DNS

Das Domain Name Space ist ein baumförmiger Domänennamenraum

• Unter der Wurzel liegen Top Level Domains:

  com, edu, gov, mil, net, de, uk ...

• Blätter und Knoten des Baums (Labels): alphanumerische Zeichenketten (incl. - Minuszeichen) mit 1-63 Zeichen

• Bezeichnung eines Domänennamen erfolgt von unten (Blatt) nach oben (Wurzel) mit . Punkt getrennt (und abgeschlossen)

Namenauflösung (address resolution)

Die Übersetzung von lesbaren Domänennamen in IP-Adressen und umgekehrt erfolgt üblicherweise

• durch Konfigurationsdateien auf dem lokalen Host

• durch Anfrage an DNS-Server (Dienste im Internet)

• durch zwischengespeicherte Informationen (DNS-Caches)

Beispielhafter Vorgang:

(1) Lokaler DNS-Cache

ares7: Suche im lokalen DNS-Cache (lokaler Dienst)

Falls www.linux.org vorhanden und gültig

⇒ OK, gespeicherte IP-Adresse nutzen

(2) Lokale Hosts-Datei

ares7: Suche in lokaler Hosts-Datei (/etc/hosts)

Falls www.linux.org vorhanden

⇒ OK, gespeicherte IP-Adresse nutzen

(3) DNS-Cache

Anfrage [ares7 → ns.uni-wuppertal.de (ns-buw)]

(gemäß Nameserver-Konfiguration in nsswitch.conf)

”IP-Adresse von www.linux.org?“

ns-buw: Falls www.linux.org im DNS-Cache vorhanden und gültig

⇒ (8) (nicht-autoritative Antwort)

(4) Eigene lokale Domäne

ns-buw: Falls www.linux.org in eigener lokalen Domäne (hier: Nein!)

⇒ selbst zuständig ⇒ Suche in eigener Datenbank

⇒ (8) (autoritative Antwort)

(5) Root-Nameserver

Anfrage [ns-buw → ns-root (ein Root-Nameserver)]

”Wer ist für www.linux.org zuständig?“ (insb. für org)

ns-root: ”Ich nicht, sondern ns-org!“ (incl. IP-Adresse)

(6) Domäne-Nameserver

Anfrage [ns-buw → ns-org]

”Wer ist für www.linux.org zuständig?“ (insb. für linux.org)

ns-org: ”Ich nicht, sondern ns-linux.org!“ (incl. IP-Adresse)

(7) Domain/Domäne-Nameserver

Anfrage [ns-buw → ns-linux.org]

”Wer ist für www.linux.org zuständig?“

ns-linux.org: ”Ich! Die IP-Adresse lautet ‘104.28.16.26’.“ (autoritativ)

ns-buw: [www.linux.org–104.28.16.26] im DNS-Server-Cache speichern,

incl. Gültigkeitsdauer (TTL) für nicht-autoritative Antworten

⇒ 8. (nicht-autoritative Antwort)

(8) Ergebnis

Antwort [ns-buw → ares7]

”IP-Adresse von www.linux.org lautet 104.28.16.26“

Hinweise

• Bei der iterativen Namenauflösung werden sämtliche Anfragen

  durch den Host (oben: ares7) selbst durchgeführt

• Die Programme, Dienste und Software-Bibliotheken, die als Schnittstelle zwischen Anwendungen und Nameserver auf Hosts für die Namenauflösung zuständig sind, heißen Resolver (z. B. nslookup, dig)

• Multicast DNS (mDNS) ist ein einfaches Zeroconf-Verfahren in nicht-öffentlichen (z. B. APIPA-)Netzwerken, bei dem für die Namenauflösung mDNS-Multicast-Adressen verwendet werden (IPv4: 224.0.0.251, IPv6: ff02::fb, Port 5353/UDP).

