Vous êtes sur la page 1sur 70

rsolution des noms

cours rseaux SSI-4, fvrier 2003 mars et octobre 2004, et ctobre 2005.

documentation
RFC-2535 Donald Eastlake scurisation du dns DNS-HOWTO Nicolai Langfeld mise en route de named RFC 1034 Paul Mockapetris principe des espaces de noms RFC 1035 Paul Mockapetris spcification techniques du DNS (2000)
(1999) (1985) (1985)

plan
Gnralits Rsolution : utilisateur Les espaces de noms Principe de rsolution Rsolution : serveur. Configuration de named attaques des serveurs de noms

Gnralits
importance des noms gestion sur arpanet problmes service de noms de domaine

importance des noms


193.49.96.1
ftp.univ-tln.fr

rhodes.univ-tln.fr

mail.univ-tln.fr

www.univ-tln.fr

gestion des noms sur arpanet


LARPANET des annes 80 est constitu dune centaines d'ordinateurs relis en rseaux. Un unique fichier hosts.txt rassemble les correspondances entre nom d'hte et adresse IP. Le fichier est stock sur le SRI-NIC . Aprs chaque modification, des copies sont transfres par ftp vers les ordinateurs du rseau.

(1) Advanced Research Program Agency Network (2) Stanford Research Institutes Network Information Center

hosts.txt file (extrait)


HOSTS.TXT Examples of Host Table Format NET : 10.0.0.0 : ARPANET : NET : 128.10.0.0 : PURDUE-CS-NET : GATEWAY : 10.0.0.77, 18.10.04 : MIT-GW.ARPA, MIT-GATEWAY : PDP-11 : MOS : IP/GW, EGP : HOST : 26.0.0.73, 10.0.0.51 SRI-NIC.ARPA, SRI-NIC, NIC : DEC-2060 : TOPS-20 : TCP/TELNET, TCP/SMTP TCP/TIME, TCP/FTP TCP/ECHO, ICMP : HOST : 10.2.0.11 : SU-TAC.ARPA, SU-TAC : C/30 : TAC : TCP :m

Les inconvnients
La taille du fichier hosts.txt augmente avec le nombre dhtes
En 1983, le rseau amorce son expansion exponentielle. La frquence des mises--jours des tables devient proportionnelle au nombre de machines La consommation de bande passante est proportionnelle au carr du nombre dhtes

J. Postel

P. Mockapetris

1983-84 Paul Mockapetris et Jon Postel proposent et dveloppent une solution base de BD distribue Domain Name System

standardisation
En 1985, lIETF standardise le DNS au travers des RFC1034 et RFC1035.

RR : Record Ressource Protocoles : udp + tcp.


(1) Internet Entreprise Task Force

chronologie
Dcembre 1973 Novembre 1983 Octobre 1984 Janvier 1985 Novembre 1987 HOSTS.TXT (RFC 606) invention du DNS (RFC 882) .com,.org, .mil, .gov, .edu, .net SRI dmarre le DNS service spcification DNS (RFCs 1034, 1035) .int domain NSI/InterNIC utilisations commerciales

Novembre 1988 Avril 1993 Juin 1994

2
Gnralits Rsolution : utilisateur.
objectifs fichiers rsolveurs trame dns : ping, ftp.

Espace des noms

objectif
Le but de la rsolution des noms sur un rseau est dassurer la conversion entre les noms dhtes et les adresses ip.
machine.domaine.xz inverse

rsolution
192.127.10.2

correspondance non bijective


Un nom dhte peut dsigner plusieurs adresses ip pour des interfaces diffrentes Une adresse ip peut tre associe plusieurs noms alias par exemple :
ftp.domaine.xz www.domaine.xz mail.domaine.xz

rsolveurs
Les fonctions :
gethostbyname() gethostbyaddr()

ralisent respectivement rsolution et rsolution inverse : rsolveurs. ex. programme lookup.c travauxpratiques sur les sockets

/* * exemple de programme * quivalent nslookup */ #include <stdio.h> #include <netdb.h> #include <sys/socket.h> #include <netinet/in.h> #include <arpa/inet.h> void erreur( void ) { switch ( h_errno ) { case HOST_NOT_FOUND : puts("L'hte indiqu est inconnu."); break; case NO_ADDRESS : puts("Le nom est valide mais ne possde pas d'adresse IP."); break; case NO_RECOVERY : puts("Une erreur fatale du serveur de noms est apparue."); break; case TRY_AGAIN : puts("Try again"); } exit(1);

lookup.c

int main(int argc, char *argv[]) { struct hostent *infos; struct in_addr addr; unsigned long *tempo; if (inet_aton(argv[1], &addr) != 0 ) { infos = gethostbyaddr( (char *)( &(addr.s_addr)),sizeof(addr.s_addr),AF_INET); if ( ! infos ) erreur(); printf("\nnom:%s",infos -> h_name); } else { infos = gethostbyname(argv[1]); if ( ! infos ) erreur(); tempo = (unsigned long int *)(infos -> h_addr); addr.s_addr = *tempo; printf("\nip:%s",inet_ntoa(addr)); } printf("\nbye...\n"); }

