70
résolution des noms cours réseaux SSI-4, février 2003 mars et octobre 2004, et ctobre 2005.

résolution des noms

  • Upload
    tahir

  • View
    47

  • Download
    1

Embed Size (px)

DESCRIPTION

résolution des noms. cours réseaux SSI-4, février 2003 mars et octobre 2004, et ctobre 2005. documentation. RFC-2535 Donald Eastlake (2000) sécurisation du dns DNS-HOWTO Nicolai Langfeld (1999) mise en route de named - PowerPoint PPT Presentation

Citation preview

Page 1: résolution des noms

résolution des noms

cours réseauxSSI-4, février 2003

mars et octobre 2004,et ctobre 2005.

Page 2: résolution des noms

documentationRFC-2535 Donald Eastlake (2000)

sécurisation du dnsDNS-HOWTO Nicolai Langfeld (1999)

mise en route de namedRFC 1034 Paul Mockapetris (1985)

principe des espaces de nomsRFC 1035 Paul Mockapetris (1985)

spécification techniques du DNS

Page 3: résolution des noms

plan

Généralités Résolution : utilisateur Les espaces de noms Principe de résolution Résolution : serveur. Configuration de named attaques des serveurs de noms

Page 4: résolution des noms

Généralités importance des noms gestion sur arpanet problèmes service de noms de domaine

Page 5: résolution des noms

rhodes.univ-tln.fr

ftp.univ-tln.fr

mail.univ-tln.fr

www.univ-tln.fr

importance des noms

193.49.96.1

Page 6: résolution des noms

gestion des noms sur arpanet

L’ARPANET des années 80 est constitué d’une centaines d'ordinateurs reliés en réseaux. Un unique fichier hosts.txt rassemble les correspondances entre nom d'hôte et adresse IP.

Le fichier est stocké sur le SRI-NIC . Après chaque modification, des copies sont transférées par ftp vers les ordinateurs du réseau.

(2) Stanford Research Institutes Network Information Center

(1) Advanced Research Program Agency Network

Page 7: résolution des noms

HOSTS.TXTExamples of Host Table Format

NET : 10.0.0.0 : ARPANET :NET : 128.10.0.0 : PURDUE-CS-NET :GATEWAY : 10.0.0.77, 18.10.04 :

MIT-GW.ARPA,MIT-GATEWAY : PDP-11 :MOS : IP/GW, EGP :

HOST : 26.0.0.73, 10.0.0.51SRI-NIC.ARPA, SRI-NIC, NIC :DEC-2060 : TOPS-20 :TCP/TELNET, TCP/SMTPTCP/TIME, TCP/FTPTCP/ECHO, ICMP :

HOST : 10.2.0.11 : SU-TAC.ARPA,SU-TAC : C/30 : TAC : TCP :m

hosts.txt file (extrait)

Page 8: résolution des noms

Les inconvénients La taille du fichier hosts.txt augmente avec le

nombre d’hôtes

En 1983, le réseau amorce son expansion exponentielle.

La fréquence des mises-à-jours des tables devient proportionnelle au nombre de machines

La consommation de bande passante est proportionnelle au carré du nombre d’hôtes

Page 9: résolution des noms

1983-84 Paul Mockapetris et Jon Postel proposent et développent une solution à base de BD distribuée Domain Name System

J. Postel P. Mockapetris

Page 10: résolution des noms

standardisation

En 1985,

l’IETF standardise le DNS au travers des RFC1034 et RFC1035.

RR : Record Ressource

Protocoles : udp + tcp.

(1) Internet Entreprise Task Force

Page 11: résolution des noms
Page 12: résolution des noms

chronologie

• Décembre 1973 HOSTS.TXT (RFC 606)• Novembre 1983 invention du DNS (RFC 882)• Octobre 1984 .com,.org, .mil, .gov, .edu, .net• Janvier 1985 SRI démarre le DNS service• Novembre 1987 spécification DNS (RFCs 1034, 1035)• Novembre 1988 .int domain• Avril 1993 NSI/InterNIC • Juin 1994 utilisations commerciales

Page 13: résolution des noms

2 Généralités Résolution : utilisateur.

objectifs fichiers résolveurs trame dns : ping, ftp.

Espace des noms

Page 14: résolution des noms

objectif

Le but de la résolution des noms sur un réseau est d’assurer la conversion entre les noms d’hôtes et les adresses ip.

machine.domaine.xz

192.127.10.2

résolution

inverse

Page 15: résolution des noms

correspondance non bijective

Un nom d’hôte peut désigner plusieurs adresses ip pour des interfaces différentes

Une adresse ip peut être associée à plusieurs noms alias par exemple : ftp.domaine.xz www.domaine.xz mail.domaine.xz

Page 16: résolution des noms

résolveurs

Les fonctions : gethostbyname() gethostbyaddr()

réalisent respectivement résolution et résolution inverse : résolveurs.

