Domain Name System 網域名稱系統

1

Domain Name System網域名稱系統

2

OutlineWhy DNS?DNS 基礎概念電腦的命名實習

◦查詢網域名稱◦架設網域名稱伺服器 (DNS Server)

3

Why DNS?

我家裡電腦放了新的音樂，快連過來抓吧！～～

聽起來好棒喔！請問 IP 位址是？

Image Ref.:このホームページでは一部、ねこねこソフトの画像素材を使用しています。また、これらの素材を他へ転載することを禁じます。

4

Why DNS?

122.117.89.220

…… 呃？

Image Ref.:このホームページでは一部、ねこねこソフトの画像素材を使用しています。また、これらの素材を他へ転載することを禁じます。

5

Why DNS?結論： IP 位址不易記憶我們需要更好記憶的方式

解藥： DNS

6

DNS 基礎概念

摘自 TWNIC 97 年度 DNS 安全教育訓練TWNIC 技術組編撰

77

網域名稱是什麼 ?網域名稱是企業或個人在網路上的身份，◦如同 IP 一樣，都具有唯一的特性◦網域名稱比 IP 好記◦好記的網域名稱成為大家申請的對象 字數少 / 特殊意義單字 / 諧音字

* 摘自 TWNIC 97 年度 DNS 安全教育訓練 / TWNIC 技術組編撰

88

域名之分類分類 : 在區分不同的屬性

◦ Top Level Domain (TLD) 頂級域名 gTLDs:

com/net/org/gov/edu/… 共 18類 http://www.iana.org/gtld/gtld.htm

ccTLDs: tw/cn/jp/us 共 248 個 http://www.iana.org/cctld/cctld-whois.htm

◦ Second Level Domain (第二層域名 ) com.tw/org.tw/ 等

目前 tw 之第二層域名◦ com.tw/net.tw/org.tw/edu.tw/gov.tw/mil.tw◦ idv.tw/game.tw/club.tw/ebiz.tw

TWNIC 於 2005/11/1 開放泛英 (xxx.tw) 申請

* 摘自 TWNIC 97 年度 DNS 安全教育訓練 / TWNIC 技術組編撰

99

Internet 的歷史 (1)1960 年代

◦ 57 ARPA 觀念之提出及 IP 觀念之產生◦ 61 分封交換關念之提出

Time Sharing 多工觀念之提出

◦ 69 ARPANet誕生 , 連接數個研究單位1970 年代

◦ 70 hosts 之使用 ,◦ 71-72 電子郵件出現 , 並使用 @ 代表◦ 73 FTP 出現 / 互連網觀念被提出

研究出乙太網路(Ethernet)

