Professional Documents
Culture Documents
CAPTULO 1
Introduccin a DNS
El Internet o cualquier red para el caso-obras de la asignacin de una nica IP local o
globalmente frente a cada punto final (host, servidor, router, interfaz, etc.). Pero sin la
capacidad de asignar un nombre que corresponde a cada recurso, cada vez que queremos
acceder a un recurso disponible en el red, el sitio web para www.example.com ejemplo, sera
necesario conocer su direccin IP fsica, tales como 192.168.34.166. Con cientos de millones
de los ejrcitos y ms de 200 millones de sitios web, se trata de una tarea imposible. Tambin
es bastante difcil, incluso con un puado de los ejrcitos y de los recursos.
Para resolver este problema, el concepto de servidores de nombres fue creado a mediados de
los aos 1970 para permitir ciertos atributos (o propiedades) de un recurso con nombre, en
este caso la direccin IP de www.example.com puede ser mantenido en un lugar conocido,
la idea bsica es que las personas les resulta mucho ms fcil de recordar el nombre de algo,
especialmente cuando ese nombre sea razonablemente descriptivo de la funcin, el
contenido, o propsito en lugar de una direccin numrica. Este captulo presenta los
conceptos bsicos del servidor de nombres y proporciona un poco de historia sobre la
evolucin del sistema de nombres de dominio de una herramienta que se utiliza para la
gestin de unos pocos cientos de hosts para una utilidad global responsable de mantener el
buen funcionamiento de toda la moderna Internet.
Una breve historia de los servidores de nombres
El problema de la conversin de nombres a direcciones fsicas es tan antigua como las redes
de computadoras. Incluso en tiempos desde hace mucho tiempo pasado, las personas
encuentran ms fcil recordar que estaban usando un dispositivo teletipo llamado "tty2" ms
que "el puerto 57 de la MCCU", o cualquiera que sea el mtodo de direccionamiento
entonces en uso. Por otra parte, administradores queran la flexibilidad para volver a
configurar el equipo, dejando a los usuarios una forma consistente de describir el dispositivo
que estaban usando. En el ejemplo anterior, el usuario podra seguir utilizando "tty2" incluso
si el dispositivo haba sido reconfigurado para estar en el puerto 23 de la mtica MCCU.
Configuracin sencilla archivos se utilizan normalmente para realizar la traduccin de
direcciones. Como trabajo en red, en lugar de simples comunicaciones, surgieron en la
dcada de 1970, el problema se agudiz. Red del sistema de IBM Architecture (SNA),
probablemente el abuelo de las redes, contena un mainframe rudimentaria base de datos para
su traduccin nombre cuando public originalmente en 1974. Los sistemas abiertos tan
vilipendiados Interconnect (OSI) Modelo, desarrollado por la Organizacin Internacional de
Normalizacin (ISO- www.iso.org), de los servicios de direccin / Nombre de traducciones
multados en la capa de transporte (Capa 4) cuando inicialmente publicado en 1978. NetBIOS
proporcion el NetBIOS Name Server (NBNS) cuando se defini originalmente en 1984, que
ms tarde morphed en Windows Internet Naming Service de Microsoft (WINS).
La primera ARPANET (la red que se transform en Internet) RFC, la Solicitud curiosamente
llamado Para comentarios que documentan y estandarizan Internet, sobre el concepto de las
fechas de los nombres de dominio desde 1981 (RFC 799), y las especificaciones definitivas
para Nombres de Dominio de Sistema de Internet como nos s que hoy se publicaron en 1987
(RFC 1034 y RFC 1035).
pc17.example.com
accounting.example.com
Una PC normal
El sistema de contabilidad principal
Un nombre de host debe ser nico dentro del nombre de dominio delegado, pero puede ser
cualquier cosa que el propietario del example.com quiera.
Por ltimo, tenga en cuenta este nombre:
www.us.example.com
Desde nuestra lectura anterior, calculamos el nombre de dominio example.com; www
probablemente indica un sitio web, que sale de la parte de nosotros.
