2

1.

DNS – nazwy zamiast liczb

Wszystkie komputery w sieci TCP/IP identyfikowane s za pomoc jednoznacznego
adresu IP. Jego posta liczbowa o długo ci 32 bitów jest skomplikowana i łatwo o bł d
podczas wpisywania. Z tego powodu ju w roku 1984 utworzono system nazw domen
Domain Name System (DNS). To wła nie dzi ki niemu mo na poł czy si z hostem,
u ywaj c przynale nej nazwy domeny.
DNS to rozproszona baza danych, której głównymi komponentami s serwery nazw.
Zarz dzaj informacjami o odwzorowaniu, co polega na wzajemnym przyporz dkowaniu
adresów IP i nazw komputerów.
Gdy jeszcze nie było Internetu obecnej postaci, a ARPAnet ł czył kilkaset komputerów,
wszystkie informacje o hostach mie ciły si w jednym pliku. Plik ten musiał si
znajdowa w ka dym komputerze podł czonym do sieci ARPAnet; zawierał wszystkie
informacje zwi zane z odwzorowaniem. System nazw domen usun ł podstawowe wady
tablic nazw opartych na plikach:
• DNS daje si łatwo rozszerza
• ma posta rozproszonej bazy danych i gwarantuje, e informacje o nowych

komputerach i zmianach w razie potrzeby dotr do wszystkich u ytkowników
Internetu

2.

Przestrze Nazw Domen

Przestrze nazw domen jest drzewiast struktur obejmuj c wszystkie domeny tworz ce
przestrze nazw Internetu. Pocz tkiem drzewa jest domena okre lana angielskim
terminem root, czyli korze .

Rys.: DNS

ródło: Komar, B. (2002). TCP/IP dla ka dego. Gliwice: Helion, strona 137

3

W odró nieniu od pozostałych domen, domenie root nie odpowiada adna wyst puj ca
w nazwach stacji etykieta. Do jej okre lenia stosuje si czasem znak kropki (.).
Poni ej domeny root znajduj si domeny pierwszego poziomu. S one dwojakiego
rodzaju: pierwsza ich grupa odpowiada typom działalno ci korzystaj cych z nich
organizacji, druga wykorzystuje dwuliterowe oznaczenia krajów, w których poszczególne
organizacje si znajduj .

2.1.

Domeny wysokiego poziomu wykorzystywane obecnie

• com

organizacje komercyjne

• edu

instytucje edukacyjne, w szczególno ci uniwersytety

• org

organizacje niekomercyjne

• net

organizacje zwi zane z sieci

• gov

pozamilitarne organizacje rz dowe

• mil

wojskowe organizacje rz dowe

• num

numery telefonów

• arpa

domeny wyszukiwania odwrotnego

• xx

dwuliterowe kody krajów (jak pl dla polski, de dla niemiec)

• biz

przedsi biorstwa i spółki

• info

jednostki prowadz ce usługi informacyjne

• aero

przedsi biorstwa zwi zane z lotnictwem

• pro

osoby samodzielnie prowadz ce działalno gospodarcz

• coop

spółdzielnie

• name

domeny personalne

• museum

muzea

Kolejny poziom hierarchii, zawieraj cy konkretne stacje i dalsze poddomeny, tworz
domeny drugiego poziomu. „Microsoft” jest przykładem organizacji, która zarejestrowała
domen drugiego poziomu w domenie pierwszego poziomu COM.
Frazy MB, BC i AB przedstawiaj jedn z technik podziału domeny narodowej –
odpowiadaj poszczególnym prowincjom Kanady: MB to Manitoba, BC – Kolumbia
Brytyjska, a AB – Alberta. W ten sposób powstaje geograficzny podział domeny kraju.

4

3.

