of 70/70
résolution des noms cours réseaux SSI-4, février 2003 mars et octobre 2004, et ctobre 2005.

résolution des noms

  • View
    34

  • Download
    1

Embed Size (px)

DESCRIPTION

résolution des noms. cours réseaux SSI-4, février 2003 mars et octobre 2004, et ctobre 2005. documentation. RFC-2535 Donald Eastlake (2000) sécurisation du dns DNS-HOWTO Nicolai Langfeld (1999) mise en route de named - PowerPoint PPT Presentation

Text of résolution des noms

  • rsolution des noms cours rseauxSSI-4, fvrier 2003mars et octobre 2004, et ctobre 2005.

  • documentationRFC-2535 Donald Eastlake (2000) scurisation du dnsDNS-HOWTO Nicolai Langfeld (1999) mise en route de namedRFC 1034 Paul Mockapetris (1985) principe des espaces de nomsRFC 1035 Paul Mockapetris (1985) spcification techniques du DNS

  • plan Gnralits Rsolution : utilisateur Les espaces de noms Principe de rsolution Rsolution : serveur. Configuration de named attaques des serveurs de noms

  • Gnralits importance des noms gestion sur arpanet problmes service de noms de domaine

  • importance des nomsrhodes.univ-tln.fr193.49.96.1

  • gestion des noms sur arpanetLARPANET des annes 80 est constitu dune centaines d'ordinateurs relis en rseaux. Un unique fichier hosts.txt rassemble les correspondances entre nom d'hte et adresse IP.

    Le fichier est stock sur le SRI-NIC . Aprs chaque modification, des copies sont transfres par ftp vers les ordinateurs du rseau. (2) Stanford Research Institutes Network Information Center (1) Advanced Research Program Agency Network

  • hosts.txt file (extrait)HOSTS.TXTExamples of Host Table FormatNET : 10.0.0.0 : ARPANET :NET : 128.10.0.0 : PURDUE-CS-NET :GATEWAY : 10.0.0.77, 18.10.04 :MIT-GW.ARPA,MIT-GATEWAY : PDP-11 :MOS : IP/GW, EGP :HOST : 26.0.0.73, 10.0.0.51SRI-NIC.ARPA, SRI-NIC, NIC :DEC-2060 : TOPS-20 :TCP/TELNET, TCP/SMTPTCP/TIME, TCP/FTPTCP/ECHO, ICMP :HOST : 10.2.0.11 : SU-TAC.ARPA,SU-TAC : C/30 : TAC : TCP :m

  • Les inconvnients La taille du fichier hosts.txt augmente avec le nombre dhtes

    En 1983, le rseau amorce son expansion exponentielle.

    La frquence des mises--jours des tables devient proportionnelle au nombre de machines

    La consommation de bande passante est proportionnelle au carr du nombre dhtes

  • 1983-84 Paul Mockapetris et Jon Postel proposent et dveloppent une solution base de BD distribue Domain Name System

  • standardisationEn 1985, lIETF standardise le DNS au travers des RFC1034 et RFC1035.

    RR : Record Ressource Protocoles : udp + tcp.(1) Internet Entreprise Task Force

  • chronologie

    Dcembre 1973 HOSTS.TXT (RFC 606)Novembre 1983 invention du DNS (RFC 882)Octobre 1984 .com,.org, .mil, .gov, .edu, .netJanvier 1985 SRI dmarre le DNS serviceNovembre 1987 spcification DNS (RFCs 1034, 1035)Novembre 1988 .int domainAvril 1993 NSI/InterNIC Juin 1994 utilisations commerciales

  • 2 Gnralits Rsolution : utilisateur. objectifs fichiers rsolveurs trame dns : ping, ftp. Espace des noms

  • objectif Le but de la rsolution des noms sur un rseau est dassurer la conversion entre les noms dhtes et les adresses ip.machine.domaine.xz192.127.10.2rsolutioninverse

  • correspondance non bijective Un nom dhte peut dsigner plusieurs adresses ip pour des interfaces diffrentes Une adresse ip peut tre associe plusieurs noms alias par exemple : ftp.domaine.xz www.domaine.xzmail.domaine.xz

  • rsolveursLes fonctions :gethostbyname() gethostbyaddr() ralisent respectivement rsolution et rsolution inverse : rsolveurs.ex. programme lookup.c travaux-pratiques sur les sockets