ex. programme lookup.c travaux-pratiques sur les sockets

Page 17: résolution des noms

lookup.c/* * exemple de programme * équivalent à nslookup */#include <stdio.h>#include <netdb.h>#include <sys/socket.h>#include <netinet/in.h>#include <arpa/inet.h>void erreur( void ) { switch ( h_errno ) { case HOST_NOT_FOUND :

puts("L'hôte indiqué est inconnu."); break; case NO_ADDRESS :

puts("Le nom est valide mais ne possède pas d'adresse IP.");

break; case NO_RECOVERY :

puts("Une erreur fatale du serveur de noms est apparue.");

break; case TRY_AGAIN : puts("Try

again"); } exit(1);

int main(int argc, char *argv[]){

struct hostent *infos; struct in_addr addr;

unsigned long *tempo;

if (inet_aton(argv[1], &addr) != 0 ) { infos = gethostbyaddr( (char *)( &(addr.s_addr)),sizeof(addr.s_addr),AF_INET); if ( ! infos ) erreur(); printf("\nnom:%s",infos -> h_name); } else { infos = gethostbyname(argv[1]); if ( ! infos ) erreur(); tempo = (unsigned long int *)(infos -> h_addr); addr.s_addr = *tempo; printf("\nip:%s",inet_ntoa(addr)); } printf("\nbye...\n");}

Page 18: résolution des noms

fichiers

application résolveurserveur

de noms

réseau

Page 19: résolution des noms

une règle simple

placer les correspondancescourantes dans le fichier /etc/hosts

résolveur

/etc/hostsrecherche des

correspondance

/etc/resolv.confdomaines et

serveurs de noms

Ex.de résolveurs :nslookup, host, dig

Page 20: résolution des noms

/etc/hosts127.0.0.1 localhost 194.214.66.29 routeur-ft-utv194.214.246.33 routeur-ft-coeur-toulon194.214.68.17 routeur-ft-coeur-marseille1194.214.68.2 routeur-ft-coeur-marseille2195.220.98.157 routeur-rrthd-renater10.1.65.1 mail.univ-tln.fr mail10.1.66.15 mail1.univ-tln.fr mail110.1.66.16 mail2.univ-tln.fr mail2192.168.168.1 mail1-ics0192.168.169.1 member1-icstcp0#10.1.65.53 iut.univ-tln.fr iut10.1.65.106 www2.univ-tln.fr www210.1.65.119 listes.univ-tln.fr listes10.1.65.125 comweb.univ-tln.fr comweb10.1.66.127 mail3192.168.168.2 mail2-ics0192.168.169.2 member2-icstcp0

Page 21: résolution des noms

/etc/resolv.conf

# /etc/resolv.conf

search domaine.xz

nameserver 10.1.65.1

www.univ.domaine.xz

autre.fr

www.univ.autre.fr

www.univ.

www.univ

Page 22: résolution des noms

système des noms de domaine

Le Système des Noms de Domaine est un ensemble de règles utilisées par les logiciels pour établir (entre autres choses) la correspondance entre des noms et des adresses. Il utilise un protocole de communication client/serveur udp/tcp sur le port domain 53.

Page 23: résolution des noms

exp. ftp epsilon.ut.fr.1038 > port-aci.ut.fr.ftp: port-aci.ut.fr.ftp > epsilon.ut.fr.1038: epsilon.ut.fr.1038 > port-aci.ut.fr.ftp: port-aci.ut.fr.32779 > epsilon.ut.fr.auth: epsilon.ut.fr.auth > port-aci.ut.fr.32779: port-aci.ut.fr.32770 > pcs.ut.fr.domain:15225+ PTR? 2.65.1.10.in-addr.arpa. pcs.ut.fr.domain > port-aci.ut.fr.32770:15225* 1/1/1 PTR epsilon.ut.fr. port-aci.ut.fr.32770 > pcs.ut.fr.domain:15226+ A? epsilon.ut.fr. pcs.ut.fr.domain > port-aci.ut.fr.32770:15226* 1/1/1 A epsilon.ut.fr port-aci.ut.fr.32770 > pcs.ut.fr.domain:15227+ PTR? 2.65.1.10.in-addr.arpa. pcs.ut.fr.domain > port-aci.ut.fr.32770:15227* 1/1/1 PTR epsilon.ut.fr. port-aci.ut.fr.ftp > epsilon.ut.fr.1038: epsilon.ut.fr.1038 > port-aci.ut.fr.ftp: arp who-has pcs.ut.fr tell port-aci.ut.fr arp reply pcs.ut.fr is-at 0:60:8:28:99:d8 epsilon.ut.fr.1038 > port-aci.ut.fr.ftp: port-aci.ut.fr.ftp > epsilon.ut.fr.1038:

Page 24: résolution des noms

3

Résolution : utilisateur. espaces de noms

organisation hierarchique top level domain sémantique des noms zone – zone fr. ressources

Principe de résolution.

Page 25: résolution des noms

top level domaine

hierarchie

Page 26: résolution des noms

domaines géographiques.ac–Ascension Island .ad–Andorra .ae–United Arab Emirates .af–Afghanistan .ag–Antigua and Barbuda .ai–Anguilla .al–Albania .am–Armenia .an–Netherlands Antilles .ao–Angola .aq–Antarctica .ar–Argentina .as–American Samoa .at–Austria .au–Australia .aw–Aruba .az–Azerbaijan .ba–Bosnia and Herzegovina .bb–Barbados .bd–Bangladesh .be–Belgium .bf–Burkina Faso .bg–Bulgaria .bh–Bahrain .bi–Burundi .bj–Benin .bm–Bermuda .bn–Brunei Darussalam .bo–Bolivia .br–Brazil .bs–Bahamas .bt–Bhutan .bv–Bouvet Island .bw–Botswana .by–Belarus .bz–Belize .ca–Canada