fichiers
rseau

application

rsolveur

serveur de noms

une rgle simple


Ex.de rsolveurs : nslookup, host, dig

/etc/hosts recherche des correspondance

rsolveur

placer les correspondances courantes dans le fichier /etc/hosts

/etc/resolv.conf domaines et serveurs de noms

127.0.0.1 194.214.66.29 194.214.246.33 194.214.68.17 194.214.68.2 195.220.98.157 10.1.65.1 10.1.66.15 10.1.66.16 192.168.168.1 192.168.169.1 #10.1.65.53 10.1.65.106 10.1.65.119 10.1.65.125 10.1.66.127 192.168.168.2 192.168.169.2

/etc/hosts localhost
routeur-ft-utv routeur-ft-coeur-toulon routeur-ft-coeur-marseille1 routeur-ft-coeur-marseille2 routeur-rrthd-renater mail.univ-tln.fr mail mail1.univ-tln.fr mail1 mail2.univ-tln.fr mail2 mail1-ics0 member1-icstcp0 iut.univ-tln.fr iut www2.univ-tln.fr www2 listes.univ-tln.fr listes comweb.univ-tln.fr comweb mail3 mail2-ics0 member2-icstcp0

/etc/resolv.conf
# /etc/resolv.conf search domaine.xz autre.fr nameserver 10.1.65.1 www.univ
www.univ.domaine.xz www.univ. www.univ.autre.fr

systme des noms de domaine


Le Systme des Noms de Domaine est un ensemble de rgles utilises par les logiciels pour tablir (entre autres choses) la correspondance entre des noms et des adresses. Il utilise un protocole de communication client/serveur udp/tcp sur le port domain 53.

exp. ftp
epsilon.ut.fr.1038 > port-aci.ut.fr.ftp: port-aci.ut.fr.ftp > epsilon.ut.fr.1038: epsilon.ut.fr.1038 > port-aci.ut.fr.ftp: port-aci.ut.fr.32779 > epsilon.ut.fr.auth: epsilon.ut.fr.auth > port-aci.ut.fr.32779: port-aci.ut.fr.32770 > pcs.ut.fr.domain:15225+ PTR? 2.65.1.10.in-addr.arpa. pcs.ut.fr.domain > port-aci.ut.fr.32770:15225* 1/1/1 PTR epsilon.ut.fr. port-aci.ut.fr.32770 > pcs.ut.fr.domain:15226+ A? epsilon.ut.fr. pcs.ut.fr.domain > port-aci.ut.fr.32770:15226* 1/1/1 A epsilon.ut.fr port-aci.ut.fr.32770 > pcs.ut.fr.domain:15227+ PTR? 2.65.1.10.in-addr.arpa. pcs.ut.fr.domain > port-aci.ut.fr.32770:15227* 1/1/1 PTR epsilon.ut.fr. port-aci.ut.fr.ftp > epsilon.ut.fr.1038: epsilon.ut.fr.1038 > port-aci.ut.fr.ftp: arp who-has pcs.ut.fr tell port-aci.ut.fr arp reply pcs.ut.fr is-at 0:60:8:28:99:d8 epsilon.ut.fr.1038 > port-aci.ut.fr.ftp: port-aci.ut.fr.ftp > epsilon.ut.fr.1038:

3
Rsolution : utilisateur. espaces de noms
organisation hierarchique top level domain smantique des noms zone zone fr. ressources

Principe de rsolution.