  • lookup.c/* * exemple de programme * quivalent nslookup */#include #include #include #include #include void erreur( void ) { switch ( h_errno ) { case HOST_NOT_FOUND : puts("L'hte indiqu est inconnu."); break; case NO_ADDRESS : puts("Le nom est valide mais ne possde pas d'adresse IP."); break; case NO_RECOVERY : puts("Une erreur fatale du serveur de noms est apparue."); break; case TRY_AGAIN : puts("Try again"); } exit(1);

    int main(int argc, char *argv[]){ struct hostent *infos; struct in_addr addr;unsigned long *tempo;

    if (inet_aton(argv[1], &addr) != 0 ) { infos = gethostbyaddr( (char *)( &(addr.s_addr)),sizeof(addr.s_addr),AF_INET); if ( ! infos ) erreur(); printf("\nnom:%s",infos -> h_name); } else { infos = gethostbyname(argv[1]); if ( ! infos ) erreur(); tempo = (unsigned long int *)(infos -> h_addr); addr.s_addr = *tempo; printf("\nip:%s",inet_ntoa(addr)); } printf("\nbye...\n");}

  • fichiers applicationrsolveurserveur de nomsrseau

  • une rgle simple placer les correspondances courantes dans le fichier /etc/hostsrsolveur/etc/hostsrecherche des correspondance/etc/resolv.confdomaines et serveurs de nomsEx.de rsolveurs :nslookup, host, dig

  • /etc/hosts127.0.0.1localhost 194.214.66.29routeur-ft-utv194.214.246.33routeur-ft-coeur-toulon194.214.68.17routeur-ft-coeur-marseille1194.214.68.2routeur-ft-coeur-marseille2195.220.98.157routeur-rrthd-renater10.1.65.1 mail.univ-tln.frmail10.1.66.15 mail1.univ-tln.frmail110.1.66.16 mail2.univ-tln.frmail2192.168.168.1mail1-ics0192.168.169.1member1-icstcp0#10.1.65.53iut.univ-tln.friut10.1.65.106www2.univ-tln.frwww210.1.65.119listes.univ-tln.frlistes10.1.65.125comweb.univ-tln.frcomweb10.1.66.127 mail3192.168.168.2mail2-ics0192.168.169.2member2-icstcp0

  • /etc/resolv.conf# /etc/resolv.confsearch domaine.xz nameserver 10.1.65.1 www.univ.domaine.xzautre.frwww.univ.autre.frwww.univ.www.univ

  • systme des noms de domaineLe Systme des Noms de Domaine est un ensemble de rgles utilises par les logiciels pour tablir (entre autres choses) la correspondance entre des noms et des adresses. Il utilise un protocole de communication client/serveur udp/tcp sur le port domain 53.

  • exp. ftp epsilon.ut.fr.1038 > port-aci.ut.fr.ftp: port-aci.ut.fr.ftp > epsilon.ut.fr.1038: epsilon.ut.fr.1038 > port-aci.ut.fr.ftp: port-aci.ut.fr.32779 > epsilon.ut.fr.auth: epsilon.ut.fr.auth > port-aci.ut.fr.32779: port-aci.ut.fr.32770 > pcs.ut.fr.domain:15225+ PTR? 2.65.1.10.in-addr.arpa. pcs.ut.fr.domain > port-aci.ut.fr.32770:15225* 1/1/1 PTR epsilon.ut.fr. port-aci.ut.fr.32770 > pcs.ut.fr.domain:15226+ A? epsilon.ut.fr. pcs.ut.fr.domain > port-aci.ut.fr.32770:15226* 1/1/1 A epsilon.ut.fr port-aci.ut.fr.32770 > pcs.ut.fr.domain:15227+ PTR? 2.65.1.10.in-addr.arpa. pcs.ut.fr.domain > port-aci.ut.fr.32770:15227* 1/1/1 PTR epsilon.ut.fr. port-aci.ut.fr.ftp > epsilon.ut.fr.1038: epsilon.ut.fr.1038 > port-aci.ut.fr.ftp: arp who-has pcs.ut.fr tell port-aci.ut.fr arp reply pcs.ut.fr is-at 0:60:8:28:99:d8 epsilon.ut.fr.1038 > port-aci.ut.fr.ftp: port-aci.ut.fr.ftp > epsilon.ut.fr.1038:

  • 3

    Rsolution : utilisateur. espaces de noms organisation hierarchique top level domain smantique des noms zone zone fr. ressources Principe de rsolution.