.cc–Cocos Islands

.cd–Congo,

.cf–Central African Rep

.cg–Congo, Republic of

.ch–Switzerland

.ci–Cote d'Ivoire

.ck–Cook Islands

.cl–Chile

.cm–Cameroon

.cn–China

.co–Colombia

.cr–Costa Rica

.cu–Cuba

.cv–Cap Verde

.cx–Christmas Island

.cy–Cyprus

.cz–Czech Republic

.de–Germany

.dj–Djibouti

.dk–Denmark

.dm–Dominica

.do–Dominican Rep

.dz–Algeria

.ec–Ecuador

.ee–Estonia

.eg–Egypt

.eh–Western Sahara

.er–Eritrea

.es–Spain

.et–Ethiopia

.fi–Finland

.fj–Fiji

.fk–Falkland Islands

.fm–Micronesia,

.fo–Faroe Islands

.fr–France

.ga–Gabon

.gd–Grenada

.ge–Georgia

.gf–French Guiana

.gg–Guernsey

.gh–Ghana

.gi–Gibraltar

.gl–Greenland

.gm–Gambia

.gn–Guinea

.gp–Guadeloupe

.gq–Equatorial Guinea

.gr–Greece

.gs–South GeorgiaIslands .gt–Guatemala .gu–Guam .gw–Guinea-Bissau .gy–Guyana .hk–Hong Kong .hm–Heard and .hn–Honduras .hr–Croatia/Hrvatska .ht–Haiti .hu–Hungary .id–Indonesia .ie–Ireland .il–Israel .im–Isle of Man .in–India .io–British IndiaOce. .iq–Iraq .ir–Iran .is–Iceland .it–Italy

.je–Jersey

.jm–Jamaica

.jo–Jordan

.jp–Japan

.ke–Kenya

.kg–Kyrgyzstan

.kh–Cambodia

.ki–Kiribati

.km–Comoros

.kn–Saint Kitts and Nevis

.kp–Korea, Democratic People's Republic

.kr–Korea, Republic of

.kw–Kuwait

.ky–Cayman Islands

.kz–Kazakhstan

.la–Lao People's Democratic Republic

.lb–Lebanon

.lc–Saint Lucia

.li–Liechtenstein

.lk–Sri Lanka

.lr–Liberia

.ls–Lesotho

.lt–Lithuania

.lu–Luxembourg

.lv–Latvia

.ly–Libyan Arab Jamahiriya

.ma–Morocco

.mc–Monaco

.md–Moldova, Republic of

.mg–Madagascar

.mh–Marshall Islands

.mk–Macedonia, Former Yugoslav Republic

.ml–Mali

.mm–Myanmar

.mn–Mongolia

.mo–Macau

Page 27: résolution des noms

.mp–Nth Mariana Isls

.mq–Martinique

.mr–Mauritania

.ms–Montserrat

.mt–Malta

.mu–Mauritius

.mv–Maldives

.mw–Malawi

.mx–Mexico

.my–Malaysia

.mz–Mozambique

.na–Namibia

.nc–New Caledonia

.ne–Niger

.nf–Norfolk Island

.ng–Nigeria

.ni–Nicaragua

.nl–Netherlands

.no–Norway

.np–Nepal

.nr–Nauru

.nu–Niue

.nz–New Zealand

.om–Oman

.pa–Panama

.pe–Peru

.pf–French Polynesia

.pg–Papua New Guinea

.ph–Philippines

.pk–Pakistan

.pl–Poland

.pm–St. Pierre and Miquelon

.pn–Pitcairn Island

.pr–Puerto Rico

.ps–Palestinian Territories

• .re–Reunion Island • .ro–Romania • .ru–Russian Federation • .rw–Rwanda • .sa–Saudi Arabia • .sb–Solomon Islands • .sc–Seychelles • .sd–Sudan • .se–Sweden • .sg–Singapore • .sh–St. Helena • .si–Slovenia • .sj–Svalbard and Jan Mayen Islands • .sk–Slovak Republic • .sl–Sierra Leone • .sm–San Marino • .sn–Senegal • .so–Somalia • .sr–Suriname • .st–Sao Tome and Principe • .sv–El Salvador • .sy–Syrian Arab Republic • .sz–Swaziland • .tc–Turks and Caicos Islands • .td–Chad • .tf–French Southern Territories • .tg–Togo • .th–Thailand • .tj–Tajikistan • .tk–Tokelau • .tm–Turkmenistan • .tn–Tunisia • .to–Tonga • .tp–East Timor • .tr–Turkey

.tt–Trinidad and Tobago

.tv–Tuvalu

.tw–Taiwan

.tz–Tanzania

.ua–Ukraine

.ug–Uganda

.uk–United Kingdom

.um–US Minor Outlying Islands

.us–United States

.uy–Uruguay

.uz–Uzbekistan

.va–Holy See

.vc–Saint Vincent and the Grenadines

.ve–Venezuela

.vg–Virgin Islands

.vi–Virgin Islands

.vn–Vietnam

.vu–Vanuatu

.wf–Wallis and Futuna Islands

.ws–Western Samoa

.ye–Yemen

.yt–Mayotte

.yu–Yugoslavia

.za–South Africa

.zm–Zambia

.zw–Zimbabwe

Page 28: résolution des noms

sémantique des noms

com edu fr

chez com univ-tln

maillinfosecuritywww

wwwwww.infosecurity.com.fr.

Page 29: résolution des noms

zone

Les niveaux supérieurs TLD sont organisés au niveau géographique et/ou thématiques.

