1 / 88

Servizi Internet di base

Filippo Castiglione, IAC – CNR, Roma. Servizi Internet di base. Domain Name System. Argomenti. Argomenti. Breve storia. Gli indirizzi IP sono difficili da ricordare: vanno bene per la comunicazione tra le macchine

maile-payne
Download Presentation

Servizi Internet di base

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Filippo Castiglione, IAC – CNR, Roma Servizi Internet di base Domain Name System

  2. Argomenti

  3. Argomenti

  4. Breve storia • Gli indirizzi IP sono difficili da ricordare: vanno bene per lacomunicazione tra le macchine • Ä modello centralizzato: agli albori di Internet l’associazionetra indirizzo IP e nomi delle macchine era registrata nel fileHOSTS.TXTmantenuto presso SRI-NIC (Arpanet) (che veniva scaricato con FTP da tutti gli host [RFC-952, RFC-953]) • § traffico e sovraccarico del server centrale • § collisioni dei nomi • § consistenza dei dati gestiti centralmente • Ä modello distribuito: all’inizio degli anni ‘80, l’aumento delnumero degli host ha reso indispensabile l’adozione di unmodello di gestione distribuita denominato Domain NameSystem (il sistema dei nomi di dominio)

  5. Breve storia – RFC di riferimento • Il “Domain Name System” Ä Creato nel 1983 da Paul Mockapetris (RFCs 1034 e 1035), modificato, aggiornato e migliorato da una miriade di successive RFCs Ä Domain Name System (DNS) § definito presso ISI - USC 1984 § RFC 882, RFC 883, RFC 973 (obsolete) § RFC 1034, RFC 1035, RFC 1123, RFC 1537, RFC 1912

  6. Le funzioni www.iac.cnr.it 150.146.2.21 • Ä ad ogni risorsa TCP/IP può essere assegnato unnome simbolico • Sono necessari: • § un metodo per associare al nome simbolico di una macchinal’indirizzo (o gli indirizzi) IP: risoluzione diretta • § un metodo per associare ad un indirizzo IP il nome simbolicodella macchina: risoluzione inversa diretta inversa

  7. Caratteristiche principali Il DNS permette ad ogni organizzazione che ha accessoad Internet di: Äamministrare la relazione tra nomi ed indirizzi delproprio dominio in maniera autonoma edindipendente Ärisolvere i nomi fuori del proprio dominio accedendo alle informazioni gestite da altre organizzazioni

  8. Caratteristiche principali • database distribuito • basato sul modello client/server Ä tre componenti principali: • § spazio dei nomi e informazioni associate (Resource Record- RR) • § nameserver (application server che mantiene i dati) • § resolver (client per l’interrogazione del nameserver) • Ä accesso veloce ai dati (database in memoriacentrale e meccanismo di caching)

  9. Lo spazio dei nomi • ÄLo spazio dei nomi è organizzato secondo unmodellogerarchico: • § il database del DNS ha una struttura logica “ad alberorovesciato” • § ciascun nodo dell’albero rappresenta un dominio • § ogni dominio può essere suddiviso in altri domini:sottodomini • § ogni nodo ha una etichetta che lo identifica rispetto al padre • Ä La radice dell'albero è unica, e la sua etichetta è vuota.In certi casi si indica anche come “.” • ÄLa struttura dello spazio dei nomi: • § domini generali (gTLD, general Top Level Domain) • § domini nazionali (ccTLD) • § domini per la risoluzione inversa (arpa)

  10. L’internet Domain Name Space • lo spazio dei nomi di Internet, per “tradizione” (RFC1591), è strutturatosecondo un modello misto organizzazionale/geografico • i Top-Level-Domain sono • § domini generali “storici” di tipo organizzazionale (gTLD): • com: organizzazioni commerciali • edu: università e ricerca USA • gov: organizzazioni governative USA • mil: organizzazioni militari USA • net: provider, centri di interesse per l’Internet, .. • org: organizzazioni non governative • int: organizzazioni internazionali, trattati, ... • § domininazionali, rappresentati dai codici ISO3166 di 2 lettere(ccTLD) • § il dominio arpa • § nuovi domini in corso di attivazione: .info, .museum, …

  11. Top Level Domains • § domini nazionali, rappresentati dai codici ISO 3166 di 2 lettere • (ccTLD) (http://www.iana.org/cctld/cctld-whois.htm) • § Il dominio .arpa (Address and Routing Parameter Area) viene usato solo per scopi di gestione dell’Internet-infrastructure. • § I nuovi gTLD operativi sono: • § .biz: businesses (e.g. http://www.nic.biz) • § .info: generale (e.g. http://www.nic.info) • § .museum: musei (e.g. http://www.nic.museum/) • § .name: persone (e.g. http://www.nic.name/) • § I nuovi gTLD in corso di attivazione: • § .aero: compagnie aeree • § .coop: cooperative • § .pro: professioni Esercizio: visitare il sito di IANA (Internet Assigned Number Authority) www.iana.org/cctld/cctld-whois.htm