hierarchie
top level domaine

domaines gographiques
.acAscension Island .adAndorra .aeUnited Arab Emirates .afAfghanistan .agAntigua and Barbuda .aiAnguilla .alAlbania .amArmenia .anNetherlands Antilles .aoAngola .aqAntarctica .arArgentina .asAmerican Samoa .atAustria .auAustralia .awAruba .azAzerbaijan .baBosnia and Herzegovina .bbBarbados .bdBangladesh .beBelgium .bfBurkina Faso .bgBulgaria .bhBahrain .biBurundi .bjBenin .bmBermuda .bnBrunei Darussalam .boBolivia .brBrazil .bsBahamas .btBhutan .bvBouvet Island .bwBotswana .byBelarus .bzBelize .caCanada .ccCocos Islands .cdCongo, .cfCentral African Rep .cgCongo, Republic of .chSwitzerland .ciCote d'Ivoire .ckCook Islands .clChile .cmCameroon .cnChina .coColombia .crCosta Rica .cuCuba .cvCap Verde .cxChristmas Island .cyCyprus .czCzech Republic .deGermany .djDjibouti .dkDenmark .dmDominica .doDominican Rep .dzAlgeria .ecEcuador .eeEstonia .egEgypt .ehWestern Sahara .erEritrea .esSpain .etEthiopia .fiFinland .fjFiji .fkFalkland Islands .fmMicronesia, .foFaroe Islands .frFrance .gaGabon .gdGrenada .geGeorgia .gfFrench Guiana .ggGuernsey .ghGhana .giGibraltar .glGreenland .gmGambia .gnGuinea .gpGuadeloupe .gqEquatorial Guinea .grGreece .gsSouth Georgia Islands .gtGuatemala .guGuam .gwGuinea-Bissau .gyGuyana .hkHong Kong .hmHeard and .hnHonduras .hrCroatia/Hrvatska .htHaiti .huHungary .idIndonesia .ieIreland .ilIsrael .imIsle of Man .inIndia .ioBritish IndiaOce. .iqIraq .irIran .isIceland .itItaly .jeJersey .jmJamaica .joJordan .jpJapan .keKenya .kgKyrgyzstan .khCambodia .kiKiribati .kmComoros .knSaint Kitts and Nevis .kpKorea, Democratic People's Republic .krKorea, Republic of .kwKuwait .kyCayman Islands .kzKazakhstan .laLao People's Democratic Republic .lbLebanon .lcSaint Lucia .liLiechtenstein .lkSri Lanka .lrLiberia .lsLesotho .ltLithuania .luLuxembourg .lvLatvia .lyLibyan Arab Jamahiriya .maMorocco .mcMonaco .mdMoldova, Republic of .mgMadagascar .mhMarshall Islands .mkMacedonia, Former Yugoslav Republic .mlMali .mmMyanmar .mnMongolia .moMacau

.mpNth Mariana Isls .mqMartinique .mrMauritania .msMontserrat .mtMalta .muMauritius .mvMaldives .mwMalawi .mxMexico .myMalaysia .mzMozambique .naNamibia .ncNew Caledonia .neNiger .nfNorfolk Island .ngNigeria .niNicaragua .nlNetherlands .noNorway .npNepal .nrNauru .nuNiue .nzNew Zealand .omOman .paPanama .pePeru .pfFrench Polynesia .pgPapua New Guinea .phPhilippines .pkPakistan .plPoland .pmSt. Pierre and Miquelon .pnPitcairn Island .prPuerto Rico .psPalestinian Territories

.reReunion Island .roRomania .ruRussian Federation .rwRwanda .saSaudi Arabia .sbSolomon Islands .scSeychelles .sdSudan .seSweden .sgSingapore .shSt. Helena .siSlovenia .sjSvalbard and Jan Mayen Islands .skSlovak Republic .slSierra Leone .smSan Marino .snSenegal .soSomalia .srSuriname .stSao Tome and Principe .svEl Salvador .sySyrian Arab Republic .szSwaziland .tcTurks and Caicos Islands .tdChad .tfFrench Southern Territories .tgTogo .thThailand .tjTajikistan .tkTokelau .tmTurkmenistan .tnTunisia .toTonga .tpEast Timor .trTurkey

.ttTrinidad and Tobago .tvTuvalu .twTaiwan .tzTanzania .uaUkraine .ugUganda .ukUnited Kingdom .umUS Minor Outlying Islands .usUnited States .uyUruguay .uzUzbekistan .vaHoly See .vcSaint Vincent and the Grenadines .veVenezuela .vgVirgin Islands .viVirgin Islands .vnVietnam .vuVanuatu .wfWallis and Futuna Islands .wsWestern Samoa .yeYemen .ytMayotte .yuYugoslavia .zaSouth Africa .zmZambia .zwZimbabwe

smantique des noms

com

edu

fr

chez
www

com
infosecurity

univ-tln
maill www

www.infosecurity.com.fr.

zone

Les niveaux suprieurs TLD sont organiss au niveau gographique et/ou thmatiques. .fr .uz .uk .com .mil top level domain Chaque nud dfinit un domaine : suite de noms spars par des points Certains nuds dfinissent une zone sous lautorit dun serveur de noms : SOA. start of a zone of authority (sphere of authority).

zone
Une zone est un sous arbre de larbre des noms de domaines sur lesquels un NS possde une information complte. Une zone est gr par une entit administrative particulire. Lautorit sur ce sous-arbre est dlgue. La dlgation est totale : libre organisation, changements sans pravis et dlgation de sous-zones.

Network Information Center

zone fr.
AFNIC (NIC France) 164059 domaines dlgus serveurs de la zone: dns.cs.wisc.edu dns.inria.fr dns.princeton.edu ns1.nic.fr ns2.nic.fr ns3.domain-registry.nl ns3.nic.fr ns-ext.vix.com 128.105.2.10 193.51.208.13 128.112.129.15 192.93.0.1 192.93.0.4 193.176.144.6 192.134.0.49 204.152.184.64
1 2 3 4 5 6 7 8 9 10 .fr .com.fr .tm.fr .asso.fr .nom.fr .experts-comptables.fr avocat.fr .presse.fr .cci.fr .gouv.fr 139941 7886 6238 5664 2237 442 284 196 192 183

ressources
Les nuds de lespace sont dcrits par des RR (record ressource) maintenus jour sur des serveurs autoriss : opration manuelle. Le rle des serveurs de noms est de propager ces informations en rpondant aux questions des rsolveurs.

