El DNS (Domain Name Service)
Vicente González Ruiz
December 14, 2014
Contents
All public Internet addresses must be registered with a Regional Internet Registry
(RIR). Organizations can lease public addresses from an ISP. Only the registered
holder of a public Internet address can assign that address to a network
device.
1 Funci’on
- En Internet cada host p’ublico se identifica mediante su direcci’on IP.
- Las dirs IP nos son f’aciles de recordar para los humanos. Nosotros
utilizamos mejor “nombres de hosts”.
- El DNS se encarga de traducir los nombres en sus correspondientes dirs
IP [1].
2 Caracter’isticas
- RFC’s 1034 y 1035.
- El DNS es una base de datos distribuida (ning’un host servidor de
DNS, tambi’en llamado servidor de nombres (name server), conoce
todas las traducciones). Si esto no fuera as’i el sistema no escalar’ia
porque:
- Existir’ia un ’unico punto de fallo.
- Ser’ia un cuello de botella.
- La base de datos con los registros DNS estar’ia alejada de la mayor’ia
de los host de Internet.
- Una base de datos enorme, en continuo cambio, recaer’ia en una sola
m’aquina y su mantenimiento ser’ia muy costoso.
- Los servidores DNS son habitualmente m’aquinas Unix que ejecutan el demonio
BIND (Berkeley Internet Name Domain).
- Los servidores de nombres escuchan a trav’es del puerto 53.
- El DNS es un servicio cr’itico para el funcionamiento de Internet porque la
mayor’ia de las aplicaciones que interactuan con humanos necesitan la
resoluci’on de nombres constantemente.
- El DNS se implementa sobre el UDP.
- El tiempo de respuesta es ilimitado, aunque generalmente pequeño (d’ecimas
de segundo). Esto tiene mucho que ver con que el DNS se base en el UDP (y
’este en el IP).
3 DNS architecture
- The Domain Name system uses a hierarchical system to create a name
database to provide name resolution.
4 DNS Message Format
- All (client) queries and server responses,
- error messages and
- the transfer of resources records between servers
have the same message format:
Header
Question -> For client queries
Answer -> Resource Records answering the Question
Authority -> Resource Records pointing toward an
authoritative name server (optional)
Additional -> Resource Records holding additional
information (optional)
5 Zonas, dominios y servidores autorizados
- Los nombres de dominio (domain names) o simplemente dominios son los
nombres que reciben cada una de las zonas DNS (DNS zones) en las que
ser organiza el DNS.
- Todos los hosts de una misma zona poseen el mismo dominio, es decir,
todos los nombres de host (host names) de un mismo dominio tienen la
misma “coletilla”. Por ejemplo, todos los hosts de la zona DNS asociada
a la Universidad de Almer’ia pertenecen al dominio “ual.es”.
- Los nombres de dominio y los nombres de host se forman concatenando
etiquetas (labels) con puntos (“.”). Ejemplo: “www.ual.es”.
- En cada dominio existe al menos un servidor de nombres autorizado
(authoritative nameserver) que es el responsable de los registros DNS de dicho
dominio. Por ejemplo, para el dominio “es” el servidor de nombres autorizado
es “ns1.nic.es”:
y para el dominio “ual.es” es “filabres.ual.es”:
6 Subzonas y delegaci’on de dominios
- Algunas zonas, como la asociada al dominio “es” son tan grandes (tienen
dentro tantos hosts) que se dividen en subzonas para ser adeministradas
m’as falcilmente. Ejemplo: “ual.es” es una subzona de “es”.
- Cuando el administrador de un dominio delega la administraci’on de un
sub-dominio (como pasa entre “es” y “ual.es”), el servidor de nombres
autorizado del dominio de m’as alto nivel (“es”) ya no mantiene los
registros DNS para el sub-dominio (“ual.es”), que pasan a ser mantenidos
por el servidor de nombres autorizado para el sub-dominio.
7 El mecanismo de resoluci’on
- Determina las dirs IP a partir de los nombres de dominio.
- Lo realizan los servidores DNS y los hosts .
- Cuando un servidor DNS recibe una petici’on, primero busca en su cache
el correspondiente registro DNS fresco. Si lo encuentra, lo sirve al host que
le pregunt’o.
