Objectifs de certificationCCNA 200-301
Protocole de résolution de noms DNS1. Protocole DNS1.1. IntroductionAu niveau protocolaire, seules les adresses IP sont utilisées pour déterminer les partenaires d’une communication. Mais dans l’usage courant d’Internet, on utilise des noms pour joindre des machines sur le réseau : c’est plus facile à manipuler que des adresses IP (à plus forte raison si elles changent ou si elles sont difficiles à retenir). Le protocole et le système DNS permet de résoudre des noms en adresses IP. DNS est une sorte de service mondial de correspondance entre des noms et des adresses IP, mais uniquement ; plus précisément, DNS est un système d’interrogation d’un registre à portée mondiale. Les leaders du marché IT recommandent son usage pour déployer leurs solutions. DNS utilise les ports UDP/TCP 53 pour ses transactions. Les transferts de zones utilisent TCP alors que les requêtes habituelles utilisent UDP. 1.2. La résolution de nomsDans le domaine des réseaux, la résolution de nom fait généralement référence au Domain Name System (DNS), service Internet qui associe des noms d’hôtes à leurs adresses IP; La résolution de noms sur les réseaux peut aussi se faire grâce aux technologies suivantes :
1.3. Résolution localeLe fichier Lors de l’accès à une ressource réseau par nom de domaine, ce fichier est consulté avant l’accès au serveur DNS et permet au système de connaître l’adresse IP associée au nom de domaine sans avoir recours à une requête DNS. Le fichier “host” est en texte brut et est habituellement nommé
2. Domain Name System (DNS)Le Domain Name System (ou DNS, système de noms de domaine) est un service permettant de traduire un nom de domaine en informations de plusieurs types qui y sont associées, notamment en adresses IP de la machine portant ce nom. À la demande de la DARPA, Jon Postel et Paul Mockapetris ont conçu le “Domain Name System” en 1983 et en écrivirent la première réalisation. La page Wikipedia https://fr.wikipedia.org/wiki/Domain_Name_System est très instructive. En voici un canevas :
2.1. Enregistrements DNSLa bases de données d’une zone (un domaine) peut comporter certains types d’enregistrements DNS comme par exemple :
2.2. DNS IPv6DNS est un service accessoire au sens protocolaire (IP fonctionne sans DNS) mais dans la pratique il est indispensable. Contrairement à DHCPv6, le fonctionnement de DNS en IPv6 a subi moins d’impacts. Dans une topologie Dual Stack IPv4/IPv6, le système d’exploitation ou l’application aura une préférence pour les ressources résolues en IPv6. 2.3. Hiérarchie des zones DNS et récursivitéLes domaines se trouvant immédiatement sous la racine sont appelés domaine de premier niveau (TLD : Top Level Domain). Les noms de domaines ne correspondant pas à une extension de pays sont appelés des domaines génériques (gTLD), par exemple .org ou .com. S’ils correspondent à des codes de pays (fr, be, ch…), ce sont des domaines de premier niveau national, aussi appelés ccTLD de l’anglais country code TLD. Hiérarchie DNSOn représente un nom de domaine en indiquant les domaines successifs séparés par un point, les noms de domaines supérieurs se trouvant à droite. Par exemple, le domaine org. est un TLD, sous-domaine de la racine. Le domaine wikipedia.org. est un sous-domaine de .org. Cette délégation est accomplie en indiquant la liste des serveurs DNS associée au sous-domaine dans le domaine de niveau supérieur.1 Récursivité DNS)Résolution itérative d’un nom dans le DNS par un serveur DNS (étapes 2 à 7) et réponse (étape 8) suite à l’interrogation récursive (étape 1) effectuée par un client (resolver) DNS. (remarque: Le serveur DNS récursif est dit récursif car il accepte ce type de requêtes mais il effectue des requêtes itératives) 2.5. Messages DNShttps://www.cloudshark.org/captures/eeee08990b96
2.6. Déploiements du service DNSUn serveur DNS a autorité sur une zone si il est celui qui connait les réponses aux demandes transférées par d’autres. Un serveur DNS récursif est celui qui transfère les demandes et rend les réponses.