RR
Un enregistrement de ressource est compos de cinq champs :
OWNER TYPE CLASS TTL RDATA

domaine du RR

A CNAME HINFO MX NS PTR SOA.

IN, CH dure de vie en cache Sur 32-bits

A CNAME MX PTR SOA

RRs : valeurs de type


A
CNAME NS SOA PTR

adresse dhote
nom canonique serveur autoris sphre dautorit pointeur vers lespace des noms

Principes de rsolution
Espaces de noms Principes de rsolution
format des questions parcours de larborescence commandes : nslookup, host et dig exemple format trame dns

Principes de rsolution
La communication entre clients et serveurs des services des noms utilise le protocole dns partir des protocoles udp et tcp, usuellement le port 53. Le format des trames dns est identique dans le sens client/serveur (question) et serveur/client (rponse).

Parcours de larborescence
Pour dterminer ladresse ip correspondant au nom : www.security.com.fr. Il faut trouver : un NS (serveur de noms) de la racine . interroger pour un obtenir NS de fr. Interroger pour un NS de com.fr. Le NS de security.com.fr. identifie www.

commande host
Elle permet dinterroger les ressources dun serveur arbitraire, voir aussi nslookup (obsolte) et dig (plus efficace). Les principales options :
host host host host a host serveur t ns domaine serveur t soa domaine serveur -l domaine serveur

Exemple
www.security.com.fr Partons dun des serveurs de la racine : a.root-servers.net.

# host -t ns fr. a.root-servers.net. Using domain server: a.root-servers.net. Address: 198.41.0.4#53 fr. name server DNS.INRIA.fr. fr. name server NS2.NIC.fr. fr. name server DNS.PRINCETON.EDU. fr. name server NS-EXT.VIX.COM. fr. name server NS3.DOMAIN-REGISTRY.NL. fr. name server DNS.CS.WISC.EDU. fr. name server NS1.NIC.fr. fr. name server NS3.NIC.fr. # host -t ns com.fr. a.root-servers.net. Using domain server : a.root-servers.net. Address: 198.41.0.4#53 # host -t ns com.fr. DNS.INRIA.fr. Using domain server: DNS.INRIA.fr. Address: 193.51.208.13#53

# host -t ns com.fr. NS2.NIC.fr. Using domain server: NS2.NIC.fr. Address: 192.93.0.4#53 com.fr. name server ns2.nic.fr. com.fr. name server ns3.nic.fr. com.fr. name server ns1.nic.fr.

# host -t ns infosecurity.com.fr. NS2.NIC.fr. Using domain server: Name: NS2.NIC.fr. Address:192.93.0.4#53 infosecurity.com.fr. name server ns1.imaginet.net. infosecurity.com.fr. name server ns0.imaginet.net.

#host -a www.infosecurity.com.fr ;; opcode: QUERY, status: NOERROR, id: 56938 ;; flags: qr rd ra; QUERY:1, ANSWER:1, AUTHORITY: 2, ADDITIONAL: 2 ;; QUESTION SECTION: ;www.infosecurity.com.fr. IN ANY ;; ANSWER SECTION: www.infosecurity.com.fr. 403 IN A 62.4.73.140 ;; AUTHORITY SECTION: infosecurity.com.fr. 403 IN NS ns0.imaginet.net. infosecurity.com.fr. 403 IN NS ns1.imaginet.net. ;; ADDITIONAL SECTION: ns0.imaginet.net. 328 IN A 195.68.0.11 ns1.imaginet.net. 328 IN A 195.68.0.12

format QR dns
en-tete question rponse autorit Information

en-tete

1 2

identificateur de la requte qr opcode aa tc rd ra Z rcode QDCOUNT ANCOUNT NCOUNT ARCOUNT nombre dentres dans la section question nombre de RR dans la rponse nombre de NS dans la rponse nombre de RR en information
aa : rponse dautorit tc : message tronqu rd : rcursion dsir ra : rcursion accepte:

une rponse type


opcode: QUERY, status: NOERROR, id: 44073 ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 3 ;; QUESTION SECTION: ;rhodes.univ-tln.fr. IN ANY ;; ANSWER SECTION: ;rhodes.univ-tln.fr. 171663 IN MX 10 mail.univ-tln.fr. ;rhodes.univ-tln.fr. 171663 IN A 193.49.96.1 ;; AUTHORITY SECTION: univ-tln.fr. 171538 IN NS rhodes.univ-tln.fr. univ-tln.fr. 171538 IN NS dns.inria.fr. ;; ADDITIONAL SECTION: mail.univ-tln.fr. 171645 IN A 193.49.96.2 rhodes.univ-tln.fr. 171663 IN A 193.49.96.1 dns.inria.fr. 171330 IN A 193.51.208.13