◦ 74 TCP 通訊協定出現Telnet 出現

◦ 76 第一封經由網路傳送的 Email 出現◦ 78 發明數據機 (modem)◦ 79 MUD 出現

Newsgroup 出現(usenet)* 摘自 TWNIC 97 年度 DNS 安全教育訓練 / TWNIC 技術組編撰

1010

Internet 的歷史 (2)1980 年代

◦ 80 400台主機連接超過 10000 名使用者DOS 出現並與 IBM 結合

◦ 81 Gateway(EGP) 觀念出現IBM PC 問世

◦ 82 TCP/IP 標準確認Internet 名詞出現

◦ 83 名稱伺服器出現網域名稱制度提出

◦ 84 DNS 標準確立Cisco/AOL 成立

◦ 85 Symbolics.com 為第一個網域名稱註冊者◦ 86 NNTP(usenet) 標準確立

SGML 出現 (HTML 前身 )PC Virus 出現

◦ 88 第一個 Internet Worm 出現 , 感染 5% 主機CERT 成立

Eudora 出現 , 刺激了 Email 的發展

* 摘自 TWNIC 97 年度 DNS 安全教育訓練 / TWNIC 技術組編撰

1111

Internet 的歷史 (3) 1990

◦ 90 TANET 成立撥接服務出現

WWW 觀念提出◦ 91 Internet 開放商用化◦ 92 中山大學成立台灣第一個 BBS站

WWW 服務問世◦ 93 第一個瀏覽器 Mosaic 問世 , WWW 急遽發展

網域名稱伴隨 WWW 需求快速發展

◦ 94 Hinet 商用 Internet服務網路銀行 / 拍賣出現

Netscape 出現 , 結合 Email 功能 , Eudora 漸式微◦ 95 Window 95 發表

Amazon/Yahoo/Ebay 成立 IP Phone(VoIP) 出現

Netscape vs. IE 之爭

Internet 至 1995 大柢上奠基現今發展的基礎* 摘自 TWNIC 97 年度 DNS 安全教育訓練 / TWNIC 技術組編撰

1212

DNS 背景介紹DNS 的歷史

◦IP Network 的興起 , 網網互連◦愈來愈多的主機 ,hosts 檔的出現

主機名稱的衝突 資訊的一致性 資料的管理

1984 年 Paul Mockapetris 建立了第一個 DNS 的規範 (RFC1034， RFC1035)◦85 年隨即出現了第一個網域名稱

* 摘自 TWNIC 97 年度 DNS 安全教育訓練 / TWNIC 技術組編撰

1313

域名與 Internet相關服務之關係 名稱解析服務為 Internet 服務最基礎的一環◦ TWNIC 被列為國內 20最重要的資安單位

名稱解析提供機器名稱與 IP 位址雙向對映的機制◦ WWW www.hinet.net <-> 168.95.1.82◦ MAIL msa.hinet.net <-> 168.95.4.211

網域名稱比 IP 容易記， 且具代表意義使用網域名稱讓系統更具移值性，當 IP 變動，只需更改 DNS 設定即可，程式 網頁等不需更改

* 摘自 TWNIC 97 年度 DNS 安全教育訓練 / TWNIC 技術組編撰

1414

DNS 運作模式 名稱查詢之服務 分散式

◦ 自己的資料由自己維護，而其他人的資料則分散在全球◦ 沒有一台電腦會有全部的 DNS資料◦ 全球最大的分散式資料庫系統◦ 以樹狀結構的方式找到目的位址 ( 每個節點需要授權 )◦ http://www.root-servers.org/ 目前 Root Server

分布情形 穩定

◦ 負載平衡 : 可由 Master 主機自由的複製到 Slave 主機◦ 備援 : 一個網域名稱可有多台主機共同服務 ( 輸流查詢 )

樹狀結構◦ 經由全球唯一的 Root Server 達到正確搜尋的目的◦ Root Server 共十三部，每一部可能都有許多 Mirror ( 如 f.root-servers.net 有二三十部 )

效率◦ 使用 UDP 封包◦ 查詢速度基本上都在 100 msec 內◦ 經由 Cache 來加快 DNS 的查詢

* 摘自 TWNIC 97 年度 DNS 安全教育訓練 / TWNIC 技術組編撰

1515

DNS 名稱表示法Fully Qualified Domain Name (FQDN)

WWW.EP.NET.每一個名稱間以 . 隔開

一個 FQDN 可以對應到不同的位置或服務◦一個名稱對應到多個 IP 稱為 Round Robin◦一個名稱對應到不同的服務如 MX

每個 FQDN 如同 IP 一般皆具有唯一性其限制

◦最多 127 層◦每個分支最長 63 字元 (a-z， 0-9， -)◦總長 255 字元

注意結尾的點

* 摘自 TWNIC 97 年度 DNS 安全教育訓練 / TWNIC 技術組編撰

1616

DNS 樹狀結構

為網域名稱或機器名稱為上一層與下一層的委任關係

Root

tw cn com net biz arpa …

com net gov …

twnic

www whois cdns Zone1

host1 host1

in-addr ip6 e164

211

72

211210

註 DNS 的搜尋由上往下

IPv4 反解

IPv6 反解

* 摘自 TWNIC 97 年度 DNS 安全教育訓練 / TWNIC 技術組編撰

1717

運作原理 圖示

查詢

ww

w.tw

nic.net.tw

是否屬於自己的 DN ? 是則回應結果

是否有 Cache 資料 ? 是則回應結果

皆非則向 root “.” 　詢問 --->

得到的 DNS 資料及主機資料都會 Cache 以備下一次資料被查詢時使用

root

.tw

詢問 .tw 再哪 ?