Proces odwzorowywania nazw stacji

Rys.: Proces odwzorowywania hostnames

ródło: Komar, B. (2002). TCP/IP dla ka dego. Gliwice: Helion, strona 139

Proces ten przebiega w kilku etapach:
• Czy przedmiotowa nazwa jest nazw stacji, na której aktualnie pracujesz?
• Czy przedmiotowa nazwa wyst puje w pliku HOSTS?
• Czy serwer DNS posiada wpis odpowiadaj cy poszukiwanej stacji?
• Czy nazwa stacji została zarejestrowana na serwerze WINS?
• Czy nazwa stacji mo e zosta odwzorowana za po rednictwem lokalnego

rozgłoszenia?

• Czy nazwa stacji została zapisana w pliku LMHOSTS?

Kiedy adna z tych metod okre lania adresu IP stacji docelowej nie zako czy si
powodzeniem, aplikacja zwraca komunikat informuj cy, e nazwa stacji nie została
odnaleziona.

4.

Podział ról w systemie DNS

W procesie odwzorowania nazwy, jaki zachodzi w systemie przestrzeni nazw domen,
bior udział trzy rodzaje podstawowych elementów:
• przestrze nazw domen
• klienty odwzorowania
• serwery nazw

5

4.1.

Przestrze nazw domen
Zapewnia rozproszon , hierarchiczn baz danych, która zawiera wszystkie
przyporz dkowania nazw stacji do adresów IP w Internecie. Pozwala wi c
odwzorowa dowoln nazw stacji na jej adres IP.

4.2.

Klienty odwzorowania
Jest to oprogramowanie klienckie, które wymaga odwzorowania nazwy na adres IP.
Funkcje klienta odwzorowania s albo cz ci aplikacji wywołuj cej, albo te
uruchomione s w systemie operacyjnym stacji jako cz

stosu protokołu TCP/IP.

4.3.

Serwery nazw
To obecne w sieci stacje przyjmuj ce zapytania od klientów odwzorowania
i zwracaj ce adresy IP poszukiwanych stacji. W zale no ci od konfiguracji
i przyj tego zapytania serwer nazw mo e zwraca adres IP odpowiadaj cy nazwie
stacji, nazw odpowiadaj c adresowi IP, odpowied informuj c o tym, e nazwa
stacji nie została odnaleziona lub wskazanie innego serwera nazw, który mo e
zrealizowa zapytanie.

Ka dy z serwerów nazw mo e wyst powa jako:
• Podstawowy serwer nazw
• Pomocniczy serwer nazw
• Główny serwer nazw
• Serwer nazw buforuj cy

4.3.1.

Podstawowy serwer nazw

Podstawowy serwer naw zarz dza stref danych. Termin strefa oznacza cz

przestrzeni nazw domen, za który odpowiedzialny jest konkretny serwer nazw. Pliki
danych dla strefy s przechowywane lokalnie na podstawowym serwerze nazw.
Wszystkie modyfikacje w tych plikach mog by przeprowadzane wył cznie na tym
serwerze. Strefa obsługiwana przez podstawowy serwer nazw mo e obejmowa
wi cej ni jedn domen . Mo e on zarz dza poddomenami w okre lonej domenie
albo te przechowywa pliki zwi zane z kilkoma ró nymi domenami drugiego
poziomu.

6

4.3.2.

Pomocniczy serwer nazw

Pomocniczy serwer nazw uzyskuje informacje o strefie z innego serwera
posiadaj cego plik strefy; owym ,,innym serwerem” mo e by jaki serwer
pomocniczy lub te serwer podstawowy. Operacja przesłania informacji o strefie jest
zwi le okre lana terminem przesłanie strefy.

Poni ej przedstawiono powody przemawiaj ce za wprowadzeniem serwera
pomocniczego:
• potrzeba rozło enia obsługi ruchu sieciowego na dodatkowy serwer z tymi

samymi danymi strefy

• potrzeba przyspieszenia odwzorowywania w o rodku odległym przez utworzenie

w nim dodatkowego serwera nazw

• potrzeba zmniejszenia awaryjno ci układu przez utworzenie dodatkowego serwera

zapewniaj cego utrzymanie mo liwo ci odwzorowywania nawet w przypadku
utraty funkcjonalno ci przez jeden z serwerów nazw

• utworzenie serwera pomocniczego jest warunkiem zarejestrowania domeny

w InterNIC

Pliki stref przechowywane na serwerach pomocniczych nie s nigdy aktualizowane
bezpo rednio – s jedynie kopiami plików przechowywanych na serwerach
podstawowych. St d te stosowane jest niekiedy okre lenie serwer podległy.