  • hierarchietop level domaine

  • domaines gographiques.acAscension Island .adAndorra .aeUnited Arab Emirates .afAfghanistan .agAntigua and Barbuda .aiAnguilla .alAlbania .amArmenia .anNetherlands Antilles .aoAngola .aqAntarctica .arArgentina .asAmerican Samoa .atAustria .auAustralia .awAruba .azAzerbaijan .baBosnia and Herzegovina .bbBarbados .bdBangladesh .beBelgium .bfBurkina Faso .bgBulgaria .bhBahrain .biBurundi .bjBenin .bmBermuda .bnBrunei Darussalam .boBolivia .brBrazil .bsBahamas .btBhutan .bvBouvet Island .bwBotswana .byBelarus .bzBelize .caCanada .ccCocos Islands .cdCongo,.cfCentral African Rep.cgCongo, Republic of .chSwitzerland .ciCote d'Ivoire .ckCook Islands .clChile .cmCameroon .cnChina .coColombia .crCosta Rica .cuCuba .cvCap Verde .cxChristmas Island .cyCyprus .czCzech Republic .deGermany .djDjibouti .dkDenmark .dmDominica .doDominican Rep .dzAlgeria .ecEcuador .eeEstonia .egEgypt .ehWestern Sahara .erEritrea .esSpain .etEthiopia .fiFinland .fjFiji .fkFalkland Islands .fmMicronesia, .foFaroe Islands .frFrance

    .gaGabon .gdGrenada .geGeorgia .gfFrench Guiana .ggGuernsey .ghGhana .giGibraltar .glGreenland .gmGambia .gnGuinea .gpGuadeloupe .gqEquatorial Guinea .grGreece .gsSouth GeorgiaIslands .gtGuatemala .guGuam .gwGuinea-Bissau .gyGuyana .hkHong Kong .hmHeard and .hnHonduras .hrCroatia/Hrvatska .htHaiti .huHungary .idIndonesia .ieIreland .ilIsrael .imIsle of Man .inIndia .ioBritish IndiaOce. .iqIraq .irIran .isIceland .itItaly

    .jeJersey .jmJamaica .joJordan .jpJapan .keKenya .kgKyrgyzstan .khCambodia .kiKiribati .kmComoros .knSaint Kitts and Nevis .kpKorea, Democratic People's Republic .krKorea, Republic of .kwKuwait .kyCayman Islands .kzKazakhstan .laLao People's Democratic Republic .lbLebanon .lcSaint Lucia .liLiechtenstein .lkSri Lanka .lrLiberia .lsLesotho .ltLithuania .luLuxembourg .lvLatvia .lyLibyan Arab Jamahiriya .maMorocco .mcMonaco .mdMoldova, Republic of .mgMadagascar .mhMarshall Islands .mkMacedonia, Former Yugoslav Republic .mlMali .mmMyanmar .mnMongolia .moMacau

  • .mpNth Mariana Isls .mqMartinique .mrMauritania .msMontserrat .mtMalta .muMauritius .mvMaldives .mwMalawi .mxMexico .myMalaysia .mzMozambique .naNamibia .ncNew Caledonia .neNiger .nfNorfolk Island .ngNigeria .niNicaragua .nlNetherlands .noNorway .npNepal .nrNauru .nuNiue .nzNew Zealand .omOman .paPanama .pePeru .pfFrench Polynesia .pgPapua New Guinea .phPhilippines .pkPakistan .plPoland .pmSt. Pierre and Miquelon .pnPitcairn Island .prPuerto Rico .psPalestinian Territories .reReunion Island .roRomania .ruRussian Federation .rwRwanda .saSaudi Arabia .sbSolomon Islands .scSeychelles .sdSudan .seSweden .sgSingapore .shSt. Helena .siSlovenia .sjSvalbard and Jan Mayen Islands .skSlovak Republic .slSierra Leone .smSan Marino .snSenegal .soSomalia .srSuriname .stSao Tome and Principe .svEl Salvador .sySyrian Arab Republic .szSwaziland .tcTurks and Caicos Islands .tdChad .tfFrench Southern Territories .tgTogo .thThailand .tjTajikistan .tkTokelau .tmTurkmenistan .tnTunisia .toTonga .tpEast Timor .trTurkey .ttTrinidad and Tobago .tvTuvalu .twTaiwan .tzTanzania .uaUkraine .ugUganda .ukUnited Kingdom .umUS Minor Outlying Islands .usUnited States .uyUruguay .uzUzbekistan .vaHoly See.vcSaint Vincent and the Grenadines .veVenezuela .vgVirgin Islands .viVirgin Islands .vnVietnam .vuVanuatu .wfWallis and Futuna Islands .wsWestern Samoa .yeYemen .ytMayotte .yuYugoslavia .zaSouth Africa .zmZambia .zwZimbabwe

  • smantique des noms

  • zone Les niveaux suprieurs TLD sont organiss au niveau gographique et/ou thmatiques..fr .uz .uk .com .mil top level domainChaque nud dfinit un domaine : suite de noms spars par des points Certains nuds dfinissent une zone sous lautorit dun serveur de noms : SOA.start of a zone of authority (sphere of authority).