- Si no lo encuentra, entonces pregunta a otro servidor DNS situado en
una zona DNS m’as alta en la jerarqu’ia DNS (dominio m’as corto). Para
hacer esto, la inmensa mayor’ia de servidores DNS est’an configurados
para consultar a un servidor de nombres ra’iz, aunque tambi’en es posible
usar otro servidor DNS intermedio que funciona (al menos) como cach’e.
- Si todos los servidores DNS consultados han fallado al buscar el registro en sus
cach’es, incluido el servidor DNS ra’iz, dicho servidor utiliza la etiqueta m’as a
la derecha del nombre para determinar la dir IP del servidor de nombres
autorizado del dominio de m’as alto nivel o TLD (Top Level Domain
nameserver) asociado a dicho dominio. Por ejemplo, si una consulta asociada al
hostname “www.ual.es” llega hasta un servidor de nombres ra’iz y en su cach’e
no se encuentra el registro asociado, entonces pueden ocurrir dos cosas
diferentes:
- Que el servidor de nombres ra’iz pregunte al servidor de nombres
autorizado de m’as alto TLD, que obtenga de ’el el registro y que se
lo entrege al host que le pregunta. Este tipo de respuesta se dice que
es recursiva (v’ease la Figura 1).
- Que el servidor de nombres ra’iz responda al host que le pregunta con
la dir IP del servidor de nombres autorizado de m’as alto TLD, para
que sea el host que le pregunte directamente. Este tipo de respuesta
se dice que es iterativa (v’ease la Figura 2).
- Mientras no se alcance el servidor de nombres autorizado para el dominio en
cuesti’on o alguna de las cach’es almacene la resoluci’on, cada servidor DNS
consultado sabr’a a que servidor preguntar porque conoce en qu’e nivel de
la jerarqu’ia se encuentra y utilizar’a el siguiente sub-dominio de la
forma en que se explicado en paso anterior para determinar a dicho
servidor.
- Se puede obtener informaci’on de cualquiera de estos servidores DNS (al
igual que de cualquier otro host de Internet) usando la base de datos
“Whois”. Ejemplo:
$ whois 80.58.61.250
OrgName: RIPE Network Coordination Centre
OrgID: RIPE
Address: P.O. Box 10096
City: Amsterdam
StateProv:
PostalCode: 1001EB
Country: NL
ReferralServer: whois://whois.ripe.net:43
NetRange: 80.0.0.0 - 80.255.255.255
CIDR: 80.0.0.0/8
NetName: 80-RIPE
NetHandle: NET-80-0-0-0-1
Parent:
NetType: Allocated to RIPE NCC
NameServer: NS-PRI.RIPE.NET
NameServer: NS3.NIC.FR
NameServer: SUNIC.SUNET.SE
NameServer: SNS-PB.ISC.ORG
NameServer: SEC1.APNIC.NET
NameServer: SEC3.APNIC.NET
NameServer: TINNIE.ARIN.NET
Comment: These addresses have been further assigned to users in
Comment: the RIPE NCC region. Contact information can be found in
Comment: the RIPE database at http://www.ripe.net/whois
RegDate:
Updated: 2009-03-25
# ARIN WHOIS database, last updated 2010-05-01 20:00
# Enter ? for additional hints on searching ARIN’s WHOIS database.
#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at https://www.arin.net/whois_tou.html
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf
% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag.
% Information related to ’80.58.61.248 - 80.58.61.251’
inetnum: 80.58.61.248 - 80.58.61.251
netname: RIMA
descr: Telefonica de Espana SAU
descr: Red de servicios IP
descr: Spain
country: ES
admin-c: ATdE1-RIPE
tech-c: TTdE1-RIPE
status: ASSIGNED PA
remarks: INFRA-AW
mnt-by: MAINT-AS3352
mnt-lower: MAINT-AS3352
mnt-routes: MAINT-AS3352
source: RIPE # Filtered
role: Administradores Telefonica de Espana
address: Ronda de la Comunicaci?n s/n
address: Edificio Norte 1, planta 6?