  12. Visione d’insieme: esempio

  13. L’albero dei nomi Ä il “domain name” di ogni nodo è composto dalla sequenzadelleetichette dal nodo a “ “ (root), separate da “.” (punto). Es: e.c.a,oppureh.g.f.d.b Ä un nome a dominio assoluto è detto anche “fully-qualified domain name” oFQDN Ä il ”Distributed Information Tree” (albero dei nomi) definisce una gerarchia deinomi che rende ogni nome a dominio completamente qualificato univoco intutto l’albero

  14. Esempio ‘‘ ’’ root

  15. Esempio ‘‘ ’’ root info com Top Level Domains uk

  16. Esempio ‘‘ ’’ root info com Top Level Domains uk ceu hotels co ac First Level Domains ibm bt

  17. Esempio ‘‘ ’’ root info com Top Level Domains uk ceu hotels co ac First Level Domains ibm bt mpglaw rf.mpglaw.co.uk sysa sysb

  18. I domini • Ä per dominio si intende ilsottoalbero che inizia dalnodo con il domain name in questione • Ä di solito, le foglierappresentano ildomain name di un host • Ä ai nodi sono associate leinformazioni relative aquel nome a dominio(RR=resource record) • § entry di host • § entry strutturali

  19. La delega di autorita` (le zone) • Il DNS permette a organizzazioni dotate di un proprio dominio di: • § amministrare la relazione nomi-indirizzi del proprio dominio in maniera • autonoma ed indipendente • § definire le regole di naming all’interno del proprio dominio • § delegare ad altri la gestione degli eventuali domini figli (sotto-domini) • § risolvere i nomi fuori del proprio dominio accedendo alle informazioni • gestite da altre organizzazioni • Äla decentralizzazione della responsabilità amministrativa è ottenuta • attraverso il meccanismo della delega • Äil gestore del dominio “.” è InterNIC (per conto dello IANA/ICANN), che • delega l’autorità per la gestione dei TLD Esercizio: leggere http://www.internic.net/faqs/domain-names.html

  20. Esempio: distribuzione dell’autorita` (le zone) gestito da IANA/ICANN ‘‘.’’ info com uk ceu hotels co ac ibm bt mpglaw rf.mpglaw.co.uk sysa sysb

  21. Esempio: distribuzione dell’autorita` (le zone) gestito da Nominet gestito da IANA/ICANN ‘‘ ’’ info com uk ceu hotels co ac ibm bt mpglaw gestito da NSI rf.mpglaw.co.uk sysa sysb

  22. Esempio: distribuzione dell’autorita` (le zone) gestito da Nominet gestito da IANA/ICANN ‘‘ ’’ info com uk ceu hotels co ac ibm bt mpglaw gestito da NSI rf.mpglaw.co.uk sysa sysb gestito da Manches

  23. Domini e zone: differenze Ä le informazioni sono mantenute neinameserver Ä un nameserver mantiene i dati di unsottoinsieme dello spazio dei nomi: lazona Ä ogni zona può essere unsottodominio completo, cioècomprendere vari domini su unaporzione del DIT (Directory Information Tree) non disgiunta Ä un nameserver può gestire più zonedisgiunte Ä il dominio padre contiene solopuntatori alla sorgente dei dati deisuoi sottodomini § ciascuna zona contiene i nomi adominio e i dati appartenenti adcerto dominio, esclusi i nomi e idati dei sottodomini delegati adaltri

  24. Divisione in zone: esempio

  25. Domini e zone: I nameservers Ä la struttura gerarchica dello spazio dei nomi si riflette nella relazione trai nameserver Ä il meccanismo della delega di autorità si basa sui seguenti principi: § ogni nameserver di un dominio, per essere conosciuto nel DNS, deveessere stato registrato dal nameserver del dominio di livello superiore.Questo crea la delega § una volta delegata l'autorità su una zona il nameserver “padre” perdeogni possibilità di modificare le informazioni dei domini contenuti nellazona delegata § i nameserver delegati possono essere più d'uno (è consigliato avernealmeno due, in alcuni casi è addirittura obbligatorio), ma uno soloèquello che possiede la vera autorità perché gestisce i files contenentile informazioni

  26. Il “parenting” ovvero la creazione di sottodomini Quando conviene? Dipende da varie considerazioni: § necessità di definire sottodomini per partizionare uno spaziodei nomi piatto e molto esteso § necessità di distinguere l’affiliazione delle macchine di undominio § necessità di distribuire la gestione Ä quanti sottodomini definire? Ä quando delegarne la gestione? Ä che nome assegnare ai sottodomini? Attenzione alla corretta gestione del meccanismo delladelega per garantire la risoluzione dei nomi per tutto ildominio!!

