS dns.ba.cnr.it. ;Cl=486400 IN NS area.area.ba.cnr.it. ;Cl=486400 IN SOA dns.ba.cnr.it. postmaster.dns.ba.cnr.it. (1999072502 3600 1800 604800 86400 ) ;Cl=4$ORIGIN dynamic.ba.cnr.it.cc 3600 IN A 100.100.100.100 ;Cl=4WWW 86400 IN A 194.119.200.100 ;Cl=4

78

F. Castiglione

nsupdate

La possibilità di aggiornare una zona via nsupdate va abilitata innamed.conf mediante ‘allow-update’. Il controllo dell’accesso almomento è basato solo sull’indirizzo IP.

Esempio:zone "dynamic.ba.cnr.it" { type master; file "dom.dynamic.ba.cnr.it"; allow-update { 193.204.191.39; };};

79

F. Castiglione

Bibliografia

DNS and BIND, 3rd Edition (Paul Albitz & Cricket Liu, September 1998)RFC 882 - Domain Names, Concepts and Facilities (P. Mockapetris, Sep 1983)RFC 883 - Domain Names, Implementation and Specification (P. M., Nov 1983)RFC 973 - Domain System Changes and Observations (P. M., Jan 1986)RFC 974 - Mail Routing and the Domain System (C. Partridge, Jan 1986)RFC 1034 - Domain Names, Concepts and Facilities (P. M., Nov 1987)RFC 1035 - Domain Names, Implementation and Specification (P. M., Nov 1987)RFC 1123 - Requirements for Internet Hosts, Application and Support (IETF, Oct 1989)RFC 1340 - Assigned Numbers (ISI, Jul 1992)RFC 1537 - Common DNS Data File Configuration Errors (P. Beertema, Oct 1993)RFC 1591 - Domain Name System Structure and Delegation (J. Postel, Mar 1994)RFC 1713 - Tools for DNS debugging (A. Romao, Nov 1994)RFC 1912 - Common DNS Operational and Configuration Errors (D. Barr, Feb 1996)RFC 2317 - Classless IN-ADDR.ARPA delegation (BSD - ISC, Mar 1998)

80

F. Castiglione

Sitografia

http://www.isc.org : Bindhttp://www.ietf.org/rfc.html : RFC indexhttp://www.iana.org : IANAhttp://www.icann.org : ICANNhttp://www.nic.it : Registration Authority Italianahttp://www.dns.net/dnsrd/ : DNS Resources Directory

81

F. Castiglione

Materiale aggiuntivo

IL REGOLAMENTO CE 733/2002

SUL DOMINIO .EU

82

F. Castiglione

PRINCIPI GIURIDICI DI BASE

• Connotazione pubblicistica “storica” (almeno in USA) della gestione del DNS

• Afferenza al settore delle telecomunicazioni

• Problemi di conflitto con diritti della personalità e di proprietà industriale per domain names utilizzati a scopo distintivo (ma non per questo qualificazione in re ipsa del domain name come segno distintivo)

83

F. Castiglione

IL REGOLAMENTO

• Il dominio .eu è un ccTLD (ISO 3166-1)

• Si affianca ai ccTLD degli Stati Membri

• Base giuridica del regolamento comunitario: reti transfrontaliere (artt. 154 e 155 del Trattato)

• Conferma dell’afferenza al settore telecomunicazioni ed impostazione marcatamente pubblicistica

84

F. Castiglione

I SOGGETTI INTERESSATI

• Potrà registrare un dominio .eu:– qualsiasi impresa che abbia la propria sede legale,

amministrazione centrale o sede d'affari principale nel territorio della Comunità europea

– qualsiasi organizzazione stabilita nel territorio della Comunità europea

– qualsiasi persona fisica residente nel territorio della Comunità europea

• Quindi, tecnicamente, anche le amministrazioni pubbliche nazionali

85

F. Castiglione

LA GESTIONE

• Titolarità dei diritti e delle politiche di risoluzione dei conflitti in capo agli organismi comunitari

• Gestione del registro ed applicazione delle politiche di risoluzione dei conflitti affidata ad organismo non-profit stabilito nella UE

• Affidatario scelto con procedimento ad evidenza comunitaria, secondo le regole della “comitologia”

• Principi di gestione informati a qualità, efficienza, affidabilità ed accessibilità

86

F. Castiglione

LA REGISTRAZIONE

• Servizi di registrazione (registrar) affidati ad organismi terzi, che dovranno sottoscrivere un contratto di registrar con l’affidatario del registro

• Possibilità di registrazione per fasi per assicurare ai titolari di diritti preesistenti e agli organismi pubblici un adeguato lasso di tempo per la registrazione dei loro nomi

• Possibilità per gli Stati Membri di fornire liste di blocco di determinati nomi di interesse geografico o geopolitico nazionale

87

F. Castiglione

CONCLUSIONE

• Una operazione per fornire uno “spazio di registrazione” comune nella UE

• Un approccio equilibrato verso i diritti di proprietà industriale e della personalità, senza i velleitarismi delle proposte di legge nazionali

• Una possibilità in più anche per le amministrazioni pubbliche nazionali

88

F. Castiglione

fine

fine

Documents

F. Castiglione 1 Servizi Internet di base Domain Name System Filippo Castiglione, IAC – CNR, Roma