.fr .uz .uk .com .mil

top level domain Chaque nœud définit un domaine : suite de

noms séparés par des points Certains nœuds définissent une zone sous

l’autorité d’un serveur de noms : SOA.

start of a zone of authority (sphere of authority).

Page 30: résolution des noms

zone

Une zone est un sous arbre de l’arbre des noms de domaines sur lesquels un NS possède une information complète.

Une zone est géré par une entité administrative particulière. L’autorité sur ce sous-arbre est déléguée.

La délégation est totale : libre organisation, changements sans préavis et délégation de sous-zones.

Page 31: résolution des noms

Network Information Center

Page 32: résolution des noms

zone fr. 1 .fr 139941

2 .com.fr 7886

3 .tm.fr 6238

4 .asso.fr 5664

5 .nom.fr 2237

6 .experts-comptables.fr 442

7 avocat.fr 284

8 .presse.fr 196

9 .cci.fr 192

10 .gouv.fr 183

AFNIC (NIC France) 164059 domaines délégués

serveurs de la zone:

dns.cs.wisc.edu 128.105.2.10dns.inria.fr 193.51.208.13dns.princeton.edu 128.112.129.15ns1.nic.fr 192.93.0.1ns2.nic.fr 192.93.0.4ns3.domain-registry.nl 193.176.144.6ns3.nic.fr 192.134.0.49ns-ext.vix.com 204.152.184.64

Page 33: résolution des noms
Page 34: résolution des noms
Page 35: résolution des noms

ressources

Les nœuds de l’espace sont décrits par des RR (record ressource) maintenus à jour sur des serveurs autorisés : opération manuelle.

Le rôle des serveurs de noms est de propager ces informations en répondant aux questions des résolveurs.

Page 36: résolution des noms

RR

Un enregistrement de ressource est composé de cinq champs :

OWNER TYPE CLASS TTL RDATA

domaine du RR

IN, CHACNAMEHINFOMXNS PTRSOA.

durée de vie en cacheSur 32-bits

ACNAMEMXPTRSOA

Page 37: résolution des noms

RRs : valeurs de typeA adresse d’hote

CNAME nom canonique

NS serveur autorisé

SOA sphère d’autorité

PTR pointeur vers l’espace des noms

Page 38: résolution des noms

Principes de résolution

Espaces de noms Principes de résolution

format des questions parcours de l’arborescence commandes : nslookup, host et dig exemple format trame dns

Page 39: résolution des noms

Principes de résolution

La communication entre clients et serveurs des services des noms utilise le protocole dns à partir des protocoles udp et tcp, usuellement le port 53.

Le format des trames dns est identique dans le sens client/serveur (question) et serveur/client (réponse).

Page 40: résolution des noms

Parcours de l’arborescence

Pour déterminer l’adresse ip correspondant au nom :

www.security.com.fr.Il faut trouver :

un NS (serveur de noms) de la racine . interroger pour un obtenir NS de fr. Interroger pour un NS de com.fr. Le NS de security.com.fr. identifie www.

Page 41: résolution des noms

commande host

Elle permet d’interroger les ressources d’un serveur arbitraire, voir aussi nslookup (obsolète) et dig (plus efficace).

Les principales options : host –a host serveur host –t ns domaine serveur host –t soa domaine serveur host -l domaine serveur

Page 42: résolution des noms

Exemple

www.security.com.fr

Partons d’un des serveurs de la racine :

a.root-servers.net.

Page 43: résolution des noms

# host -t ns fr. a.root-servers.net. Using domain server: a.root-servers.net. Address: 198.41.0.4#53 fr. name server DNS.INRIA.fr. fr. name server NS2.NIC.fr. fr. name server DNS.PRINCETON.EDU. fr. name server NS-EXT.VIX.COM. fr. name server NS3.DOMAIN-REGISTRY.NL. fr. name server DNS.CS.WISC.EDU. fr. name server NS1.NIC.fr. fr. name server NS3.NIC.fr. # host -t ns com.fr. a.root-servers.net. Using domain server : a.root-servers.net. Address: 198.41.0.4#53# host -t ns com.fr. DNS.INRIA.fr. Using domain server: DNS.INRIA.fr. Address: 193.51.208.13#53

Page 44: résolution des noms

# host -t ns com.fr. NS2.NIC.fr. Using domain server: NS2.NIC.fr. Address: 192.93.0.4#53 com.fr. name server ns2.nic.fr. com.fr. name server ns3.nic.fr. com.fr. name server ns1.nic.fr.

# host -t ns infosecurity.com.fr. NS2.NIC.fr. Using domain server: Name: NS2.NIC.fr. Address:192.93.0.4#53 infosecurity.com.fr. name server ns1.imaginet.net. infosecurity.com.fr. name server ns0.imaginet.net.

