DNS, przekazywanie zapytan

[rax666]

wysylam zapytanie dns do serwera ktory znajduje sie w mojej sieci, powiedzmy 192.168.0.10.

ten serwer ma w pamieci adresy DNSow WAN, do ktorych przekazuje zapytania.

uzywam programu dig do testow.

dig hack.pl

Kod:

hack.pl.                18467   IN      A       77.55.103.230

;; AUTHORITY SECTION:
hack.pl.                18467   IN      NS      ns2.hack.pl.
hack.pl.                18467   IN      NS      ns1.hack.pl.

;; ADDITIONAL SECTION:
ns1.hack.pl.            36271   IN      A       91.146.218.138
ns2.hack.pl.            36271   IN      A       156.17.3.53

;; Query time: 27 msec

jak rozumiem, dostaje odpoweidz o domene, oraz adresy wraz z tlumaczeniami DNSow ktore obsluguja te domene.


To byl prosty przyklad, wezmy teraz cos dluzszego:
dig v21.lscache7.c.youtube.com

Kod:

;; QUESTION SECTION:
;v21.lscache7.c.youtube.com.    IN      A

;; ANSWER SECTION:
v21.lscache7.c.youtube.com. 62768 IN    CNAME   v21.lscache7.l.google.com.
v21.lscache7.l.google.com. 26   IN      A       195.80.237.94

;; AUTHORITY SECTION:
google.com.             68853   IN      NS      ns1.google.com.
google.com.             68853   IN      NS      ns3.google.com.
google.com.             68853   IN      NS      ns4.google.com.
google.com.             68853   IN      NS      ns2.google.com.

;; ADDITIONAL SECTION:
ns1.google.com.         55541   IN      A       216.239.32.10
ns2.google.com.         55439   IN      A       216.239.34.10
ns3.google.com.         55993   IN      A       216.239.36.10
ns4.google.com.         55516   IN      A       216.239.38.10

cname to znaczy alias, dostaje 'przekierowanie' na prawdziwa domene, czyli v21.lscache7.l.google.com, oraz jej tlumaczenie.
oczywiscie adresy dnsow rowniez obecne.


Ale teraz moj problem, jak to dziala w praktyce?

DNS z moejj sieci pyta sie DNSow mojego ISP, DNS ISP pyta sie kogo? od konca? on wie ze domeny .com obsluguje server A, przekazuje mu v21.lscache7.l.google.com, serwer obslugujacy domeny .com wie, ze domeny .l obslugiwane sa przez B, B wie ze lscache7 jest obslugiwane przez C, a c wie ze v21 jest obslugiwane przez D? D dostaje zapytanie, zna tlumaczenie, i odsyla je do c, c -> b az wroci do mnie.

A moze nsX.google.com obsluguje cala reszte?
Wydaje sie bardziej prawdopodobne, bo dostaje tylko 4 nsy domeny google.com.
Jak by wygladala odpowiedz w przypadku jak podalem wyzej? macie jakis host co dziala w taki sposob?
Czy wrocily by do mnie adresy wszsytkich NSow ktore braly udzial w przekazywaniu?
Czy jest jakis limit czlonow po kropce? (w znaczeniu nie maksymalnej dlugowsi zapytnaia http, tylko przekazywania DNS).

i co oznacza ta liczba google.com. 68853 IN NS ns1.google.com.?
TTL w sekundach, jezeli dojdzie do 0 i przyjdzie azpytanie, DNS odswiezy cache?
Wlasnie, cachowanie, jak to wyglada?
jest DNS, ma w pamieci tlumaczenie - ns1.google.com = 66.77.88.99.
ttl = 0, co on sprawdza? Do kogo wysyla zapytanie? Zakladam ze jest tylko 1 ns obslugujacy host. skonczy mu sie ttl, i skad inny dns ma wiedziec, ze to on? przeciez nie moze odswiezyc ttl na nim samym ;/

[TQM]

Fajnie postawione pytanie!

Ok - DNS jest krytyczna usluga sieciowa, bez tego internet istnieje ale nikt poza paroma osobami nie bedzie umial sie nim poslugiwac, wiekszosc stron przestanie dzialac...