  • zone Une zone est un sous arbre de larbre des noms de domaines sur lesquels un NS possde une information complte.

    Une zone est gr par une entit administrative particulire. Lautorit sur ce sous-arbre est dlgue.

    La dlgation est totale : libre organisation, changements sans pravis et dlgation de sous-zones.

  • Network Information Center

  • zone fr. AFNIC (NIC France) 164059 domaines dlgus

    serveurs de la zone:

    dns.cs.wisc.edu 128.105.2.10dns.inria.fr 193.51.208.13dns.princeton.edu 128.112.129.15ns1.nic.fr 192.93.0.1ns2.nic.fr 192.93.0.4ns3.domain-registry.nl 193.176.144.6ns3.nic.fr 192.134.0.49ns-ext.vix.com 204.152.184.64

  • ressources Les nuds de lespace sont dcrits par des RR (record ressource) maintenus jour sur des serveurs autoriss : opration manuelle.

    Le rle des serveurs de noms est de propager ces informations en rpondant aux questions des rsolveurs.

  • RRUn enregistrement de ressource est compos de cinq champs :OWNERTYPECLASSTTLRDATAdomaine du RRIN, CHACNAMEHINFOMXNS PTRSOA.dure de vie en cacheSur 32-bitsACNAMEMXPTRSOA

  • RRs : valeurs de type

  • Principes de rsolution

    Espaces de noms Principes de rsolution format des questions parcours de larborescence commandes : nslookup, host et dig exemple format trame dns

  • Principes de rsolution La communication entre clients et serveurs des services des noms utilise le protocole dns partir des protocoles udp et tcp, usuellement le port 53.

    Le format des trames dns est identique dans le sens client/serveur (question) et serveur/client (rponse).

  • Parcours de larborescencePour dterminer ladresse ip correspondant au nom :www.security.com.fr.Il faut trouver :un NS (serveur de noms) de la racine .interroger pour un obtenir NS de fr.Interroger pour un NS de com.fr.Le NS de security.com.fr. identifie www.

  • commande host Elle permet dinterroger les ressources dun serveur arbitraire, voir aussi nslookup (obsolte) et dig (plus efficace). Les principales options :host a host serveurhost t ns domaine serveur host t soa domaine serveurhost -l domaine serveur

  • Exemple

    www.security.com.fr

    Partons dun des serveurs de la racine :a.root-servers.net.

  • # host -t ns fr. a.root-servers.net. Using domain server: a.root-servers.net. Address: 198.41.0.4#53 fr. name server DNS.INRIA.fr. fr. name server NS2.NIC.fr. fr. name server DNS.PRINCETON.EDU. fr. name server NS-EXT.VIX.COM. fr. name server NS3.DOMAIN-REGISTRY.NL. fr. name server DNS.CS.WISC.EDU. fr. name server NS1.NIC.fr. fr. name server NS3.NIC.fr. # host -t ns com.fr. a.root-servers.net. Using domain server : a.root-servers.net. Address: 198.41.0.4#53# host -t ns com.fr. DNS.INRIA.fr. Using domain server: DNS.INRIA.fr. Address: 193.51.208.13#53

  • # host -t ns com.fr. NS2.NIC.fr. Using domain server: NS2.NIC.fr. Address: 192.93.0.4#53 com.fr. name server ns2.nic.fr. com.fr. name server ns3.nic.fr. com.fr. name server ns1.nic.fr.

    # host -t ns infosecurity.com.fr. NS2.NIC.fr. Using domain server: Name: NS2.NIC.fr. Address:192.93.0.4#53 infosecurity.com.fr. name server ns1.imaginet.net. infosecurity.com.fr. name server ns0.imaginet.net.