Page 45: résolution des noms

#host -a www.infosecurity.com.fr;; opcode: QUERY, status: NOERROR, id: 56938;; flags: qr rd ra; QUERY:1, ANSWER:1, AUTHORITY: 2, ADDITIONAL: 2;; QUESTION SECTION:;www.infosecurity.com.fr. IN ANY;; ANSWER SECTION:www.infosecurity.com.fr. 403 IN A 62.4.73.140;; AUTHORITY SECTION:infosecurity.com.fr. 403 IN NS ns0.imaginet.net.infosecurity.com.fr. 403 IN NS ns1.imaginet.net.;; ADDITIONAL SECTION:ns0.imaginet.net. 328 IN A 195.68.0.11ns1.imaginet.net. 328 IN A 195.68.0.12

Page 46: résolution des noms

format QR dns

en-tete

réponse

question

autorité

Information

Page 47: résolution des noms

en-tete

0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5

identificateur de la requête

qr opcode aa tc rd ra Z rcode

QDCOUNT nombre d’entrées dans la section question

ANCOUNT nombre de RR dans la réponse

NCOUNT nombre de NS dans la réponse

ARCOUNT nombre de RR en information

aa : réponse d’autorité tc : message tronquérd : récursion désiré ra : récursion acceptée:

Page 48: résolution des noms

une réponse type

opcode: QUERY, status: NOERROR, id: 44073;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 3;; QUESTION SECTION:;rhodes.univ-tln.fr. IN ANY;; ANSWER SECTION:;rhodes.univ-tln.fr. 171663 IN MX 10 mail.univ-tln.fr.;rhodes.univ-tln.fr. 171663 IN A 193.49.96.1;; AUTHORITY SECTION:univ-tln.fr. 171538 IN NS rhodes.univ-tln.fr.univ-tln.fr. 171538 IN NS dns.inria.fr.;; ADDITIONAL SECTION:mail.univ-tln.fr. 171645 IN A 193.49.96.2rhodes.univ-tln.fr. 171663 IN A 193.49.96.1dns.inria.fr. 171330 IN A 193.51.208.13

Page 49: résolution des noms

tcpdump -a

host -a microbe.utv.fr

10.1.74.93.32769 > pcs.utv.fr.domain: 13405+ A? microbe.utv.fr. (37)

pcs.utv.fr.domain > 10.1.74.93.32769: 13405* 1/1/1 A 10.1.65.3 (87)

tcpdump –a -s128 était nécessaire…

Page 50: résolution des noms

4 principes de résolution Résolution : serveur.

schéma exemple de mise en cache zone fichier maître vers la racine opération de maintenance

Page 51: résolution des noms

fichiers maitres

serveur de

noms

cachemémoire

résolveur

serveur de

nomsdistant

schéma

Page 52: résolution des noms

exemple de trameshost -a www.univ-mrs.fr

17:54:30.178351 10.1.74.93.32769 > pcs.univ-tln.fr.domain: 23896+ A? www.univ-mrs.fr. (33)17:54:30.188351 pcs.univ-tln.fr.1025 > ns-ext.vix.com.domain: 41809+ A? www.univ-mrs.fr. OPT UDPsize=2048 (44)17:54:30.188351 pcs.univ-tln.fr.1025 > ns3.nic.fr.domain: 71+ A? www.univ-mrs.fr. OPT UDPsize=2048 (44)17:54:30.198351 pcs.univ-tln.fr.1185 > 212.27.32.5.domain: 50676+ PTR? 64.184.152.204.in-addr.arpa. (45)17:54:30.488351 ns3.nic.fr.domain > pcs.univ-tln.fr.1025: 71- 0/3/4 (161)17:54:30.498351 pcs.univ-tln.fr.1025 > riluminy.univ-mrs.fr.domain: 5241+ A? www.univ-mrs.fr. OPT UDPsize=2048 (44)17:54:30.538351 ns-ext.vix.com.domain > pcs.univ-tln.fr.1025: 41809- 0/3/4 (161)17:54:30.598351 212.27.32.5.domain > pcs.univ-tln.fr.1185: 50676* 1/3/5 (262)17:54:30.608351 pcs.univ-tln.fr.1185 > 212.27.32.5.domain: 50677+ PTR? 49.0.134.192.in-addr.arpa. (43)17:54:30.698351 riluminy.univ-mrs.fr.domain > pcs.univ-tln.fr.1025: 5241* 2/3/3 CNAME[|domain] (DF)17:54:30.708351 pcs.univ-tln.fr.1025 > ns-ext.vix.com.domain: 72 [1au] A? www.univ-aix.fr. OPT UDPsize=2048 (44)17:54:30.708351 pcs.univ-tln.fr.1025 > dns.cs.wisc.edu.domain: 36 [1au] A? www.univ-aix.fr. OPT UDPsize=2048 (44)17:54:30.708351 pcs.univ-tln.fr.1025 > dns.Princeton.EDU.domain: 44 [1au] A? www.univ-aix.fr. OPT UDPsize=2048 (44) (DF)17:54:30.708351 pcs.univ-tln.fr.1025 > ns1.nic.fr.domain: 22 A? www.univ-aix.fr. (33)17:54:30.708351 pcs.univ-tln.fr.1025 > ns3.domain-registry.nl.domain: 11 A? www.univ-aix.fr. (33)17:54:30.718351 pcs.univ-tln.fr.1025 > dns.inria.fr.domain: 7167 A? www.univ-aix.fr. (33)17:54:30.718351 pcs.univ-tln.fr.1025 > ns2.nic.fr.domain: 8275 A? www.univ-aix.fr. (33)17:54:30.818351 212.27.32.5.domain > pcs.univ-tln.fr.1185: 50677* 3/3/4 (266)17:54:30.828351 pcs.univ-tln.fr.1185 > 212.27.32.5.domain: 50678+ PTR? 2.1.124.139.in-addr.arpa. (42)17:54:31.008351 ns1.nic.fr.domain > pcs.univ-tln.fr.1025: 22 0/3/3 (154)17:54:31.018351 pcs.univ-tln.fr.1025 > romarin.univ-aix.fr.domain: 6995 [1au] A? www.univ-aix.fr. OPT UDPsize=2048 (44)17:54:31.038351 ns3.domain-registry.nl.domain > pcs.univ-tln.fr.1025: 1 0/3/3 (154)17:54:31.068351 ns2.nic.fr.domain > pcs.univ-tln.fr.1025: 8275 0/3/3 (154)17:54:31.078351 dns.inria.fr.domain > pcs.univ-tln.fr.1025: 7167 0/3/3 (154)17:54:31.098351 dns.Princeton.EDU.domain > pcs.univ-tln.fr.1025: 44 0/3/4 (165)17:54:31.108351 dns.cs.wisc.edu.domain > pcs.univ-tln.fr.1025: 36 FormErr% [0q] 0/0/0 (12)17:54:31.148351 212.27.32.5.domain > pcs.univ-tln.fr.1185: 50678* 1/3/3 (208)17:54:31.158351 pcs.univ-tln.fr.1185 > 212.27.32.5.domain: 50679+ PTR? 10.2.105.128.in-addr.arpa. (43)17:54:31.158351 ns-ext.vix.com.domain > pcs.univ-tln.fr.1025: 72- 0/3/4 (165)17:54:31.218351 romarin.univ-aix.fr.domain > pcs.univ-tln.fr.1025: 6995* 1/3/2 A www.univ-aix.fr (149)17:54:31.228351 pcs.univ-tln.fr.domain > 10.1.74.93.32769: 23896 2/3/0 CNAME[|domain]