La parte que nos fue asignada por el propietario de example.com (que es autoritario) y se
llama un subdominio. En este caso, la autoridad delegada para example.com ha decidido
que su organizacin es mejor servida por una estructura de subdominio basado en los
pases. Ellos podran delegar la responsabilidad internamente para la filial
estadounidense de la administracin de este subdominio, que a su vez podra crear una
planta- basada en estructura; por ejemplo, www.cleveland.us.example.com podra indicar
el sitio web de la planta de Cleveland en la organizacin estadounidense de example.com.
Para resumir: el propietario puede delegar, en todo lo que quiera, nada a la izquierda del
dominio nombrar su propiedad (o fueron delegadas). El propietario delegado tambin es
responsable de la administracin de esta delegacin. La unidad de delegacin se conoce como
una zona en las especificaciones de DNS.
Nota
www.example.com y www.us.example.com son comnmente - pero errneamente referidos como nombres totales de dominio (FQDN). Tcnicamente, un FQDN define sin
equivocacin (inequvocamente) un nombre de dominio a la raz y por lo que se debe
terminar normalmente con el punto en silencio; por ejemplo, www.example.com. (Con el
punto) es una vlida FQDN, pero www.example.com (sin el punto) no lo es.
Los servidores de nombres raz (en adelante denominados los servidores raz) son los
recursos ms crticos sobre el Internet. Cuando cualquier servidor de nombres en todo el
mundo se pregunt para obtener informacin sobre un nombre de dominio para el que
actualmente no tienen la informacin, primero se pregunta (consultas) uno de los servidores
DNS raz. Hay actualmente 13 servidores raz de todo el mundo, que se describe con mayor
detalle ms adelante en este captulo. Los servidores raz saben de cada servidor de nombres
en el mundo a travs de un especial de archivo de la zona, que se distribuye con todo software
DNS.
Los servidores de nombres de dominio de nivel superior (gTLD y ccTLD) son operados por
una variedad de organizaciones, denominado Registro de operadores, en virtud de acuerdos
de ICANN y se describen de forma ms completa ms adelante en este captulo.
El propietario de un nombre de dominio se ha delegado la autoridad para administrar el
nombre de dominio y por lo tanto tiene la responsabilidad de la operacin del usuario (o
nombre de dominio) Nombre servidores-all debe tener un mnimo de dos para la resiliencia.
El nombre de la responsabilidad operativa del servidor puede ser delegado por el propietario
del dominio a un ISP, una empresa de alojamiento web o cada vez un nombre de dominio de
registro. Muchas empresas y los propietarios de nombres de dominio, sin embargo, optan por
ejecutar sus propios servidores de nombres e incluso delegar la autoridad y la responsabilidad
de los servidores de nombres de subdominio para separar las partes de su organizacin.
Cuando cualquier servidor de nombres no puede responder o resolver, una solicitud de un
nombre, por ejemplo, fred.example.com, la consulta se pasa a un servidor raz (discutido en
la siguiente seccin), que devuelve una referencia al servidor de nombres TLD adecuado,
que a su vez proporciona una referencia para el dominio apropiado Servidor (usuario) que
devuelve el nombre real (autoritaria respuesta). La figura 1-3 ilustra este proceso.
Nota Los sitios con un * soporte IPv6. El nmero 13 no es un deseo perverso por cualquier
persona para operar un nmero de servidores vistos por algunas culturas como de mala suerte,
sino ms bien un lmite determinado tcnicamente permite root-server comn preguntas a ser
respondidas dentro de una sola transaccin de 512 bytes UDP y por lo tanto reducen las
cargas de la raz del servidor. Transacciones DNS seguro (DNSSEC; vase el captulo 12)
aumentan significativamente el tamao medio de las transacciones DNS; As, aunque el
lmite de la raz del servidor puede permanecer en el 13, ya no es el mismo argumento tamao
de bloque abrumadora para justificar la nmero.