  • #host -a www.infosecurity.com.fr;; opcode: QUERY, status: NOERROR, id: 56938;; flags: qr rd ra; QUERY:1, ANSWER:1, AUTHORITY: 2, ADDITIONAL: 2;; QUESTION SECTION:;www.infosecurity.com.fr. IN ANY;; ANSWER SECTION:www.infosecurity.com.fr. 403 IN A 62.4.73.140;; AUTHORITY SECTION:infosecurity.com.fr. 403 IN NS ns0.imaginet.net.infosecurity.com.fr. 403 IN NS ns1.imaginet.net.;; ADDITIONAL SECTION:ns0.imaginet.net. 328 IN A 195.68.0.11ns1.imaginet.net. 328 IN A 195.68.0.12

  • format QR dnsen-teterponsequestionautoritInformation

  • en-teteaa : rponse dautorit tc : message tronqurd : rcursion dsir ra : rcursion accepte:

  • une rponse type

    opcode: QUERY, status: NOERROR, id: 44073;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 3;; QUESTION SECTION:;rhodes.univ-tln.fr. INANY;; ANSWER SECTION:;rhodes.univ-tln.fr. 171663INMX 10 mail.univ-tln.fr.;rhodes.univ-tln.fr. 171663INA 193.49.96.1;; AUTHORITY SECTION:univ-tln.fr. 171538 INNSrhodes.univ-tln.fr.univ-tln.fr. 171538 INNSdns.inria.fr.;; ADDITIONAL SECTION:mail.univ-tln.fr. 171645 IN A 193.49.96.2rhodes.univ-tln.fr.171663 IN A 193.49.96.1dns.inria.fr.171330 IN A 193.51.208.13

  • tcpdump -ahost -a microbe.utv.fr 10.1.74.93.32769 > pcs.utv.fr.domain: 13405+ A? microbe.utv.fr. (37)pcs.utv.fr.domain > 10.1.74.93.32769: 13405* 1/1/1 A 10.1.65.3 (87)tcpdump a -s128 tait ncessaire

  • 4 principes de rsolution Rsolution : serveur. schma exemple de mise en cache zone fichier matre vers la racine opration de maintenance

  • schmafichiers maitresserveur de nomscachemmoirersolveurserveur de nomsdistant

  • exemple de trames

    host -a www.univ-mrs.fr

    17:54:30.178351 10.1.74.93.32769 > pcs.univ-tln.fr.domain: 23896+ A? www.univ-mrs.fr. (33)17:54:30.188351 pcs.univ-tln.fr.1025 > ns-ext.vix.com.domain: 41809+ A? www.univ-mrs.fr. OPT UDPsize=2048 (44)17:54:30.188351 pcs.univ-tln.fr.1025 > ns3.nic.fr.domain: 71+A? www.univ-mrs.fr. OPT UDPsize=2048 (44)17:54:30.198351 pcs.univ-tln.fr.1185 > 212.27.32.5.domain: 50676+ PTR? 64.184.152.204.in-addr.arpa. (45)17:54:30.488351 ns3.nic.fr.domain > pcs.univ-tln.fr.1025: 71- 0/3/4 (161)17:54:30.498351 pcs.univ-tln.fr.1025 > riluminy.univ-mrs.fr.domain: 5241+A? www.univ-mrs.fr. OPT UDPsize=2048 (44)17:54:30.538351 ns-ext.vix.com.domain > pcs.univ-tln.fr.1025: 41809- 0/3/4 (161)17:54:30.598351 212.27.32.5.domain > pcs.univ-tln.fr.1185: 50676* 1/3/5 (262)17:54:30.608351 pcs.univ-tln.fr.1185 > 212.27.32.5.domain: 50677+ PTR? 49.0.134.192.in-addr.arpa. (43)17:54:30.698351 riluminy.univ-mrs.fr.domain > pcs.univ-tln.fr.1025: 5241* 2/3/3 CNAME[|domain] (DF)17:54:30.708351 pcs.univ-tln.fr.1025 > ns-ext.vix.com.domain: 72 [1au]A? www.univ-aix.fr. OPT UDPsize=2048 (44)17:54:30.708351 pcs.univ-tln.fr.1025 > dns.cs.wisc.edu.domain: 36 [1au] A? www.univ-aix.fr. OPT UDPsize=2048 (44)17:54:30.708351 pcs.univ-tln.fr.1025 > dns.Princeton.EDU.domain: 44 [1au] A? www.univ-aix.fr. OPT UDPsize=2048 (44) (DF)17:54:30.708351 pcs.univ-tln.fr.1025 > ns1.nic.fr.domain: 22 A? www.univ-aix.fr. (33)17:54:30.708351 pcs.univ-tln.fr.1025 > ns3.domain-registry.nl.domain: 11 A? www.univ-aix.fr. (33)17:54:30.718351 pcs.univ-tln.fr.1025 > dns.inria.fr.domain: 7167 A? www.univ-aix.fr. (33)17:54:30.718351 pcs.univ-tln.fr.1025 > ns2.nic.fr.domain: 8275 A? www.univ-aix.fr. (33)17:54:30.818351 212.27.32.5.domain > pcs.univ-tln.fr.1185: 50677* 3/3/4 (266)17:54:30.828351 pcs.univ-tln.fr.1185 > 212.27.32.5.domain: 50678+ PTR? 2.1.124.139.in-addr.arpa. (42)17:54:31.008351 ns1.nic.fr.domain > pcs.univ-tln.fr.1025: 220/3/3 (154)17:54:31.018351 pcs.univ-tln.fr.1025 > romarin.univ-aix.fr.domain: 6995 [1au] A? www.univ-aix.fr. OPT UDPsize=2048 (44)17:54:31.038351 ns3.domain-registry.nl.domain > pcs.univ-tln.fr.1025: 1 0/3/3 (154)17:54:31.068351 ns2.nic.fr.domain > pcs.univ-tln.fr.1025: 82750/3/3 (154)17:54:31.078351 dns.inria.fr.domain > pcs.univ-tln.fr.1025: 71670/3/3 (154)17:54:31.098351 dns.Princeton.EDU.domain > pcs.univ-tln.fr.1025: 44 0/3/4 (165)17:54:31.108351 dns.cs.wisc.edu.domain > pcs.univ-tln.fr.1025: 36 FormErr% [0q] 0/0/0 (12)17:54:31.148351 212.27.32.5.domain > pcs.univ-tln.fr.1185: 50678* 1/3/3 (208)17:54:31.158351 pcs.univ-tln.fr.1185 > 212.27.32.5.domain: 50679+ PTR? 10.2.105.128.in-addr.arpa. (43)17:54:31.158351 ns-ext.vix.com.domain > pcs.univ-tln.fr.1025: 72- 0/3/4 (165)17:54:31.218351 romarin.univ-aix.fr.domain > pcs.univ-tln.fr.1025: 6995* 1/3/2 A www.univ-aix.fr (149)17:54:31.228351 pcs.univ-tln.fr.domain > 10.1.74.93.32769: 23896 2/3/0 CNAME[|domain]