  27. I root-servers • Ä i root-server sono i nameserver della “.“ (radice). • Ä sono essenziali al funzionamento del DNS perchè: • § contengono le informazioni sui Top-Level-Domain e sui relativi nameserver ai qualine delegano la gestione • § contengono le informazioni per la risoluzione inversa (risoluzione indirizzo-nome) • ogni nameserver deve conoscere nomi ed indirizzi deiroot-server • Ä la lista aggiornata dei root-server è mantenuta da InterNIC • § ftp://ftp.rs.internic.net/domain/named.root • § ftp://ftp.nic.it/pub/DNS/named.root Esercizio: ftp://ftp.rs.internic.net/domain/named.root

  28. Root Name Server Operators

  29. Il processo di risoluzione • Il processo di risoluzione dei nomi a dominio è basato sul modello clientserver: • Ä il nameserver (server) è un processo che ha il compito di fornire“risposte autoritative” ad interrogazioni sui nomi definiti nell’ambito deidomini per cui è autoritativo; • il resolver (client) è invece utilizzato dalle applicazioni che hannonecessità di effettuare una risoluzione di nomi a dominio. Esso ècostituito da un insieme di routine di libreria (es. gethostbyname) chesono in grado di colloquiare con i nameserver, interpretarne le rispostee restituire l’informazione al programma richiedente. E’ possibileconfigurare il default domain di appartenenza, la lista dei nameserverda interrogare e la search list in un apposito file di configurazione (es.file /etc/resolv.conf su Unix)

  30. Il processo di risoluzione dei nomi • Ä Se il nome desiderato non è nella zona (o nella cache)del NS interrogato, si innesca il processo di risoluzionedei nomi • Ä La richiesta di risoluzione risale il DIT (Directory Information Tree) fino alla radice e loridiscende fino ad arrivare ad un NS autoritativo la cuizona contiene il nome in questione e quindi anche i RR (resource record) • Ä La risposta, opportunamente salvata in tuttele cacheintermedie, viene infine passata dal resolver all’utente cheaveva effettuato la richiesta • Ä 2 modalità di risoluzione dei nomi: • § ricorsiva (il resolver chiede al nameserver; il nameserver pensa a tutto) • § iterativa (il resolver si rivolge direttamente ai vari nameservers dellacatena)

  31. Il processo di risoluzione dei nomi

  32. Nameserver autoritativi • Ä un nameserver si definisce autoritativo quando è“in possesso dei dati” per una determinata zonadell’albero dei nomi • Ä per un dominio vi possono essere piùnameserver autoritativi • § per avere una maggiore affidabilità è fortementeconsigliato averne più di uno, localizzati in modo daridurre il rischio di interruzione del servizio DNS • Ä i nameserver autoritativi si dividono in: • § primari • § secondari

  33. Nameserver autoritativi primari e secondari Ä Un nameserver si definisce primario quando possiede i file delleinformazioni (“file di zona”) e pertanto in ogni zona vi sarà un solonameserver primario Ä Un nameserver si definisce secondario quando acquisisce, dalnameserver primario, i dati relativi alla zona mediante unaprocedura automatica denominata “zone-transfer” § i parametri che regolano il funzionamento della procedura di zone-transfer sonocontenuti in uno specifico record del nameserver primario (record SOA) procedura: /usr/dns/etc/named-xfer -z domname -f outputfile authNS Ä è necessario valutare attentamente il numero e la dislocazione deinameserver secondari in modo da ridurre il più possibile il rischioche problemi di connessione possano impedire la risoluzione deinomi di un dominio

  34. Perché avere più server DNS? • Ä Ci sono tre ragioni per avere dei server secondari: • § Ridondanza • § Locazioni differenti • § Riduzione del carico sul primario • Ä Ridondanza • § Sono necessari almeno due nameservers per ogni zona, unprimario ed almeno un secondario per ridondanza. Come ogni fault tolerant system, le macchine devono essere il più indipendenti possibile (e.g su reti differenti). • Ä Locazioni differenti • § I secondary servers devono risiedere in locazioni differenti per poter gestire un alto numero di utenti (i.e. per evitare che gli utenti debbano comunicare su linee a bassa velocità). • Ä Riduzione del carico sul primario • § I name server secondary servono (ovviamente) anche per ridurre il carico di lavoro sul primary server.