Die Datensätze (DNS Resource Records) für Domänennamen (nicht notwendigerweise FQDN) in der verteilten hierarchischen DNS-Datenbank haben die Form:

• Domänenname: Schlüsselfeld (primary key)

• Lebensspanne: TTL (Time To Live) in Sekunden

  Grad für die Aktualität, d. h. Gesichertheit der Information

• Klasse: IN (Internet)

  obsolet: CH (Chaosnet), HS (Hesiod), CS (CSNET)

• Typ, Wert: Art und Wert der Ressource

  (je nach Ressourcentyp ggf. mehrere Felder mit Werten)

• A: Suche nach einer IP-Adresse zur Auflösung eines symolischen Namens

• MX: Suche nach dem zuständigen Mail Server (Mail eXchange) einer Domäne

• NS: Suche nach dem zuständigen Name Server einer Domäne

• CNAME: Suche nach dem Canonical Name zu einem Alias Domain Name

• PTR: Suche nach einem symbolischen Namen (Pointer) für Reverse Lookup

• AAAA: IPv6-Adresse

Die umgekehrte Namenauflösung (Reverse DNS Lookup) ermittelt zu einer gegebenen IP-Adresse den Domänennamen:

Dies erfolgt in der Regel ebenfalls durch den Resolver.

Da der baumförmige Domain Name Space für die Vorwärtssuche nach Domänennamen (Forward Lookup) strukturiert ist, und eine erschöpfende Suche (exhaustive search) zu zeitaufwendig, resp. in einer verteilten Datenbank praktisch undurchführbar ist, wird der DNS

Beispiele für Repräsentationen in der in-addr.arpa-Domäne?

Die durch 195.132.in-addr.arpa repräsentierte Subdomäne enthält also die 65536 IP-Adressen 132.195.0.0,..., 132.195.255.255.

Eine inverse Anfrage für die IP-Adresse 132.195.95.101 liefert über den Nameserver der Subdomäne 132.195.0.0/16 (Uni Wuppertal):

In den Ressourcendatensätze der reversen Domäne werden als Domänennamen die Repräsentationen der IP-Adressen verwendet

Beispiele

Reverse DNS Lookup für die IP-Adresse 91.198.174.192 (via Resolver):

• (1) Erstelle Repräsentation: 192.174.198.91.in-addr.arpa

• (2) Finde zustäandigen Nameserver: arpa → in-addr → 91 → 198 → . . .

  spätestens auf der dritten Ebene mit numerischen Labels 0,...,255)

  ⇒ Nameserver für wikipedia.com: ns0.wikimedia.org (208.80.154.238)

• (3) Anfrage an ns0.wikimedia.org: 192.174.198.91.in-addr.arpa

  ⇒ symbolischer Name: www.wikipedia.com

Falls Server-Dienste (WWW, VPN, E-Mail ...) unter wechselnden IP-Adressen angeboten werden sollen oder müssen, so ist die feste (statische) Zuordnung von Domänennamen zu IP-Adressen im DNS nicht sinnvoll, da der manuelle Vorgang zur Umsetzung zu lange dauern würde.

Bei DynDNS werden dynamische DNS-Datenbankeinträge durch spezielle (authentifizierte) DNS-Anfragen eines Hosts aktualisiert. Die autoritativen Antworten eines DynDNS-Nameservers bezüglich dieser Ressourcendatensätze sind somit stets aktuell.

Die Korrektheit der ausgelieferten DNS-Daten wird durch die Unterzeichnung der Original-Ressourcendatensätze, und damit auch der nicht-autoritativen Antworten (cached information), auf Basis von Zertifikaten und digitalen Signaturen (→ Kap. 5) sichergestellt. Jeder DNS-Client kann somit überprüfen, ob die Unterschriften der erhaltenen DNS-Daten korrekt sind.

DNSsec basiert auf der Echtheitsüberprüfung der Datensätze und nicht auf der Authentifikation der beteiligten Nameserver.