1 of 15

Naming e DNS

Necessità del naming
DNS: un database distribuito
Meccanismi di querying
Tipologie di record
Cenni all’(in)sicurezza di DNS
Uso di nslookup

1

2 of 15

2

Naming Gerarchico:

maia.mat.unical.it <-> 160.97.47.242

Dominio di 1° livello

Dominio di 2° livello

www.libero.it

160.97.7.13

To:160.97.7.13 www.libero.it ?

160.97.47.242

To:160.97.47.242 www.libero.it is 212.47.1.142

To:212.47.1.142 [DATA]

3 of 15

DNS: un DB distribuito

3

.

it

unical

mat

deis

fis

tuwien

at

com

...

maia

ml

...

Dominio

Zone

DNS root server

DNS autorità di zona per �unical.it

4 of 15

Tipologie di DNS Server

Server autoritativo di dominio

Risponde direttamente per la propria ‘zona’
Conosce i server autoritativi per i propri sottodomini fuori ‘zona’

Server root

Autoritativo per il top della gerarchia

Server locale

Funge da ‘resolver’

4

5 of 15

Cosa contiene un file di zona

Triple del tipo

< Name, Type, Value >

Associazioni nome – IP

maia.mat.unical.it. A 160.97.47.242

Associazioni dominio – NS authority (glue information)

mat.unical.it. NS ns.mat.unical.it

Associazioni dominio – mail exchanger

mat.unical.it. MX ml.mat.unical.it

Associazioni inverse

160.97.63.242 PTR maia.mat.unical.it

Alias

www.mat.unical.it CNAME sv.mat.unical.it

5

6 of 15

Interrogazione iterativa (demo)

6

.

it

unical

mat

deis

fis

unito

at

com

...

maia

sv

...

DNS root server

Mammolo = 160.97.47.2

DNS autorità�mat.unical.it

Pisolo = 160.97.7.13

DNS autorità di zona�unical.it

DNS resolver

www.mat.unical.it ?

Eolo = 160.95.1.1

DNS autorità di zona�it

it. NS eolo

eolo A 160.95.1.1

www.mat.unical.it ?

unical.it. NS pisolo

pisolo A 160.97.7.13

www.mat.unical.it ?

mat.unical.it. NS mammolo

mammolo A 160.97.47.2

www.mat.unical.it ?

www CNAME sv

sv A 160.97.47.1

www.mat.unical.it A 160.97.47.1

7 of 15

Interrogazione ricorsiva

7

.

it

unical

mat

deis

fis

unito

at

com

...

maia

sv

...

DNS root server

Mammolo = 160.97.47.2

DNS autorità�mat.unical.it

Pisolo = 160.97.7.13

DNS autorità di zona�unical.it

DNS resolver

www.mat.unical.it ?

Eolo = 160.95.1.1

DNS autorità di zona�it

www.mat.unical.it ?

www CNAME sv

sv A 160.97.47.1

mat.unical.it. NS ns.mat.unical.it

ns.mat.unical.it A 160.97.47.1

www CNAME sv

sv A 160.97.47.1�mat.unical.it. NS ns.deis.unical.it

ns.mat.unical.it A 160.97.47.1

www CNAME sv

sv A 160.97.47.1�mat.unical.it. NS ns.mat.unical.it

ns.mat.unical.it A 160.97.47.1

mat.unical.it. NS ns.mat.unical.it

ns.mat.unical.it A 160.97.47.1

mat.unical.it. NS ns.mat.unical.it

ns.mat.unical.it A 160.97.47.1

www CNAME sv

sv A 160.97.47.1

mat.unical.it. NS ns.mat.unical.it

ns.mat.unical.it A 160.97.47.1

8 of 15

Caching

8

.

it

unical

mat

deis

fis

unito

at

com

...

maia

sv

...

DNS root server

Mammolo = 160.97.47.2

DNS autorità�mat.unical.it

Pisolo = 160.97.7.13

DNS autorità di zona�unical.it

DNS resolver

ml.mat.unical.it ?

Eolo = 160.95.1.1

DNS autorità di zona�it

www CNAME sv

sv A 160.97.47.1

mat.unical.it. NS ns.mat.unical.it

ns.mat.unical.it A 160.97.47.1

www CNAME sv

sv A 160.97.47.1

mat.unical.it. NS ns.mat.unical.it

ns.mat.unical.it A 160.97.47.1

9 of 15

Struttura dei pacchetti DNS

UDP, TCP in casi particolari

1 1 1 1 1 1

0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5

+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+

| ID |

+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+

|QR| Opcode |AA|TC|RD|RA| Z | RCODE |

+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+

| QDCOUNT |

+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+

| ANCOUNT |

+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+

| NSCOUNT |

+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+

| ARCOUNT |

+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+

9

10 of 15

Cache poisoning

10

.

it

unical

mat

deis

fis

unito

at

com

...

maia

sv

...

DNS root server

Mammolo = 160.97.47.2

DNS autorità�mat.unical.it

Pisolo = 160.97.7.13

DNS autorità di zona�unical.it

DNS resolver

www.mat.unical.it ?

Eolo = 160.95.1.1

DNS autorità di zona�it

www.mat.unical.it ?

www CNAME sv

sv A 160.97.47.1

mat.unical.it. NS ns.mat.unical.it

ns.mat.unical.it A 160.97.47.1

www CNAME sv

sv A 160.97.47.1�mat.unical.it. NS ns.deis.unical.it

ns.mat.unical.it A 160.97.47.1

repubblica.it NS pisolo.unical.it

www CNAME sv

sv A 160.97.47.1�mat.unical.it. NS ns.mat.unical.it

ns.mat.unical.it A 160.97.47.1�repubblica.it NS pisolo.unical.it

mat.unical.it. NS ns.mat.unical.it

ns.mat.unical.it A 160.97.47.1

mat.unical.it. NS ns.mat.unical.it

ns.mat.unical.it A 160.97.47.1

repubblica.it NS pisolo.unical.it

www CNAME sv

sv A 160.97.47.1

mat.unical.it. NS ns.mat.unical.it

ns.mat.unical.it A 160.97.47.1�repubblica.it NS pisolo.unical.it

11 of 15

Cache poisoning - 2

11

.

it

unical

mat

deis

fis

unito

at

com

...

maia

sv

...

DNS root server

Mammolo = 160.97.47.2

DNS autorità�mat.unical.it

Pisolo = 160.97.7.13

DNS autorità di zona�unical.it

DNS resolver

www.repubblica.it ?

Eolo = 160.95.1.1

DNS autorità di zona�it

www.repubblica.it CNAME sv

sv A 160.97.47.1

www.repubblica.it CNAME sv

sv A 160.97.47.1

www.repubblica.it

12 of 15

Load balancing & DNS

CDN: Content distribution network

Balancing via DNS

I server DNS rispondono a rotazione con valori IP differenti

Balancing via anycast

Indirizzo univoco mappato

su più host

(es. 8.8.8.8, 1.1.1.1)

12

13 of 15

Sicurezza di DNS

Nessuna garanzia di base su confidenzialità, integrità e autenticità delle query responses

DNSSEC: Autenticità delle responses con firme digitali
DNS over HTTPS/TLS: Confidenzialità di query e responses

13

14 of 15

Tool per sperimentare

nslookup

Possibilità di preparare semplici record di richiesta
set type=(A,PTR,MX,SOA,NS)
set server=IP
set debug

14

15 of 15

Ordine di interrogazione per un endpoint

/etc/hosts file
Kernel cache
Resolver(s)

15