  35. Caching Ä ogni nameserver mantiene copia di tutte le informazioni di cui èvenuto a conoscenza Ä tali informazioni sono utilizzate durante il processo dirisoluzione dei nomi Ä le risposte date dal nameserver sulla base della cache sono“not authoritative” Ä le informazioni nella cache di un nameserver rimangono valideper un tempo limitato (Time-To-Live, TTL) L’uso della cache può dare luogo a “temporanee” inconsistenze ma aumenta le performance del sistema

  36. Come funziona il meccanismo di DNS caching? • La cache risiede su disco o in memoria centrale? I record della cache sono memorizzati nel segmento dati del processo name-server in memoria centrale.Quindi la cache viene persa se il processo viene terminato. • Per quanto tempo viene mantenuta l’informazione nella cache? Ogni DNS resource record in risposta ad una query, contiene un valore “time to live” (TTL) che determina per quanto tempo il server può tenere quel record in cache.Un valore tipico è 86400 secondi (24 hours). • C’è un limite massimo per la cache? La cache cresce senza limitazioni, specialmente su servers molto importanti, dove nuovi records vengono messi in cache ad una velocità superiore rispetto a quelli a cui scade il TTL. Sui sistemi UNIX, il processo name server finirà per raggiungere la sua massima dimensione in memoria e verrà terminato dal kernel di sistema. E’ quindi una buona idea schedulare un “cron job”che lo termina e lo fa ripartire settimanalmente.

  37. L’albero per la risoluzione inversa (in-addr.arpa) nome indirizzo § 48.146.in-addr.arpa dominio § 65.48.146.in-addr.arpa sotto-dominio § 69.65.48.146.in-addr.arpa macchina Resource record = www.pippo.com

  38. Esempio: risoluzione dei nomi (ricorsiva) • Il processo di risoluzione dei nomi step-by-step: annie.west.sprockets.com ping www.nominum.com.

  39. The Resolution Process What’s the IP address of www.nominum.com? • La workstation annie chiede al suo name-server (quello configurato), dakota, l’indirizzo di www.nominum.com dakota.west.com annie.west.com ping www.nominum.com.

  40. The Resolution Process What’s the IP address of www.nominum.com? • Il name-server dakota chiede al root-name-server, m, l’indirizzo di www.nominum.com m.root-servers.net dakota.west.com annie.west.com ping www.nominum.com.

  41. The Resolution Process Here’s a list of the com name servers. Ask one of them. • Il root-server m riferisce a dakota il nome dei name-server com • Questo tipo di risposta si chiama un “referral” m.root-servers.net dakota.west.com annie.west.com ping www.nominum.com.

  42. The Resolution Process What’s the IP address of www.nominum.com? • Il name-server dakota chiede al name-server com, f, l’indirizzo di www.nominum.com m.root-servers.net dakota.west.com f.gtld-servers.net annie.west.com ping www.nominum.com.

  43. The Resolution Process Here’s a list of the nominum.com name servers. Ask one of them. • Il name-server com, f, riferisce a dakota il nome del name-server di nominum.com m.root-servers.net dakota.west.com f.gtld-servers.net annie.west.com ping www.nominum.com.

  44. The Resolution Process What’s the IP address of www.nominum.com? • Il name-server dakota chiede ad uno dei server nominum.com, ns1.sanjose, l’indirizzo di www.nominum.com m.root-servers.net dakota.west.com ns1.sanjose.nominum.net f.gtld-servers.net annie.west.com ping www.nominum.com.

  45. The Resolution Process Here’s the IP address for www.nominum.com • Il name-server nominum.com, ns1.sanjose, risponde con l’indirizzo di www.nominum.com m.root-servers.net dakota.west.com ns1.sanjose.nominum.net f.gtld-servers.net annie.west.com ping www.nominum.com.

  46. The Resolution Process Here’s the IP address for www.nominum.com • Il name-server dakota risponde ad annie con l’indirizzo di www.nominum.com m.root-servers.net dakota.west.com ns1.sanjose.nominum.net f.gtld-servers.net annie.west.com ping www.nominum.com.

  47. Resolution Process (Caching) • Dopo la query precedente, il name-server dakota conosce: • I nomi e gli indirizzi IP dei name-servers com • I nomi e gli indirizzi IP dei name-servers nominum.com • L’indirizzo IP di www.nominum.com • Rivediamo il processo di risoluzione annie.west.com ping ftp.nominum.com.

  48. Resolution Process (Caching) What’s the IP address of ftp.nominum.com? • La workstation annie chiede al suo name-server, dakota, dell’indirizzo ftp.nominum.com m.root-servers.net dakota.west.com ns1.sanjose.nominum.net f.gtld-servers.net annie.west.com ping ftp.nominum.com.

More Related