tcpdump -a
host -a microbe.utv.fr 10.1.74.93.32769 > pcs.utv.fr.domain: 13405+ A? microbe.utv.fr. (37) pcs.utv.fr.domain > 10.1.74.93.32769: 13405* 1/1/1 A 10.1.65.3 (87)

tcpdump a -s128 tait ncessaire

4
principes de rsolution Rsolution : serveur.
schma exemple de mise en cache zone fichier matre vers la racine opration de maintenance

schma
rsolveur serveur de noms serveur de noms distant

fichiers maitres

cache mmoire

exemple de trames
host -a www.univ-mrs.fr
17:54:30.178351 10.1.74.93.32769 > pcs.univ-tln.fr.domain: 17:54:30.188351 pcs.univ-tln.fr.1025 > ns-ext.vix.com.domain: 17:54:30.188351 pcs.univ-tln.fr.1025 > ns3.nic.fr.domain: 17:54:30.198351 pcs.univ-tln.fr.1185 > 212.27.32.5.domain: 17:54:30.488351 ns3.nic.fr.domain > pcs.univ-tln.fr.1025: 17:54:30.498351 pcs.univ-tln.fr.1025 > riluminy.univ-mrs.fr.domain: 17:54:30.538351 ns-ext.vix.com.domain > pcs.univ-tln.fr.1025: 17:54:30.598351 212.27.32.5.domain > pcs.univ-tln.fr.1185: 17:54:30.608351 pcs.univ-tln.fr.1185 > 212.27.32.5.domain: 17:54:30.698351 riluminy.univ-mrs.fr.domain > pcs.univ-tln.fr.1025: 17:54:30.708351 pcs.univ-tln.fr.1025 > ns-ext.vix.com.domain: 17:54:30.708351 pcs.univ-tln.fr.1025 > dns.cs.wisc.edu.domain: 17:54:30.708351 pcs.univ-tln.fr.1025 > dns.Princeton.EDU.domain: 17:54:30.708351 pcs.univ-tln.fr.1025 > ns1.nic.fr.domain: 17:54:30.708351 pcs.univ-tln.fr.1025 > ns3.domain-registry.nl.domain: 17:54:30.718351 pcs.univ-tln.fr.1025 > dns.inria.fr.domain: 17:54:30.718351 pcs.univ-tln.fr.1025 > ns2.nic.fr.domain: 17:54:30.818351 212.27.32.5.domain > pcs.univ-tln.fr.1185: 17:54:30.828351 pcs.univ-tln.fr.1185 > 212.27.32.5.domain: 17:54:31.008351 ns1.nic.fr.domain > pcs.univ-tln.fr.1025: 17:54:31.018351 pcs.univ-tln.fr.1025 > romarin.univ-aix.fr.domain: 17:54:31.038351 ns3.domain-registry.nl.domain > pcs.univ-tln.fr.1025: 17:54:31.068351 ns2.nic.fr.domain > pcs.univ-tln.fr.1025: 17:54:31.078351 dns.inria.fr.domain > pcs.univ-tln.fr.1025: 17:54:31.098351 dns.Princeton.EDU.domain > pcs.univ-tln.fr.1025: 17:54:31.108351 dns.cs.wisc.edu.domain > pcs.univ-tln.fr.1025: 17:54:31.148351 212.27.32.5.domain > pcs.univ-tln.fr.1185: 17:54:31.158351 pcs.univ-tln.fr.1185 > 212.27.32.5.domain: 17:54:31.158351 ns-ext.vix.com.domain > pcs.univ-tln.fr.1025: 17:54:31.218351 romarin.univ-aix.fr.domain > pcs.univ-tln.fr.1025: 17:54:31.228351 pcs.univ-tln.fr.domain > 10.1.74.93.32769: host -a www.univ-mrs.fr 23896+ 41809+ 71+ 50676+ 715241+ 4180950676* 50677+ 5241* 2/3/3 72 [1au] 36 [1au] 44 [1au] 22 11 7167 8275 50677* 50678+ 22 6995 [1au] 1 8275 7167 44 36 50678* 50679+ 726995* 23896 A? www.univ-mrs.fr. (33) A? www.univ-mrs.fr. OPT UDPsize=2048 (44) A? www.univ-mrs.fr. OPT UDPsize=2048 (44) PTR? 64.184.152.204.in-addr.arpa. (45) 0/3/4 (161) A? www.univ-mrs.fr. OPT UDPsize=2048 (44) 0/3/4 (161) 1/3/5 (262) PTR? 49.0.134.192.in-addr.arpa. (43) CNAME[|domain] (DF) A? www.univ-aix.fr. OPT UDPsize=2048 (44) A? www.univ-aix.fr. OPT UDPsize=2048 (44) A? www.univ-aix.fr. OPT UDPsize=2048 (44) (DF) A? www.univ-aix.fr. (33) A? www.univ-aix.fr. (33) A? www.univ-aix.fr. (33) A? www.univ-aix.fr. (33) 3/3/4 (266) PTR? 2.1.124.139.in-addr.arpa. (42) 0/3/3 (154) A? www.univ-aix.fr. OPT UDPsize=2048 (44) 0/3/3 (154) 0/3/3 (154) 0/3/3 (154) 0/3/4 (165) FormErr% [0q] 0/0/0 (12) 1/3/3 (208) PTR? 10.2.105.128.in-addr.arpa. (43) 0/3/4 (165) 1/3/2 A www.univ-aix.fr (149) 2/3/0 CNAME[|domain]