    host -a www.univ-mrs.fr

    17:55:12.778351 10.1.74.93.32769 > pcs.univ-tln.fr.domain: 23480+ A? www.univ-mrs.fr. (33)17:55:12.788351 pcs.univ-tln.fr.domain > 10.1.74.93.32769: 23480 2/3/0 CNAME[|domain]

  • exemple de trame ( bis )

    17:55:24.888351 10.1.74.93.32769 > pcs.univ-tln.fr.domain: 44351+ A? www.unice.fr. 17:55:24.888351 pcs.univ-tln.fr.1025 > ns1.nic.fr.domain: 25697 [1au] A? www.unice.fr. 17:55:24.898351 pcs.univ-tln.fr.1025 > ns-ext.vix.com.domain: 824 [1au] A? www.unice.fr. 17:55:25.068351 ns1.nic.fr.domain > pcs.univ-tln.fr.1025: 25697-% 0/4/517:55:25.078351 pcs.univ-tln.fr.1025 > taloa.unice.fr.domain: 412 [1au] A? www.unice.fr. 17:55:25.078351 pcs.univ-tln.fr.1025 > diamant.unice.fr.domain: 206 [1au] A? www.unice.fr. 17:55:25.078351 pcs.univ-tln.fr.1025 > samoa.unice.fr.domain: 103 [1au] A? www.unice.fr.17:55:25.088351 pcs.univ-tln.fr.1025 > dns.inria.fr.domain: 35223 A? www.unice.fr. 17:55:25.088351 pcs.univ-tln.fr.1025 > taloa.unice.fr.domain: 49228 A? www.unice.fr.17:55:25.258351 ns-ext.vix.com.domain > pcs.univ-tln.fr.1025: 824- 0/4/5 17:55:25.298351 taloa.unice.fr.domain > pcs.univ-tln.fr.1025: 412* 1/4/4 A www.unice.fr 17:55:25.418351 diamant.unice.fr.domain > pcs.univ-tln.fr.1025: 206 FormErr% [0q] 0/0/0 17:55:25.458351 dns.inria.fr.domain > pcs.univ-tln.fr.1025: 35223*- 1/4/4 A www.unice.fr 17:55:25.508351 samoa.unice.fr.domain > pcs.univ-tln.fr.1025: 103* 1/4/4 A www.unice.fr 17:55:25.528351 taloa.unice.fr.domain > pcs.univ-tln.fr.1025: 49228* 1/4/3 A www.unice.fr 17:55:25.538351 pcs.univ-tln.fr.domain > 10.1.74.93.32769: 44351 1/4/0 A www.unice.fr

  • zone Une zone est contrle par un ensemble de serveurs disperss sur le rseau pour des raisons de scurit et defficacit. Le protocole DNS prvoit des communications de maintenance entre les serveurs dune mme zone.