host -a www.univ-mrs.fr

17:55:12.778351 10.1.74.93.32769 > pcs.univ-tln.fr.domain: 23480+ A? www.univ-mrs.fr. (33)17:55:12.788351 pcs.univ-tln.fr.domain > 10.1.74.93.32769: 23480 2/3/0 CNAME[|domain]

Page 53: résolution des noms
Page 54: résolution des noms

exemple de trame ( bis )

17:55:24.888351 10.1.74.93.32769 > pcs.univ-tln.fr.domain: 44351+ A? www.unice.fr. 17:55:24.888351 pcs.univ-tln.fr.1025 > ns1.nic.fr.domain: 25697 [1au] A? www.unice.fr. 17:55:24.898351 pcs.univ-tln.fr.1025 > ns-ext.vix.com.domain: 824 [1au] A? www.unice.fr. 17:55:25.068351 ns1.nic.fr.domain > pcs.univ-tln.fr.1025: 25697-% 0/4/517:55:25.078351 pcs.univ-tln.fr.1025 > taloa.unice.fr.domain: 412 [1au] A? www.unice.fr. 17:55:25.078351 pcs.univ-tln.fr.1025 > diamant.unice.fr.domain: 206 [1au] A? www.unice.fr. 17:55:25.078351 pcs.univ-tln.fr.1025 > samoa.unice.fr.domain: 103 [1au] A? www.unice.fr.17:55:25.088351 pcs.univ-tln.fr.1025 > dns.inria.fr.domain: 35223 A? www.unice.fr. 17:55:25.088351 pcs.univ-tln.fr.1025 > taloa.unice.fr.domain: 49228 A? www.unice.fr.17:55:25.258351 ns-ext.vix.com.domain > pcs.univ-tln.fr.1025: 824- 0/4/5 17:55:25.298351 taloa.unice.fr.domain > pcs.univ-tln.fr.1025: 412* 1/4/4 A www.unice.fr 17:55:25.418351 diamant.unice.fr.domain > pcs.univ-tln.fr.1025: 206 FormErr% [0q] 0/0/0 17:55:25.458351 dns.inria.fr.domain > pcs.univ-tln.fr.1025: 35223*- 1/4/4 A www.unice.fr 17:55:25.508351 samoa.unice.fr.domain > pcs.univ-tln.fr.1025: 103* 1/4/4 A www.unice.fr 17:55:25.528351 taloa.unice.fr.domain > pcs.univ-tln.fr.1025: 49228* 1/4/3 A www.unice.fr 17:55:25.538351 pcs.univ-tln.fr.domain > 10.1.74.93.32769: 44351 1/4/0 A www.unice.fr

Page 55: résolution des noms

zone

Une zone est contrôlée par un ensemble de serveurs dispersés sur le réseau pour des raisons de sécurité et d’efficacité.

Le protocole DNS prévoit des communications de maintenance entre les serveurs d’une même zone.

Page 56: résolution des noms

fichiers maîtres

Les fichiers maîtres décrivent les RR d’initialisation d’une zone.

Ils renseignent sur les paramètres de maintenance : noms des serveurs secondaires, délais relatifs aux informations cachées.

Ils contiennent les enregistrements des hôtes et sous-zones.