El trabajo de los servidores raz es proporcionar una referencia a los servidores de nombres
autorizados para la necesaria TLDs (gTLDs o ccTLDs). Por ejemplo, si un usuario solicita
informacin sobre fred.example.com, entonces la root-servers suministrar una lista de los
servidores de nombres autorizados para el TLD .com. En 2004, la ICANN tom sobre la
responsabilidad del mantenimiento del maestro TLD archivo en el archivo de servidores raz
que enumera los servidores autorizados para cada TLD. La distribucin de este archivo a
cada uno de los servidores raz de funcionamiento es llevado a cabo usando transacciones
seguras. Para aumentar an ms la seguridad, el servidor que proporciona las ctualizaciones
de raz es accesible slo desde los servidores raz operacionales. No es un servidor visible
pblicamente. Figura 1-4 ilustra este proceso.
ICANN hered los gTLD que figuran en la Tabla 1-2 en su creacin en 1998.
Los acuerdos de ICANN con los operadores de registro que cubren los gTLD post-2000 han
especificado que los servicios de registro de la informacin y servicios de WHOIS sean ms
fciles de conseguir, al reservar el uso de nombres SLD nic y whois para cada uno de los
gTLD. Por ejemplo, para obtener el registro informacin para el gTLD .coop, necesita
introducir slo www.nic.coop (o simplemente nic.coop). Para obtener servicios de WHOIS
para el gTLD .museum, necesitas introducir solo www.whois.museum y (o whois.museum).
Aunque muchos de los dominios de primer nivel nuevos soportan tales nombres fciles de
recordar, lamentablemente no todos lo hacen.
Nota WHOIS es, literalmente, un servicio por el cual cualquier persona puede encontrar "que
es" el dueo, y otros detalles pertinentes, de nombres de dominio o direcciones IP.
Registradores y en algunos casos, terceros proporcionan acceso al registro bases de datos
utilizando el protocolo WHOIS estndar (RFC 3912).
Como puede verse en la lista en la Tabla 1-3, algunos de los gTLD, como .aero, han limitado
la inscripcin polticas; otros no lo hacen. Durante 2004, la ICANN llev a cabo una revisin
de la poltica de gTLD, uno de los efectos de la que consista en crear un nuevo gTLD
subconjunto llamado TLD patrocinados (sTLD) para aclarar la forma de registro acceso a ser
ofrecido por los nuevos gTLD. Los dominios .museum, .coop, .aero, .gov, .mil, .edu, y .int
son todos ahora clasificado como sTLDs. Desde noviembre de 2000, la ICANN ha autorizado
seis nuevos dominios de primer nivel, todos sTLDs: .travel, .jobs, .mobi, .cat, .tel y .asia.
Autorizar nuevos gTLD siempre ha generado controversia. En junio de 2008, la ICANN
aprob un nuevo gTLD sobre la base de un informe elaborado por sus nombres genricos
Organizacin de Apoyo (GNSO) Grupo de trabajo de polticas. Esencialmente, esta poltica
no impone lmites en el nmero de nuevos gTLD que se puede crear en el futuro y permite
que cualquiera de las partes competentes para proponer un nuevo gTLD que ser juzgado en
contra de un conjunto objetivo de criterios. A la fecha de la escritura, sin solicitud de gTLD
se ha autorizado en la nueva poltica.
Nota Como todos los sistemas, DNS tiene su parte justa de la terminologa, algunos de los
cuales se aplica de manera inconsistente. Dentro de DNS hay esencialmente dos tipos de
sistemas: los servidores de nombres autorizados que ofrecen respuestas autoritarias
(Datos) en respuesta a las consultas. Las consultas se originan en lo que se llaman
resolutores. Una resolucin es simplemente una parte de la infraestructura DNS que emite
las consultas con el fin de resolver (traducir) nombres en direcciones IP. Resolvers, que
puede venir en todas las formas y tamaos, se explican con ms detalle en la siguiente seccin
y en todo el libro.