4.3.3.

Główny serwer nazw

Główny serwer nazw to serwer nazw, który przesyła swoje pliki stref do serwera
pomocniczego. Chocia mogłoby si wydawa , e jedynie podstawowe serwery nazw
pracuj jako serwery główne, równie serwer pomocniczy mo e pełni t rol .
Sytuacja taka mo e wynikn z wła ciwo ci wykorzystywanych ł czy sieciowych.
W konfiguracji serwera pomocniczego wskazywany jest adres IP serwera głównego.
Podczas inicjalizacji komunikuje si on ze wskazanym serwerem głównym i inicjuje
przesyłanie danych DNS strefy.

7

4.3.4.

Buforuj ce serwery nazw

Buforuj cy serwer nazw nie przechowuje informacji strefowej na lokalnych no nikach
danych. Kiedy stacja przesyła zapytanie do serwera buforuj cego, ten przekazuje je
dalej „w imieniu” tej stacji, buforuje wynik i zwraca klientowi adres IP poszukiwanej
stacji. Kiedy pó niej odbiera takie samo zapytanie od innej stacji, odpowied jest
przekazywana na podstawie danych wci przechowywanych w buforze.
Tego rodzaju rozwi zanie staje si u yteczne, gdy ł cza sieci rozległej posiadaj
stosunkowo niewielk przepustowo . Zamiast serwera pomocniczego, który wymaga
regularnego przesyłania pełnej informacji o strefie, mo e zosta utworzony jedynie
serwer buforuj cy. Przesyłane s wówczas jedynie faktycznie u yteczne dane.
W buforze przechowywane s wtedy informacje o najcz ciej odwiedzanych
miejscach i skorzystanie z nich nie wymaga adnego ruchu na ł czach sieci WAN.

5.

Rodzaje zapyta DNS

Klient odwzorowania mo e kierowa do serwera nazw nast puj ce rodzaje zapyta :
• Rekurencyjne
• Iteracyjne
• Odwrotne

5.1.

Zapytania rekurencyjne

W przypadku zapytania rekurencyjnego serwer nazw mo e zwróci wył cznie adres
IP odpowiadaj cy wskazanej stacji albo informacj o bł dzie. Cz sto wymaga to
pełnienia przeze roli klienta odwzorowania i przekazania zapytania do dalszego,
wskazanego w konfiguracji, serwera nazw.

Przykład odwzorowywania do adresu IP nazwy www.yahoo.com:
• Klient DNS przesyła zapytanie rekurencyjne do wewn trznego serwera DNS,

daj c adresu IP stacji www.yahoo.com

• Wewn trzny serwer DNS, nie znaj c odpowiedzi na otrzymane zapytanie,

generuje kolejne zapytanie rekurencyjne do serwera ISP (usługodawcy

8

internetowego). Adres serwera ISP jest zapisany w konfiguracji serwera
wewn trznego

• Serwer DNS usługodawcy internetowego przekazuje wewn trznemu serwerowi

DNS adres IP stacji www.yahoo.com. Powi zanie adresu z nazw zostaje zapisane
w buforze (pami ci podr cznej) serwera

• Wewn trzny serwer DNS zwraca adres IP klientowi

Tego rodzaju konfiguracja sprawdza si w przypadku sieci lokalnej oddzielonej od
Internetu zapor firewall. Wówczas nale y zadba o odpowiednie skonfigurowanie
zapory – musi ona dopuszcza wymian danych pomi dzy wewn trznym serwerem
DNS, a serwerem DNS usługodawcy. Serwer DNS powinien by wówczas jedynym
komputerem, który mo e przekazywa zapytania DNS do sieci zewn trznej. U ycie
zapytania rekurencyjnego pozwala wewn trznemu serwerowi DNS przekaza je do
wskazanego w konfiguracji serwera nazw, po czym zwróci odpowied w postaci
adresu IP do stacji inicjuj cej.