17:55:12.778351 10.1.74.93.32769 > pcs.univ-tln.fr.domain: 23480+ A? www.univ-mrs.fr. (33) 17:55:12.788351 pcs.univ-tln.fr.domain > 10.1.74.93.32769: 23480 2/3/0 CNAME[|domain]

exemple de trame ( bis )


17:55:24.888351 10.1.74.93.32769 > pcs.univ-tln.fr.domain: 44351+ A? www.unice.fr. 17:55:24.888351 pcs.univ-tln.fr.1025 > ns1.nic.fr.domain: 25697 [1au] A? www.unice.fr. 17:55:24.898351 pcs.univ-tln.fr.1025 > ns-ext.vix.com.domain: 824 [1au] A? www.unice.fr. 17:55:25.068351 ns1.nic.fr.domain > pcs.univ-tln.fr.1025: 25697-% 0/4/5 17:55:25.078351 pcs.univ-tln.fr.1025 > taloa.unice.fr.domain: 412 [1au] A? www.unice.fr. 17:55:25.078351 pcs.univ-tln.fr.1025 > diamant.unice.fr.domain: 206 [1au] A? www.unice.fr. 17:55:25.078351 pcs.univ-tln.fr.1025 > samoa.unice.fr.domain: 103 [1au] A? www.unice.fr. 17:55:25.088351 pcs.univ-tln.fr.1025 > dns.inria.fr.domain: 35223 A? www.unice.fr. 17:55:25.088351 pcs.univ-tln.fr.1025 > taloa.unice.fr.domain: 49228 A? www.unice.fr. 17:55:25.258351 ns-ext.vix.com.domain > pcs.univ-tln.fr.1025: 824- 0/4/5 17:55:25.298351 taloa.unice.fr.domain > pcs.univ-tln.fr.1025: 412* 1/4/4 A www.unice.fr 17:55:25.418351 diamant.unice.fr.domain > pcs.univ-tln.fr.1025: 206 FormErr% [0q] 0/0/0 17:55:25.458351 dns.inria.fr.domain > pcs.univ-tln.fr.1025: 35223*- 1/4/4 A www.unice.fr 17:55:25.508351 samoa.unice.fr.domain > pcs.univ-tln.fr.1025: 103* 1/4/4 A www.unice.fr 17:55:25.528351 taloa.unice.fr.domain > pcs.univ-tln.fr.1025: 49228* 1/4/3 A www.unice.fr 17:55:25.538351 pcs.univ-tln.fr.domain > 10.1.74.93.32769: 44351 1/4/0 A www.unice.fr

zone
Une zone est contrle par un ensemble de serveurs disperss sur le rseau pour des raisons de scurit et defficacit. Le protocole DNS prvoit des communications de maintenance entre les serveurs dune mme zone.

fichiers matres
Les fichiers matres dcrivent les RR dinitialisation dune zone. Ils renseignent sur les paramtres de maintenance : noms des serveurs secondaires, dlais relatifs aux informations caches. Ils contiennent les enregistrements des htes et sous-zones.

accs la racine
; <<>> DiG 9.1.0 <<>> @mail.univ-tln.fr ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 23048 ;; flags: qr rd ra; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 13 ;; QUESTION SECTION: ;. IN ;; ANSWER SECTION: . 446810 IN . 446810 IN . 446810 IN . 446810 IN . 446810 IN . 446810 IN . 446810 IN . 446810 IN . 446810 IN . 446810 IN . 446810 IN . 446810 IN . 446810 IN ;; ADDITIONAL SECTION: K.ROOT-SERVERS.NET. 533210 IN A L.ROOT-SERVERS.NET. 533210 IN A M.ROOT-SERVERS.NET. 533210 IN A I.ROOT-SERVERS.NET. 533210 IN A E.ROOT-SERVERS.NET. 533210 IN A D.ROOT-SERVERS.NET. 533210 IN A A.ROOT-SERVERS.NET. 533210 IN A H.ROOT-SERVERS.NET. 533210 IN A C.ROOT-SERVERS.NET. 533210 IN A G.ROOT-SERVERS.NET. 533210 IN A F.ROOT-SERVERS.NET. 533210 IN A B.ROOT-SERVERS.NET. 533210 IN A J.ROOT-SERVERS.NET. 533210 IN A ;; Query time: 358 msec ;; SERVER: 193.49.96.2#53(mail.univ-tln.fr) ;; WHEN: Sat Mar 1 11:48:16 2003 ;; MSG SIZE rcvd: 436 NS NS NS NS NS NS NS NS NS NS NS NS NS NS 193.0.14.129 198.32.64.12 202.12.27.33 192.36.148.17 192.203.230.10 128.8.10.90 198.41.0.4 128.63.2.53 192.33.4.12 192.112.36.4 192.5.5.241 128.9.0.107 192.58.128.30 K.ROOT-SERVERS.NET. L.ROOT-SERVERS.NET. M.ROOT-SERVERS.NET. I.ROOT-SERVERS.NET. E.ROOT-SERVERS.NET. D.ROOT-SERVERS.NET. A.ROOT-SERVERS.NET. H.ROOT-SERVERS.NET. C.ROOT-SERVERS.NET. G.ROOT-SERVERS.NET. F.ROOT-SERVERS.NET. B.ROOT-SERVERS.NET. J.ROOT-SERVERS.NET.