Como puede verse en la Figura 1-6, DNS hace uso extensivo de almacenamiento en cach,
que puede jugar un papel significativo en la reduccin de la complejidad del sistema y la
aceleracin de los tiempos de respuesta de DNS. Caching simplemente significa que
cualquier resultados (respuestas a las preguntas) se guardan en el almacenamiento temporal.
Si la solicitud de los mismos datos llega a la resolucin, la cach se inspecciona primero y si
los datos requeridos se presenta la respuesta es suministrado directamente de la cach. Por lo
tanto, se evita la comunicacin externa innecesaria, y el resultado se suministra mucho ms
rpidamente. El proceso por el cual los datos rancio se descarta de la cach utiliza un perodo
de vida (TTL) valor que se explica en el captulo 2.
Los nmeros utilizados en las descripciones siguientes se refieren a los de la Figura 1-6:
Una resolucin de DNS puede ser una muy compleja pieza de software, pero las
normas de DNS permitir una versin simplificada llamada stub-resolver. Stubresolutores estn instalados en todas las plataformas, como los sistemas Windows y
*nix (por ejemplo, Linux, UNIX y BSD). La mayora de los modernos stubresolutores tambin proporcionan servicios de almacenamiento en cach, por lo que
si que disfrute con descripciones largas que podra ser llamado un almacenamiento
Hay muchas posibles variaciones tcticas en el escenario descrito anteriormente, pero para
la gran mayora de los usuarios de Internet es el mtodo normal por el que el nombre de un
recurso, como www.example.com, se resolvi (traducido) en direcciones uno (o ms) de
propiedad intelectual obtenida de una autoridad nombre del servidor. Los puntos clave a tener
en cuenta en este escenario son el papel desempeado por diversos cachs que son en gran
medida diseado para acelerar la respuesta del usuario, pero tambin puede tener
consecuencias no deseadas, y la funcionalidad de la resolucin de DNS (4), lo que reduce la
complejidad de la resolucin de cliente (stub-resolvers) y la representacin por concentrar el
trabajo complejo y potencialmente peligrosa de acceder a la jerarqua autoritaria DNS. La
configuracin y funcionalidad de una resolucin de DNS (4) y los servidores DNS de
nombres autorizados (5), (6), y (7) se explican con ms detalle en el captulo 4, y las muestras
de configuracin detalladas se proporcionan en el Captulo Programa de DNS 7. Entonces,
ya sea una resolucin de DNS o un servidor de nombres con autoridad, por lo general
hace tres cosas:
Los datos que se describen las propiedades de la zona, conocido como el inicio
de autoridad ( SOA) Registro de recursos. Este RR es obligatorio en todos los
archivos de zona.
una ubicacin fsicamente diferentes, y cada uno de los cuales deben tener acceso a el archivo
de zona. Con el fin de reducir los gastos generales de gestin que intervienen en la
sincronizacin de archivos de zona, las especificaciones DNS permiten un nico servidor
DNS de poseer un maestro copia del archivo de zona y permitir zona transferencias
(descritos en el captulo 3) para los dems (esclavo servidores) de nombre. El trminos
master zone, o maestro DNS; y esclavos de la zona, o DNS esclavo, se aplican habitualmente
a los respectivos servidores de nombres. Los trminos maestro y esclavo simplemente
definir qu servidor de nombres tiene el maestro copia del archivo de zona (cargado de
una sistema de archivos local) y que tiene una copia (cargado a travs de la
transferencia de zona); no implican ninguna prioridad acceso. Ambos maestros y
esclavos responden con autoridad para la zona. La relacin maestro-esclavo es se ilustra
en la Figura 1-7.