5.2.

Zapytanie iteracyjne

Zapytanie iteracyjne nakłada na serwer nazw wymóg podania klientowi jedynie
najlepszej z mo liwych odpowiedzi. Odpowiedzi mo e by zarówno adres IP
poszukiwanej stacji (lub informacja o braku mo liwo ci odwzorowania), jak
i wskazanie innego serwera DNS, który mo e dostarczy adres IP odpowiadaj cy
poszukiwanej nazwie.

Rys.: Iteracyjne zapytanie DNS

ródło: Komar, B. (2002). TCP/IP dla ka dego. Gliwice: Helion, strona 146

9

W celu odwzorowania nazwy altavista.digilal.com wykonane zostały nast puj ce
kroki:
• Klient DNS wysyła do swojego serwera DNS rekurencyjne zapytanie o adres IP

odpowiadaj cy nazwie altavista.digital.com

• Serwer DNS nie ma odpowiedzi w swoim buforze ani te wskazania

w konfiguracji, pozwalaj cego kontynuowa zapytanie rekurencyjne. Wysyła wi c
do serwera root zapytanie iteracyjne o adres odpowiadaj cy nazwie
altavistu.digital.com

• Serwer root zwraca lokalnemu serwerowi DNS adres IP serwera domeny

wysokiego poziomu com.

• Lokalny serwer DNS wysyła do serwera nazw domeny com kolejne zapytanie

iteracyjne, równie o nazw altavista.digital.com.

• Serwer nazw domeny com zwraca w odpowiedzi adres IP autorytatywnego

serwera nazw domeny digital.com.

• Lokalny serwer DNS ponawia zapytanie o adres stacji altavistu.digital.com,

kieruj c je do serwera nazw domeny digital.com.

• Je eli dane dotycz ce poddomeny altavisla.digital.com s przechowywane

w osobnym pliku strefy, na osobnym serwerze nazw, serwer DNS domeny
digital.com zwróci adres serwera nazw odpowiadaj cego za domen
altavista.digital.com.

• Lokalny serwer nazw wysyła do serwera nazw domeny one.microsoft.com

zapytanie o partnering.one.microsoft.com.

• Serwer one.microsoff.com zwraca adres IP stacji purlnering.one.microsoft.com,

a je eli nazwa taka nie istnieje w tej domenie – informacj o nieprawidłowej
nazwie stacji.

• Lokalny serwer nazw przede wszystkim zapisuje adres IP stacji partnering.

one.microsoft.com w swojej pami ci podr cznej. Po utworzeniu odpowiedniego
wpisu przekazuje adres IP do klienta, który zainicjował procedur .

5.3.

Zapytanie odwrotne

Zapytanie odwrotne słu y do odnalezienia pełnej kwalifikowanej nazwy domeny
(FQDN) odpowiadaj cej okre lonemu adresowi IP. Zamiast okre lania adresu na

10

podstawie nazwy stacji wyszukujemy wi c nazw stacji odpowiadaj c znanemu
adresowi IP.
Jest to czynno powszechnie wykonywana przez osoby analizuj ce bezpiecze stwo
sieci, kiedy próbuj odwzorowa adres IP stacji zapisanej w dzienniku bezpiecze stwa
na jej internetow nazw .
Jest równie wykorzystywane przy ustalaniu reguł ograniczaj cych dost p do
okre lonych o rodków dla zapory firewall. Je eli zostało ustalone, e u ytkownicy nie
powinni uzyskiwa dost pu do o rodka www.strony.com, zapora mo e zosta
dodatkowo skonfigurowana do przeprowadzania wyszukiwa odwrotnych.
Zabezpieczy to przed omijaniem przez u ytkowników wprowadzonego ograniczenia
przez bezpo rednie wpisanie adresu IP, jak np.: 192.168.5.67