Page 57: résolution des noms

accès à la racine• ; <<>> DiG 9.1.0 <<>> @mail.univ-tln.fr• ;; global options: printcmd• ;; Got answer:• ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 23048• ;; flags: qr rd ra; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 13• ;; QUESTION SECTION:• ;. IN NS• ;; ANSWER SECTION:• . 446810 IN NS K.ROOT-SERVERS.NET.• . 446810 IN NS L.ROOT-SERVERS.NET.• . 446810 IN NS M.ROOT-SERVERS.NET.• . 446810 IN NS I.ROOT-SERVERS.NET.• . 446810 IN NS E.ROOT-SERVERS.NET.• . 446810 IN NS D.ROOT-SERVERS.NET.• . 446810 IN NS A.ROOT-SERVERS.NET.• . 446810 IN NS H.ROOT-SERVERS.NET.• . 446810 IN NS C.ROOT-SERVERS.NET.• . 446810 IN NS G.ROOT-SERVERS.NET.• . 446810 IN NS F.ROOT-SERVERS.NET.• . 446810 IN NS B.ROOT-SERVERS.NET.• . 446810 IN NS J.ROOT-SERVERS.NET.• ;; ADDITIONAL SECTION:• K.ROOT-SERVERS.NET. 533210 IN A 193.0.14.129• L.ROOT-SERVERS.NET. 533210 IN A 198.32.64.12• M.ROOT-SERVERS.NET. 533210 IN A 202.12.27.33• I.ROOT-SERVERS.NET. 533210 IN A 192.36.148.17• E.ROOT-SERVERS.NET. 533210 IN A 192.203.230.10• D.ROOT-SERVERS.NET. 533210 IN A 128.8.10.90• A.ROOT-SERVERS.NET. 533210 IN A 198.41.0.4• H.ROOT-SERVERS.NET. 533210 IN A 128.63.2.53• C.ROOT-SERVERS.NET. 533210 IN A 192.33.4.12• G.ROOT-SERVERS.NET. 533210 IN A 192.112.36.4• F.ROOT-SERVERS.NET. 533210 IN A 192.5.5.241• B.ROOT-SERVERS.NET. 533210 IN A 128.9.0.107• J.ROOT-SERVERS.NET. 533210 IN A 192.58.128.30• ;; Query time: 358 msec• ;; SERVER: 193.49.96.2#53(mail.univ-tln.fr)• ;; WHEN: Sat Mar 1 11:48:16 2003• ;; MSG SIZE rcvd: 436

Page 58: résolution des noms

traceroute vers b.root.net 1 10.1.65.2 (10.1.65.2) -9609.347 ms 16066.935 ms 1.117 ms 2 192.168.254.254 (192.168.254.254) -15925.619 ms 134.055 ms * 3 marseille-3-a7.routers.proxad.net (213.228.3.77) 6357.025 ms -5951.160 ms 167.665 ms 4 cbv-12x-1-a8.routers.proxad.net (213.228.2.120) -9701.837 ms 179.317 ms 179.690 ms 5 blackd-th1-1-a6.routers.proxad.net (213.228.3.23) 191.751 ms -9884.244 ms * 6 above.FreeIX.net (213.228.3.234) -5367.553 ms * -5232.061 ms 7 pos8-0.cr1.cdg2.fr.mfnx.net (208.184.231.214) 179.796 ms -10084.249 ms 2169.050 ms 8 * so-5-0-0.cr1.lhr3.uk.mfnx.net (64.125.31.154) -14821.417 ms -10622.332 ms 9 so-0-0-0.cr2.lhr3.uk.mfnx.net (208.184.231.146) 15031.984 ms -14669.858 ms *10 so-7-0-0.cr2.lga1.us.mfnx.net (64.125.31.182) 286.134 ms -10766.261 ms *11 so-1-0-0.cr2.iad1.us.mfnx.net (208.184.233.65) -3340.357 ms -10896.270 ms *12 so-0-0-0.cr1.iad1.us.mfnx.net (208.185.0.109) -3080.557 ms -11014.251 ms *13 so-3-0-0.mpr1.iad5.us.mfnx.net (216.200.127.10) -2796.607 ms -11158.318 ms *14 64.124.112.29.cogentco.com (64.124.112.29) -2544.650 ms -11288.315 ms *15 p15-0.core02.dca01.atlas.cogentco.com (66.28.4.22) -2284.714 ms -11824.397 ms *16 p14-0.core01.atl01.atlas.cogentco.com (66.28.4.161) -1176.920 ms -11950.268 ms 249.668 ms17 p15-0.core01.jax01.atlas.cogentco.com (66.28.4.137) 259.664 ms 259.297 ms 259.603 ms18 p14-0.core01.mco01.atlas.cogentco.com (66.28.4.153) 259.708 ms -12328.227 ms 259.713 ms19 p14-0.core01.tpa01.atlas.cogentco.com (66.28.4.142) 259.624 ms -12506.352 ms 259.612 ms20 p5-0.core01.iah01.atlas.cogentco.com (66.28.4.45) 279.676 ms -12490.329 ms 439.550 ms21 p14-0.core01.san01.atlas.cogentco.com (66.28.4.6) 319.664 ms -12932.324 ms 309.681 ms22 p4-0.core01.lax01.atlas.cogentco.com (66.28.4.77) 399.614 ms 467.281 ms 479.609 ms23 g50.ba01.b000899-0.lax01.atlas.cogentco.com (66.28.6.246) 479.785 ms -13454.40824 * USC_ISI-Los-Nettos.demarc.cogentco.com (66.28.28.34) 392.916 ms 14372.774 ms25 dmz-isi.isi.edu (198.32.16.49) 383.627 ms -13842.088 ms 319.655 ms26 b.root-servers.net (128.9.0.107) 329.724 ms -14074.247 ms 319.634 ms

Page 59: résolution des noms

opérations de maintenance

Numéro de série : serial périodicité des vérifications : refresh délai entre deux tentatives : retry durée de validité : expire

Les serveurs secondaires sont informés périodiquement ( refresh) du numéro de série de la zone. En cas d’augmentation, ils contactent la zone pour mise à jour.