Los datos dinmicos: Una de las principales crticas formuladas en los ltimos aos
en contra de muchos de las implementaciones de software DNS es la falta de
capacidad de agregar de forma dinmica o eliminar zonas sin tener que parar y
arrancar el servidor DNS. Esta crtica refleja tanto la naturaleza cada vez ms
dinmico de los cambios de Internet-ms, con ms frecuencia, y el aumento del
volumen de trfico en cuestin. Muchos usuarios estn reacios a dejar de contestar
consultas, incluso para los segundos necesarios para detener y reiniciar software
DNS. Aunque DNS dinmico (DDNS), con el apoyo de BIND y descrito en el
captulo 3, permite la edicin de los RR individuales dentro de las zonas, no
puede aadir o eliminar zonas enteras. Tal limitacin es cada vez menos aceptable;
zonas necesitan ser aadidas y eliminadas de forma dinmica sin interrumpir el
servicio.
Histricamente, todos los servidores raz utilizan software BIND. Con el fin de fomentar la
diversidad, para algunos de los root-server ahora corren el software NSD
(www.nlnetlabs.nl/projects/nsd), que proporciona un cdigo abierto, DNSSEC listos,
implementacin optimizado para un alto rendimiento cuando acta como nombres con
autoridad nico servidor; no proporciona la funcionalidad de resolucin de DNS. Se ha
negociado funcionalidad genrica para crudos rendimientos, que puede ser hasta dos veces
la ofrecida por una configuracin equivalente BIND 9.
Sin consolidar es una solucin de resolucin DNS Open Source (www.unbound.net) que
proporciona unos resultados altos de ejecucin C de un ejercicio de diseo basada en Java
original que tambin apoya plenamente la ltimos estndares DNSSEC.
Incluso BIND no es invulnerable a los cambios. BIND 10 es un programa de reestructuracin
radical de varios aos diseado para traer beneficios funcionales y de rendimiento
significativos a la amplia base de usuarios de BIND. El primer lanzamiento de esta nueva
generacin de productos BIND 10 es una nica autoritativa de los servidores de nombres que
es totalmente descrito en el captulo 14 con las muestras de configuracin en el captulo 7
actualizado para cubrir tanto BIND 10 y BIND 9 en su caso. Una resolucin de slo producto
BIND 10 y un producto multifuncin 10 BIND (Equivalente de hoy a BIND 9) se dar a
conocer progresivamente en los prximos aos. BIND 9 continuar mantenindose
agresivamente durante todo este perodo de varios aos y continuar a ser utilizado en
muchos ambientes para los prximos aos.
Qu obras mejores DNS solution para cualquier usuario reflejarn el funcional y
organizacional requisito y, como siempre, se requieren comprensin clara de las ventajas y
desventajas y limitaciones que pueden estar involucrados.
Es importante recordar que el formato de los archivos de zona utilizada por el software DNS
est estandarizada por RFC 1035. Migracin de una implementacin de software DNS a otro
puede pues ser considerablemente aliviado. Cuando una funcin es exclusiva de BIND (no
normalizado), se indicar claramente en el texto.
Resumen
En este captulo se introdujo una gran cantidad de terminologa y conceptos que se utilizar
durante todo el resto de la libro. El texto describe la necesidad de servidores de nombres, lo
que se traduce el nombre descriptivo de un recurso a su direccin de red fsica, y ellos
identificado como siendo esencial para el funcionamiento de una dinmica y red flexible de
cualquier tamao.
Sistema de nombres de dominio de Internet (DNS) se introdujo como una aplicacin
especfica del concepto de servidor de nombres. Usted aprendi acerca jerarqua de nombres
de dominio DNS de Internet, en particular, la separacin de los dominios de nivel superior
en TLDs genricos, para los que la ICANN est completamente autorizada, y Cdigo de pas
TLDs, que son administrados por los pases soberanos individuales. Ahora tambin sabe las
partes componentes de un nombre de dominio; por ejemplo, www.example.com estafadores
consiste de un nombre de host (www), un SLD (example), y un TLD (.com). Tambin se
encontr con los conceptos clave de una autoridad, la entidad o persona responsable de un
nodo en particular en la jerarqua de nombres de dominio; y la delegacin, el proceso por el