address: 28050 Madrid
address: SPAIN
org: ORG-TDE1-RIPE
admin-c: ADT89-RIPE
tech-c: TTE2-RIPE
nic-hdl: ATdE1-RIPE
mnt-by: MAINT-AS3352
abuse-mailbox: nemesys@telefonica.es
source: RIPE # Filtered
role: Tecnicos Telefonica de Espana
address: Ronda de la Comunicacion S/N
address: 28050-MADRID
address: SPAIN
org: ORG-TDE1-RIPE
admin-c: TTE2-RIPE
tech-c: TTE2-RIPE
nic-hdl: TTdE1-RIPE
mnt-by: MAINT-AS3352
abuse-mailbox: nemesys@telefonica.es
source: RIPE # Filtered
% Information related to ’80.58.0.0/16AS3352’
route: 80.58.0.0/16
descr: RIMA (Red IP Multi Acceso)
origin: AS3352
mnt-by: MAINT-AS3352
source: RIPE # Filtered
8 Servidores autorizados y espejo
- Es raro encontrar que existe s’olo un servidor DNS autorizado para un
determinado dominio ya que el DNS es un servicio cr’itico. T’ipicamente, s’olo
en uno de ellos se da de alta los registros DNS y estos se copian de
forma autom’atica en el resto de servidores autorizados. Cuando esto
ocurre, se dice que todos ellos son servidores espejo, uno de otros.
- El DNS se configura para que el servidor DNS autorizado que finalmente
atiende una consulta para el correspondiente domino se seleccione de forma
aleatoria, de entre el servidor de nombres autorizado y el resto de servidores
espejo. Esto se hace para distribuir la carga.
- Lo anterior se puede comprobar f’acilmente repitiendo dos veces la misma
consulta y verificando que el orden en que aparecen los servidores de nombres
autorizados va cambiando.
9 Servidores primarios y secundarios
- Cualquier servidor DNS puede ser primario o secundario. Esto s’olo
depende del orden en que son seleccionados cuando se configura el IP de
los hosts.
- Generalmente, por motivos de eficiencia, tanto el servidor de nombres
primario como el secundario deber’ian estar cercanos al host. Por este
motivo, suelen coincidir con el servidor DNS autorizado del dominio al
que pertenece el host y con el resto de servidores DNS espejo.
10 Alias y nombres can’onicos
- Un host puede tener m’as de un nombre, uno can’onico y el resto alias. Esto se
hace normalmente para concentrar sevicios.
Podemos hacer que un mismo host sea servidor de correo
electr’onico y de la Web. El nombre can’onico del host
podr’ia ser “X.Y.Z” y su alias “www.Y.Z”. Por ejemplo,
filabres.ual.es (el nombre can’onico) y www.ual.es (el alias)
fueron durante un tiempo la misma m’aquina 150.214.156.2.
11 Los registros DNS
$ dig -x 150.214.156.2
; <<>> DiG 9.6.0-APPLE-P2 <<>> -x 150.214.156.2
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 62738
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;2.156.214.150.in-addr.arpa. IN PTR
;; ANSWER SECTION:
2.156.214.150.in-addr.arpa. 172800 IN PTR filabres.ual.es.
;; Query time: 264 msec
;; SERVER: 80.58.61.250#53(80.58.61.250)
;; WHEN: Sun May 2 17:51:13 2010
;; MSG SIZE rcvd: 73
12 Regional Internet Registries
- Controlan la asignaci’on de direcciones IP y los nombres de dominio de
alto nivel.
- Actualmente existen 5 organismos de registro:
- American Registry for
Internet Numbers (ARIN) (http://www.arin.net) para Am’erica del
Norte.
- R’eseaux IP Europ’eens Network Coordination Centre (RIPE NCC)
(http://www.ripe.net) para Europa, cercano Oriente y Asia central.
- Asia-Pacific Network Information
Centre (APNIC) (http://www.apnic.net) para el resto de Asia y las
regiones del Pac’ifico.
- Latin American and Caribbean Internet Address Registry (LACNIC)
(http://www.lacnic.net) para Am’erica Latina y la regi’on del Caribe.
- African Network Information Centre (AfriNIC)
(http://www.afrinic.net) para Africa.
- Estos organismos est’an coordinados por la Internet Corporation for Assigned
Names and Numbers (ICANN) (http://www.icann.org).
References
[1] James F. Kurose and Keith W. Ross. Computer Networking: A
Top-Down Approach Featuring the Internet (2nd Edition). Addison Wesley,
2003.