回應 .tw 位址s

詢問 net.tw 再哪 ?

回應 net.tw 位址

net.tw詢問 twnic.net.tw 再

哪 ?

回答 DNS 位置

詢問 www.twnic.net.tw 到底再哪 ?

twnic.net.tw回答 210.17.9.228

回應結果

RecursiveNon-Recusive

* 摘自 TWNIC 97 年度 DNS 安全教育訓練 / TWNIC 技術組編撰

1818

運作原理 (1) 當被詢問到有關本域名之內的主機名稱的時候， DNS伺服器會直接做出回答 ( 此一答案稱為權威回答 (Authoritative Answer)，此一主機稱為權威主機 )

如果所查詢的主機名稱屬於其它域名的話，會檢查快取 (Cache)，看看有沒有相關資料

如果沒有發現，則會轉向 root伺服器查詢，然後 root伺服器會將該域名之授權(authoritative)伺服器 ( 可能會超過一台 ) 的地址告知

* 摘自 TWNIC 97 年度 DNS 安全教育訓練 / TWNIC 技術組編撰

1919

運作原理 (2)

本地伺服器然後會向其中的一台伺服器查詢，並將這些伺服器名單存到記憶體中，以備將來之需 ( 省卻再向root查詢的步驟)

遠方伺服器回應查詢

將查詢結果回應給客戶，並同時將結果儲存一個備份在自己的快取記憶裡面

如果Cache資料的時間尚未過期之前再接到相同的查詢，則以存放於快取記憶裡面的資料來做回應

* 摘自 TWNIC 97 年度 DNS 安全教育訓練 / TWNIC 技術組編撰

2020

DNS 的平台UNIX

◦常見為 ISC BIND◦共約發行四五十個版本 ( 4.X~9.X)◦建議使用 9.2.2 以上版本◦穩定，可靠，最多人使用

Windows◦可見於 Windows Server 級的版本◦簡單設定是其優點◦ GUI 設定◦根據 BIND 4.x 修改而來, 並持續更新◦ Bind 可於 Widnows 上運作

* 摘自 TWNIC 97 年度 DNS 安全教育訓練 / TWNIC 技術組編撰

2121

名稱伺服器類型權威主機(Authoritative)

◦可管理或回答其網域名稱之答案◦ Master 主機指 DNS 所管轄的資料是從檔案 ( Zone File) 中而來 (twnic.net.tw)

◦ Slave 主機指 DNS 所管轄的資料是以轄區傳送(Zone Transfer) 從 Master 而來 (ns.twnic.tw)

Cache-Only 主機 (168.95.1.1)◦即沒有管理任何的網域名稱，接受查詢與回應並將其快取以備使用

* 摘自 TWNIC 97 年度 DNS 安全教育訓練 / TWNIC 技術組編撰

22

名稱伺服器類型

Zone File

master

slave

slave

Internet

轄區傳送

轄區傳送

* 摘自 TWNIC 97 年度 DNS 安全教育訓練 / TWNIC 技術組編撰

2323

正解 / 反解之意義與原理 正解 (forward domain): 由機器名稱對應至 IP 反解 (reverse domain): 由 IP 對應至網域名稱

◦ 反解的 DNS Query 遠比正解高出許多◦ 向 ISP 提出 IP 建立反解的需求

正反解一致有其必要性◦ 雖然多數的系統不強求正反解一致性 , 但少數的公司或學校對此仍有要求

◦ 由來源 IP 查反解名稱，依結果再查正解，並檢驗其結果◦ 有部分的 Mail Server也會使用正反解確認的機制來減少SPAM的問題

* 摘自 TWNIC 97 年度 DNS 安全教育訓練 / TWNIC 技術組編撰

24

電腦的命名

25

電腦的命名FYI 5 (RFC 1187)

Choosing a Name for Your Computer◦ Don't overload other terms already in

common use.◦ Don't use long names.◦ Don't use your own name.◦ Use theme names. (e.g. aqua, crimson…

etc.)◦ Use real words.◦ …etc.