Page 60: résolution des noms

4 Résolution : serveurs. configuration de named

fichiers /etc/ .conf exemple de /etc/named.conf la zone racine zone locale zone bidon

Page 61: résolution des noms

/etc/named.conf

Les paramètres d’initialisation du daemon named du système de noms de domaine du package BIND.

Berkeley Internet Name Daemon.

sont décrits dans /etc/named.conf.

Le fichier de configuration qui contient toutes les informations des zones. Voir aussi :

/etc/hosts.conf hosts : files dns/etc/nsswitch.conf order hosts, bind

multi on

Page 62: résolution des noms

/etc/named.conf

// generated by named-bootconf.pl

options {directory "/var/named";

};zone "." IN {

type hint;file "named.ca";

};zone "localhost" IN { type master; file "localhost.zone"; allow-update { none; };};

zone "0.0.127.in-addr.arpa" IN { type master; file "named.local"; allow-update { none ; };};

zone "univ-tln.fr" IN { type master; file "named.univ-tln.fr";};

zone "65.1.10.in-addr.arpa" IN { type master; notify no; file "db.10.1";};

Page 63: résolution des noms

named.univ-tln.fr@ IN SOA pcs.univ-tln.fr. postmaster.pcs.univ-tln.fr. ( 20020201; serie 28800; refresh; 14400; retry; 604800; expire; 86400 ) ;@ IN NS pcs.univ-tln.fr.@ IN MX 20 pcs.univ-tln.fr.

; serveur de nomspcs IN A 10.1.65.1@ IN NS 16.7.27.1; noms canoniqueswww CNAME pcs.univ-tln.fr.; adresse ip des machines du reseau epsilon IN A 10.1.65.2microbe IN A 10.1.65.3

Page 64: résolution des noms

/var/named/db10.1.65@ IN SOA pcs.univ-tln.fr. postmaster.pcs.univ-tln.fr. ( 20020201 28800; 14400; 604800; 86400 ) ;

;serveur de noms@ IN NS pcs.univ-tln.fr. ;adresse ip inverse1 IN PTR pcs.univ-tln.fr. 2 IN PTR epsilon.univ-tln.fr.3 IN PTR microbe.univ-tln.fr.

Page 65: résolution des noms

résolution inversehost -a -r 193.in-addr.arpa.Trying "193.in-addr.arpa."opcode: QUERY, status: NOERROR, id: 43026;; flags: qr ra; ;; QUERY: 1, ANSWER: 1, AUTHORITY: 6, ADDITIONAL: 8;; QUESTION SECTION:;193.in-addr.arpa. IN ANY;; ANSWER SECTION: 193.in-addr.arpa. 5662 IN SOA ns.ripe.net. 2003030201 43200 7200 1209600 7200;; AUTHORITY SECTION:193.in-addr.arpa. 84858 IN NS ns.ripe.net.193.in-addr.arpa. 84858 IN NS NS.APNIC.net.193.in-addr.arpa. 84858 IN NS NS2.NIC.FR.193.in-addr.arpa. 84858 IN NS SUNIC.SUNET.SE.193.in-addr.arpa. 84858 IN NS AUTH03.NS.UU.net.193.in-addr.arpa. 84858 IN NS MUNNARI.OZ.AU.;; ADDITIONAL SECTION:ns.ripe.net. 171259 IN AAAA 2001:610:240:0:193::193 ns.ripe.net. 171285 IN A 193.0.0.193NS.APNIC.net. 171257 IN A 203.37.255.97NS2.NIC.FR. 171257 IN A 192.93.0.4SUNIC.SUNET.SE. 171257 IN A 192.36.125.2AUTH03.NS.UU.net. 171257 IN A 198.6.1.83MUNNARI.OZ.AU. 5685 IN AAAA 2001:388:c02:4000::1:21MUNNARI.OZ.AU. 172494 IN A 128.250.1.21Received 384 bytes from 212.27.32.5#53 in 195 ms

Page 66: résolution des noms

suitehost -a -r 96.49.193.in-addr.arpa. ns.ripe.netTrying "96.49.193.in-addr.arpa."Using domain server: ns.ripe.netAddress: 193.0.0.193#53Aliases: ;; opcode: QUERY, status: NOERROR, id: 46237;; flags: qr; ;; QUERY: 1, ANSWER: 0, AUTHORITY: 2, ADDITIONAL: 0;; QUESTION SECTION:;96.49.193.in-addr.arpa. IN ANY;; AUTHORITY SECTION:96.49.193.in-addr.arpa. 86400 IN NS dns.inria.fr.96.49.193.in-addr.arpa. 86400 IN NS rhodes.univ-tln.fr.Received 96 bytes from 193.0.0.193#53 in 194 ms

Page 67: résolution des noms

domaine in-addr.arpa.

Page 68: résolution des noms

attaque des serveurs de noms

La prédictibilité des identificateurs de transactions est une faille de sécurité importante. Elle donne lieu à deux attaques : DNS spoofing DNS cache poisening

Page 69: résolution des noms

ns.pirate.fr

ns.naif.fr

Id0 : any mac.naif.fr ?

Id0 : mac ptr 10.1.0.13

10.1.0.13

10.1.0.2

mac.naif.fr

Page 70: résolution des noms

ns.pirate.fr

ns.naif.fr10.1.0.13

Id0 q: A ? mc.dom.nil

ns.dom.nil

Idx q: A ? mc.dom.nil

Idz r: 10.1.0.13