traceroute vers b.root.net


1 10.1.65.2 (10.1.65.2) -9609.347 ms 16066.935 ms 1.117 ms 2 192.168.254.254 (192.168.254.254) -15925.619 ms 134.055 ms * 3 marseille-3-a7.routers.proxad.net (213.228.3.77) 6357.025 ms -5951.160 ms 167.665 ms 4 cbv-12x-1-a8.routers.proxad.net (213.228.2.120) -9701.837 ms 179.317 ms 179.690 ms 5 blackd-th1-1-a6.routers.proxad.net (213.228.3.23) 191.751 ms -9884.244 ms * 6 above.FreeIX.net (213.228.3.234) -5367.553 ms * -5232.061 ms 7 pos8-0.cr1.cdg2.fr.mfnx.net (208.184.231.214) 179.796 ms -10084.249 ms 2169.050 ms 8 * so-5-0-0.cr1.lhr3.uk.mfnx.net (64.125.31.154) -14821.417 ms -10622.332 ms 9 so-0-0-0.cr2.lhr3.uk.mfnx.net (208.184.231.146) 15031.984 ms -14669.858 ms * 10 so-7-0-0.cr2.lga1.us.mfnx.net (64.125.31.182) 286.134 ms -10766.261 ms * 11 so-1-0-0.cr2.iad1.us.mfnx.net (208.184.233.65) -3340.357 ms -10896.270 ms * 12 so-0-0-0.cr1.iad1.us.mfnx.net (208.185.0.109) -3080.557 ms -11014.251 ms * 13 so-3-0-0.mpr1.iad5.us.mfnx.net (216.200.127.10) -2796.607 ms -11158.318 ms * 14 64.124.112.29.cogentco.com (64.124.112.29) -2544.650 ms -11288.315 ms * 15 p15-0.core02.dca01.atlas.cogentco.com (66.28.4.22) -2284.714 ms -11824.397 ms * 16 p14-0.core01.atl01.atlas.cogentco.com (66.28.4.161) -1176.920 ms -11950.268 ms 249.668 ms 17 p15-0.core01.jax01.atlas.cogentco.com (66.28.4.137) 259.664 ms 259.297 ms 259.603 ms 18 p14-0.core01.mco01.atlas.cogentco.com (66.28.4.153) 259.708 ms -12328.227 ms 259.713 ms 19 p14-0.core01.tpa01.atlas.cogentco.com (66.28.4.142) 259.624 ms -12506.352 ms 259.612 ms 20 p5-0.core01.iah01.atlas.cogentco.com (66.28.4.45) 279.676 ms -12490.329 ms 439.550 ms 21 p14-0.core01.san01.atlas.cogentco.com (66.28.4.6) 319.664 ms -12932.324 ms 309.681 ms 22 p4-0.core01.lax01.atlas.cogentco.com (66.28.4.77) 399.614 ms 467.281 ms 479.609 ms 23 g50.ba01.b000899-0.lax01.atlas.cogentco.com (66.28.6.246) 479.785 ms -13454.408 24 * USC_ISI-Los-Nettos.demarc.cogentco.com (66.28.28.34) 392.916 ms 14372.774 ms 25 dmz-isi.isi.edu (198.32.16.49) 383.627 ms -13842.088 ms 319.655 ms 26 b.root-servers.net (128.9.0.107) 329.724 ms -14074.247 ms 319.634 ms

oprations de maintenance
Numro de srie : serial priodicit des vrifications : refresh dlai entre deux tentatives : retry dure de validit : expire Les serveurs secondaires sont informs priodiquement ( refresh) du numro de srie de la zone. En cas daugmentation, ils contactent la zone pour mise jour.