26

電腦的命名暨大資工系 (早期 )

◦數學家名稱◦ erdos.csie.ncnu.edu.tw (Paul Erdös)◦ polya.csie.ncnu.edu.tw (George Polya)◦ euclid.csie.ncnu.edu.tw (歐幾里德 )

27

電腦的命名暨大資工系 (近期 )

◦克寧老師：幫電腦取名就要用女性名稱！◦ lilina.csie.ncnu.edu.tw (鋼彈W)◦ teto.csie.ncnu.edu.tw (風之谷 )◦ tima.csie.ncnu.edu.tw ( 大都會 /手塚治虫 )

28

電腦的命名您想好如何為自己的電腦取名了嗎？

29

實習

30

查詢網域名稱Windows

◦NslookupUnix

◦Nslookup◦Host◦Dig

31

架設網域名稱伺服器 (DNS Server)以於 CentOS 安裝 BIND 9 為例

◦yum install bind bind-chroot設定防火牆

◦ Setup -> Firewall Configuration◦ 關閉 SELinux ( 須重新啟動系統 )◦ 開放 53:udp

32

架設網域名稱伺服器 (DNS Server)設定防火牆

◦ Setup -> Firewall Configuration

12

33

架設網域名稱伺服器 (DNS Server)設定防火牆

34

架設網域名稱伺服器 (DNS Server)BIND 使用範例檔案 ( 課程提供 )

◦ cd /var/named/chroot◦ wget http://voip.com.ncnu.edu.tw/Summer2010/dns-

sample.tar.gz◦ tar zxvf dns-sample.tar.gz◦ ln -s /var/named/chroot/etc/named.conf /etc/named.conf

35

架設網域名稱伺服器 (DNS Server)測試用域名 : pcXXX.ccnet.ncnu.edu.tw◦ 於 VM中使用 ifconfig查詢，以此類推：◦如為 10.10.36.1，則網域為 pc1.ccnet.ncnu.edu.tw

◦如為 10.10.36.20，則網域為 pc20.ccnet.ncnu.edu.tw

修改設定◦ /var/named/chroot/etc/named.local.zones◦ /var/named/chroot/var/named/data/named.lug

36

架設網域名稱伺服器 (DNS Server)named.local.zoneszone "pc161.ccnet.ncnu.edu.tw" {

type master;

file "/var/named/data/named.lug";

allow-query { any; };

allow-update { none; };

};

37

架設網域名稱伺服器 (DNS Server)named.lug$TTL 300@ IN SOA ns.pc161.ccnet.ncnu.edu.tw.

s97321537.ncnu.edu.tw. (2010070801 ; serial300 ; refresh 5 min.60 ; retry 1 min.604800 ; expirt 1 weeks3600 ; negative ttl 1 hour)IN NS ns.pc161.ccnet.ncnu.edu.tw.IN MX 0 alice.pc161.ccnet.ncnu.edu.tw.

ns IN A 10.10.39.161

alice IN A 10.40.11.161alice IN TXT "This is Alice's computer!"alice IN HINFO "Pentium 4" "Linux"

selina IN A 10.10.21.198

38

免費資源免費網域名稱

◦台灣BBS 聯盟 ( 提供免費 *.twbbs.org 域名 )

◦DynDNS ( 提供 *.dyndns.org 等域名與 DDNS)

◦TWNIC *.idv.tw 14天免費推廣活動DNS 代管 ( 域名需自備 )

◦Hurricane Electric Hosted DNS◦XName.org

39

ReferenceTWNIC 97 年度 DNS 安全教育訓練 / TWNIC 技術

組編撰RFC 1187 (FYI 5) Choosing a name for your

computer. D. Libes. August 1990.DNS & BIND 管理 / Paul Albitz, Cricket Liu 著 ;

蔣大偉編譯 (O’Reilly 歐萊禮 2007)

http://voip.com.ncnu.edu.tw/Summer2010/index.html