  • fichiers matres Les fichiers matres dcrivent les RR dinitialisation dune zone. Ils renseignent sur les paramtres de maintenance : noms des serveurs secondaires, dlais relatifs aux informations caches. Ils contiennent les enregistrements des htes et sous-zones.

  • accs la racine; DiG 9.1.0 @mail.univ-tln.fr;; global options: printcmd;; Got answer:;; ->>HEADER
  • traceroute vers b.root.net 1 10.1.65.2 (10.1.65.2) -9609.347 ms 16066.935 ms 1.117 ms 2 192.168.254.254 (192.168.254.254) -15925.619 ms 134.055 ms * 3 marseille-3-a7.routers.proxad.net (213.228.3.77) 6357.025 ms -5951.160 ms 167.665 ms 4 cbv-12x-1-a8.routers.proxad.net (213.228.2.120) -9701.837 ms 179.317 ms 179.690 ms 5 blackd-th1-1-a6.routers.proxad.net (213.228.3.23) 191.751 ms -9884.244 ms * 6 above.FreeIX.net (213.228.3.234) -5367.553 ms * -5232.061 ms 7 pos8-0.cr1.cdg2.fr.mfnx.net (208.184.231.214) 179.796 ms -10084.249 ms 2169.050 ms 8 * so-5-0-0.cr1.lhr3.uk.mfnx.net (64.125.31.154) -14821.417 ms -10622.332 ms 9 so-0-0-0.cr2.lhr3.uk.mfnx.net (208.184.231.146) 15031.984 ms -14669.858 ms *10 so-7-0-0.cr2.lga1.us.mfnx.net (64.125.31.182) 286.134 ms -10766.261 ms *11 so-1-0-0.cr2.iad1.us.mfnx.net (208.184.233.65) -3340.357 ms -10896.270 ms *12 so-0-0-0.cr1.iad1.us.mfnx.net (208.185.0.109) -3080.557 ms -11014.251 ms *13 so-3-0-0.mpr1.iad5.us.mfnx.net (216.200.127.10) -2796.607 ms -11158.318 ms *14 64.124.112.29.cogentco.com (64.124.112.29) -2544.650 ms -11288.315 ms *15 p15-0.core02.dca01.atlas.cogentco.com (66.28.4.22) -2284.714 ms -11824.397 ms *16 p14-0.core01.atl01.atlas.cogentco.com (66.28.4.161) -1176.920 ms -11950.268 ms 249.668 ms17 p15-0.core01.jax01.atlas.cogentco.com (66.28.4.137) 259.664 ms 259.297 ms 259.603 ms18 p14-0.core01.mco01.atlas.cogentco.com (66.28.4.153) 259.708 ms -12328.227 ms 259.713 ms19 p14-0.core01.tpa01.atlas.cogentco.com (66.28.4.142) 259.624 ms -12506.352 ms 259.612 ms20 p5-0.core01.iah01.atlas.cogentco.com (66.28.4.45) 279.676 ms -12490.329 ms 439.550 ms21 p14-0.core01.san01.atlas.cogentco.com (66.28.4.6) 319.664 ms -12932.324 ms 309.681 ms22 p4-0.core01.lax01.atlas.cogentco.com (66.28.4.77) 399.614 ms 467.281 ms 479.609 ms23 g50.ba01.b000899-0.lax01.atlas.cogentco.com (66.28.6.246) 479.785 ms -13454.40824 * USC_ISI-Los-Nettos.demarc.cogentco.com (66.28.28.34) 392.916 ms 14372.774 ms25 dmz-isi.isi.edu (198.32.16.49) 383.627 ms -13842.088 ms 319.655 ms26 b.root-servers.net (128.9.0.107) 329.724 ms -14074.247 ms 319.634 ms

  • oprations de maintenanceNumro de srie : serialpriodicit des vrifications : refreshdlai entre deux tentatives : retrydure de validit : expire Les serveurs secondaires sont informs priodiquement ( refresh) du numro de srie de la zone. En cas daugmentation, ils contactent la zone pour mise jour.

  • 4 Rsolution : serveurs. configuration de named fichiers /etc/ .conf exemple de /etc/named.conf la zone racine zone locale zone bidon

  • /etc/named.confLes paramtres dinitialisation du daemon named du systme de noms de domaine du package BIND.Berkeley Internet Name Daemon. sont dcrits dans /etc/named.conf.