Po kolei... Twoj komputer pyta Twojego DNSa o adres IP. Jesli ten Twoj serwer nie zna odpowiedzi, patrzy czy ma skonfigurowane serwery do ktorych ma przeslac zapytanie dalej (tzw forwardery - czesto obslugiwane przez ISP itd). Jesli serwer przesyla zapytanie do forwardera to po prostu czeka na odpowiedz i tamten sie zajmuje ustaleniem IP...

Drugi przypadek jest taki, ze nie uzywasz forwarderow, wiec Twoj DNS musi podac Ci odpowiedz, wiec musi wyszukac informacje sam. Do tego sluza tzw 'root name servers' i te serwery kazdy serwer DNS ma wpisane na sztywno w pliku, wiec zna ich IP.
Dostajesz zapytanie o domene hack.pl i nie wiesz co z tym zrobic... idziesz do root ns, ten patrzy w swoje tablice i mowi 'aaaa... .pl to jest tamten serwer' i odsyla odpowiedz o Twojego. Twoj mowi 'ok - wiem gdzie jest .pl wiec zobaczmy czego tam sie dowiem' i wysyla zapytanie do serwera obslugujacego .pl - tamten odpowiada ze domene hack.pl obsluguje serwrer ns1.hack.pl i ns2.hack.pl i ich adresy IP sa XYZ... wiec teraz Twoj DNS idzie do ns?.hack.pl i pyta o adres IP dla hack.pl i te dwa serwery powinny udzielic odpowiedzi, chyba ze taki host nie istnieje.

Pytajac o przyapdek google... dostales odpowiedz ze google siedzi na ns{1-4}.google.com i masz ich IP. Te serwery teraz maja wykaz wszystkiego co jest w domenie google.com i odpowiadaja na zapytania ale biorac pod uwage to, ze google ma mase serwerow w roznych miejscach, oplacalne jest przeniesienie czesci pracy do tych lokalnych grup, tak aby kazda grupa miala swoje DNSy, wiec delegujesz subdomene, tzn w domenie google.com tworzysz rekord l.google.com i zamiast typu A (adres IP) czy CNAME (wskazanie na inny rekord) dajesz wpis typu NS i podajesz adresy DNSow obslugujacych tamta subdomene... tak wiec jesli zapytasz o www.google.com to odpowie Ci bezposrednio ns{1-4}.google.com a jak zapytasz o cokolwek w l.google.com to odpowiedz udzieli serwer obslugujacy te subdomene.

Inny przyklad, gdyby hack.pl zaczelo dawac subdomeny uzytkownikom to mialoby 2 wyjscia:
1. obslugiwac calosc samodzielnie i miec pelna kontrole, tzn dodac np rax666.hack.pl i ustawic podany przez Ciebie adres IP i sprawa sie konczy
2. ustawic NS dla rax666.hack.pl i oddac kontrole Tobie ale wtedy Ty mozesz robic co chcesz, zakladac hosty, zmieniac IP jak masz ochote (poza IP serwera DNS obslugujacego rax666.hack.pl) a nawet robic dalsze delegacje kolejnych subdomen

Ostatnie pytanie bylo o TTL - kazdy rekord ma swoj TTL i jak serwer dostaje odpowiedz na dane zapytanie, dostaje tez TTL i zapamietuje odpowiedz na czas nie dluzszy niz TTL ktory otrzymal. Po tym czasie wywala dane z pamieci i bedzie robic kolejne zapytanie na swiat tak jak to bylo wczesniej.

Jesli wiec zmieniasz wpisy w DNSach zwlaszcza jesli chcesz skrocic TTL np z 86400 (24h) do 300 (5min) to praktyczny czas zmiany moze byc nawet 48h :-) DNS to bardzo ciekawa machina...

BTW. Publiczne i otwarte serwery DNS z ktorych mozna korzystac niezalenize od tego co mowi Twoj ISP:
- OpenDNS - 208.67.222.222 i 208.67.220.220
- Google - 8.8.8.8 i 8.8.4.4 :-D