4
Rsolution : serveurs. configuration de named
fichiers /etc/ .conf exemple de /etc/named.conf la zone racine zone locale zone bidon

/etc/named.conf
Les paramtres dinitialisation du daemon named du systme de noms de domaine du package BIND. Berkeley Internet Name Daemon. sont dcrits dans /etc/named.conf. Le fichier de configuration qui contient toutes les informations des zones. Voir aussi : /etc/hosts.conf hosts : files dns /etc/nsswitch.conf order hosts, bind multi on

/etc/named.conf
// generated by namedbootconf.pl options { directory "/var/named"; }; zone "." IN { type hint; file "named.ca"; }; zone "localhost" IN { type master; file "localhost.zone"; allow-update { none; }; };
zone "0.0.127.in-addr.arpa" IN { type master; file "named.local"; allow-update { none ; }; };

zone "univ-tln.fr" IN { type master; file "named.univ-tln.fr"; }; zone "65.1.10.in-addr.arpa" IN { type master; notify no; file "db.10.1"; };

named.univ-tln.fr
@ IN SOA pcs.univ-tln.fr. postmaster.pcs.univ-tln.fr. ( 20020201; serie 28800; refresh; 14400; retry; 604800; expire; 86400 ) ; IN NS pcs.univ-tln.fr. IN MX 20 pcs.univ-tln.fr.

@ @

; serveur de noms pcs IN A 10.1.65.1 @ IN NS 16.7.27.1 ; noms canoniques www CNAME pcs.univ-tln.fr. ; adresse ip des machines du reseau epsilon IN A 10.1.65.2 microbe IN A 10.1.65.3

/var/named/db10.1.65
@ IN SOA pcs.univ-tln.fr. postmaster.pcs.univ-tln.fr. ( 20020201 28800; 14400; 604800; 86400 ) ; ;serveur de noms @ IN NS pcs.univ-tln.fr. ;adresse ip inverse 1 IN PTR pcs.univ-tln.fr. 2 IN PTR epsilon.univ-tln.fr. 3 IN PTR microbe.univ-tln.fr.

rsolution inverse
host -a -r 193.in-addr.arpa. Trying "193.in-addr.arpa." opcode: QUERY, status: NOERROR, id: 43026 ;; flags: qr ra; ;; QUERY: 1, ANSWER: 1, AUTHORITY: 6, ADDITIONAL: 8 ;; QUESTION SECTION: ;193.in-addr.arpa. IN ANY ;; ANSWER SECTION: 193.in-addr.arpa. 5662 IN SOA ns.ripe.net. 2003030201 43200 7200 1209600 7200 ;; AUTHORITY SECTION: 193.in-addr.arpa. 84858 IN NS ns.ripe.net. 193.in-addr.arpa. 84858 IN NS NS.APNIC.net. 193.in-addr.arpa. 84858 IN NS NS2.NIC.FR. 193.in-addr.arpa. 84858 IN NS SUNIC.SUNET.SE. 193.in-addr.arpa. 84858 IN NS AUTH03.NS.UU.net. 193.in-addr.arpa. 84858 IN NS MUNNARI.OZ.AU. ;; ADDITIONAL SECTION: ns.ripe.net. 171259 IN AAAA 2001:610:240:0:193::193 ns.ripe.net. 171285 IN A 193.0.0.193 NS.APNIC.net. 171257 IN A 203.37.255.97 NS2.NIC.FR. 171257 IN A 192.93.0.4 SUNIC.SUNET.SE. 171257 IN A 192.36.125.2 AUTH03.NS.UU.net. 171257 IN A 198.6.1.83 MUNNARI.OZ.AU. 5685 IN AAAA 2001:388:c02:4000::1:21 MUNNARI.OZ.AU. 172494 IN A 128.250.1.21 Received 384 bytes from 212.27.32.5#53 in 195 ms

suite
host -a -r 96.49.193.in-addr.arpa. ns.ripe.net Trying "96.49.193.in-addr.arpa." Using domain server: ns.ripe.net Address: 193.0.0.193#53 Aliases: ;; opcode: QUERY, status: NOERROR, id: 46237 ;; flags: qr; ;; QUERY: 1, ANSWER: 0, AUTHORITY: 2, ADDITIONAL: 0 ;; QUESTION SECTION: ;96.49.193.in-addr.arpa. IN ANY ;; AUTHORITY SECTION: 96.49.193.in-addr.arpa. 86400 IN NS dns.inria.fr. 96.49.193.in-addr.arpa. 86400 IN NS rhodes.univ-tln.fr. Received 96 bytes from 193.0.0.193#53 in 194 ms

domaine in-addr.arpa.

attaque des serveurs de noms


La prdictibilit des identificateurs de transactions est une faille de scurit importante. Elle donne lieu deux attaques :
DNS spoofing DNS cache poisening

ns.naif.fr
Id0 : mac ptr 10.1.0.13

ns.pirate.fr
10.1.0.13

Id0 : any mac.naif.fr ?

mac.naif.fr

10.1.0.2

10.1.0.13

ns.naif.fr
Idz r: 10.1.0.13

ns.pirate.fr

Id0 q: A ? mc.dom.nil

Idx q: A ? mc.dom.nil

ns.dom.nil

Vous aimerez peut-être aussi