    Le fichier de configuration qui contient toutes les informations des zones. Voir aussi :/etc/hosts.conf hosts : files dns/etc/nsswitch.conf order hosts, bind multi on

  • /etc/named.conf// generated by named-bootconf.ploptions {directory "/var/named";};zone "." IN {type hint;file "named.ca";};zone "localhost" IN { type master; file "localhost.zone"; allow-update { none; };};

    zone "0.0.127.in-addr.arpa" IN { type master; file "named.local"; allow-update { none ; };};

    zone "univ-tln.fr" IN { type master; file "named.univ-tln.fr";};

    zone "65.1.10.in-addr.arpa" IN { type master; notify no; file "db.10.1";};

  • [email protected] IN SOA pcs.univ-tln.fr. postmaster.pcs.univ-tln.fr. ( 20020201; serie 28800; refresh; 14400; retry; 604800; expire; 86400 ) ;@ IN NS [email protected] IN MX 20 pcs.univ-tln.fr.

    ; serveur de nomspcs IN A [email protected] NS 16.7.27.1; noms canoniqueswww CNAME pcs.univ-tln.fr.; adresse ip des machines du reseau epsilon IN A 10.1.65.2microbe IN A 10.1.65.3

  • /var/named/[email protected] IN SOA pcs.univ-tln.fr. postmaster.pcs.univ-tln.fr. ( 20020201 28800; 14400; 604800; 86400 ) ;

    ;serveur de [email protected] IN NS pcs.univ-tln.fr. ;adresse ip inverse1 IN PTR pcs.univ-tln.fr. 2 IN PTR epsilon.univ-tln.fr.3 IN PTR microbe.univ-tln.fr.

  • rsolution inversehost -a -r 193.in-addr.arpa.Trying "193.in-addr.arpa."opcode: QUERY, status: NOERROR, id: 43026;; flags: qr ra; ;; QUERY: 1, ANSWER: 1, AUTHORITY: 6, ADDITIONAL: 8;; QUESTION SECTION:;193.in-addr.arpa.INANY;; ANSWER SECTION: 193.in-addr.arpa. 5662 IN SOA ns.ripe.net. 2003030201 43200 7200 1209600 7200;; AUTHORITY SECTION:193.in-addr.arpa.84858IN NSns.ripe.net.193.in-addr.arpa.84858IN NSNS.APNIC.net.193.in-addr.arpa.84858IN NSNS2.NIC.FR.193.in-addr.arpa.84858IN NSSUNIC.SUNET.SE.193.in-addr.arpa.84858IN NSAUTH03.NS.UU.net.193.in-addr.arpa.84858IN NSMUNNARI.OZ.AU.;; ADDITIONAL SECTION:ns.ripe.net.171259IN AAAA2001:610:240:0:193::193 ns.ripe.net.171285IN A 193.0.0.193NS.APNIC.net.171257IN A 203.37.255.97NS2.NIC.FR.171257IN A 192.93.0.4SUNIC.SUNET.SE.171257IN A 192.36.125.2AUTH03.NS.UU.net.171257IN A 198.6.1.83MUNNARI.OZ.AU.5685IN AAAA2001:388:c02:4000::1:21MUNNARI.OZ.AU.172494IN A 128.250.1.21Received 384 bytes from 212.27.32.5#53 in 195 ms

  • suitehost -a -r 96.49.193.in-addr.arpa. ns.ripe.netTrying "96.49.193.in-addr.arpa."Using domain server: ns.ripe.netAddress: 193.0.0.193#53Aliases: ;; opcode: QUERY, status: NOERROR, id: 46237;; flags: qr; ;; QUERY: 1, ANSWER: 0, AUTHORITY: 2, ADDITIONAL: 0;; QUESTION SECTION:;96.49.193.in-addr.arpa.INANY;; AUTHORITY SECTION:96.49.193.in-addr.arpa.86400INNSdns.inria.fr.96.49.193.in-addr.arpa.86400INNSrhodes.univ-tln.fr.Received 96 bytes from 193.0.0.193#53 in 194 ms

  • domaine in-addr.arpa.

  • attaque des serveurs de noms La prdictibilit des identificateurs de transactions est une faille de scurit importante. Elle donne lieu deux attaques :DNS spoofingDNS cache poisening

  • ns.pirate.frns.naif.frId0 : any mac.naif.fr ?Id0 : mac ptr 10.1.0.13 10.1.0.1310.1.0.2mac.naif.fr

  • ns.pirate.frns.naif.fr10.1.0.13Id0 q: A ? mc.dom.nil ns.dom.nilIdx q: A ? mc.dom.nil Idz r: 10.1.0.13