On configure la une base de donnée pour la zone et la zone inverse Dans la zone inverse, on inverse l’ordre des quatre termes de l’adresse et on la concatène au pseudo domaine 2.7. Fully qualified Domain NameUn hôte DNS doit disposer d’un FQDN (“Fully qualified Domain Name”) soit un un nom de domaine écrit de façon absolue, y compris tous les domaines jusqu’au domaine de premier niveau (TLD); il est ponctué par un point final.3: 2.8. Serveurs DNS racineLes serveurs racine sont gérés par douze organisations différentes : deux sont européennes, une japonaise et les neuf autres sont américaines. Sept de ces serveurs sont en réalité
distribués dans le monde grâce à la technique anycast et neuf disposent d’une adresse IPv6. Grâce à anycast, plus de 200 serveurs répartis dans 50 pays du monde assurent ce service. Il existe 13 autorités de nom appelées de Le DNS ne fournit pas de mécanisme pour découvrir la liste des serveurs racine, chacun des serveurs doit donc connaître cette liste au démarrage grâce à un encodage explicite. Cette liste est ensuite mise à jour en consultant l’un des serveurs indiqués. La mise à jour de cette liste est peu fréquente de façon que les serveurs anciens continuent à fonctionner.4: 2.9. Serveurs DNS publics pour mémoireGoogle en IPv4 et en IPv6 :
OpenDNS en IPv6 :
3. Configuration Cache DNS en Cisco IOS3.1. Configuration “cache DNS”, “DNS Forwarder”Il devrait être en mesure de résoudre son propre FQDN configuré dans le mode de configuration globale
avec les commandes L’hôte doit être en mesure de résoudre des noms :
Il doit transférer les requêtes qu’il reçoit auprès du serveur de sa connexion Internet.
Activation du service.
3.2. Qui pousse les paramètres d’un serveur DNS dans le LAN ?En IPv4, ce sera un service DHCP. En IPv6, ce sera :
3.3. Commandes IOS de configuration DNS
4. Outils d’interrogation DNS sur les hôtesParmi beaucoup d’autres, on suggère deux outils d’interrogation DNS sur les hôtes.
4.1. Outil “nslookup” sur un hôte terminalCommande Linux/Windows permettant de vérifier la résolution de noms :
4.2. Introduction à DigOutil lié au projet Bind (pour Berkeley Internet Name Daemon, logiciel Unix serveur DNS le plus déployé dans le monde devenu un standard industriel).
La valeur de la ligne 4.3. Dig auprès d’un serveur spécifiqueOn peut adresser les demandes DNS auprès de serveurs spécifiques.
Ici une demande auprès d’un serveur DNS racine.
4.4. Dig succintPour obtenir une réponse courte.
ou encore, 4.5. Dig AAAAUne résolution de nom en IPv6.
4.6. Dig sur les enregistrements MXQuels sont les serveurs de courrier électronique
4.7. Dig NS recordL’enregistrement NS permet de connaître le nom du ou des serveurs qui ont autorité sur la zone.
4.8. Dig reverse lookupQuel est le nom reverse correspondant à l’adresse IP ?
4.9. dig traceOn peut constater l’oeuvre de récursivité.
4.10. Transfert de zone AXFROpération de transfert de zone. Ne réaliser l’opération que sur des ressources autorisées ! Première étape : identifier le serveur qui héberge la zone.
Si on tente un transfert auprès de notre résolveur, la demande échoue !
Il est nécessaire de l’adresser au serveur qui a autorité sur la zone.
Ou encore via l’API de hackertarget.com : 4.11. Dig sur un enregistrement SRVUn enregistrement SRV est une extension d’un enregistrement mais pour n’importe quel service (autre que SMTP) car il permet notamment de prendre connaissance des services (Annuaire, serveur SIP, …) et des leurs ports disponibles. On interroge une enregistrement SRV avec le nom du service qui respecte une certaine nomenclature
comme par exemple On trouvera plus bas quelques exemples.
Sur quel port écoute le service SIP/UDP du domaine anveo.com ?
Y a-t-il un serveur SIPS (TCP 5061) sur le domaine cisco.com ?
ou encore :
Quel protocole Internet permet d'effectuer la résolution de noms ?Le protocole et le système DNS permet de résoudre des noms en adresses IP. DNS est une sorte de service mondial de correspondance entre des noms et des adresses IP. DNS utilise principalement le port UDP 53.
Quel protocole permet la résolution des adresses IP en noms d'hôtes ?Définition du protocole ARP
L'Address Resolution Protocol (ou protocole de résolution d'adresse) a été défini en 1982 dans la RFC 826, pour obtenir la résolution des adresses IPv4 dans les adresses MAC.
Qu'estPour cela, le système a recours à un réseau international de serveurs DNS qui subdivisent les espaces des noms de domaine de manière indépendante dans des zones administrées. Cela permet une manipulation décentralisée d'informations de noms de domaine.
Qu'est(Domain Name System) Système permettant d'établir une correspondance entre une adresse IP et un nom de domaine. Avec DNS, la résolution se fait par l'intermédiaire d'un serveur.
|