DNS 1x1

DNS Workshop

Created: 2019-08-29 Thu 09:31

Agenda

  1. Domain Name System Grundlagen
  2. Der DNS Namensraum
  3. DNS Namensaufloesung
  4. Komponenten eines DNS-Systems
  5. DNS als Protokoll
  6. DNS-Delegation
  7. der SOA-Record
  8. der NS-Record

DNS - Das Domain Name System

DNS is like chess

the rules are simple

but the chances to loose the game

are endless

DNS - Das Domain Name System

  • erste Grundlagen 1981-1983
  • Einführung im Internet von 1983 bis 1988
  • Ersatz für die statische "hosts.txt" Datei
  • bis heute immer erneuert/erweitert
  • skaliert mit dem Wachstum des Internet
  • keine eigenen Sicherheitsmechanismen

DNS Namensraum

DNS-namespace01.png

DNS Namensraum

DNS-namespace02.png

DNS Namensraum - "Label"

DNS-namespace03.png

DNS Namensraum - "Label"

DNS-namespace04.png

DNS Namensraum - "Label"

DNS-namespace05.png

DNS Namensraum

DNS-namespace06.png

DNS Namensraum

DNS-namespace07.png

DNS Namensraum

DNS-namespace08.png

DNS Namensraum

DNS-namespace09.png

DNS Namensraum

DNS-namespace10.png

DNS Namensraum

DNS-namespace11.png

DNS Namensraum

DNS-namespace12.png

Internet Namensraum

DNS-namespace13.png

Internet Namensraum

DNS-namespace14.png

DNS Komponenten

DNS-komponenten.png

DNS Komponenten - Hybrid-DNS

DNS-Components-hybrid.png

DNS Komponenten - Authoritative Only

DNS-Components-auth-only.png

DNS Komponenten - DNS Resolver

DNS-Components-full-resolver.png

DNS Paketformat

DNS-Components-DNS-packet.png

DNS Resource Records

SOA Record

DNS-Resource-Records-SOA.png

Negatives Caching

  • Der letzte Wert im SOA-Record bestimmt (zusammen mit dem TTL-Wert des SOA-Records, kleinster Wert wird benutzt), wie lange negative DNS-Antworten im Cache gehalten werden
  • Negative DNS-Antworten sind NXDOMAIN und NXRRSET/NODATA
  • Fehlerzustände (SERVFAIL, FORMERR, REFUSED …) werden nicht im DNS-Cache gespeichert

NS-Record

DNS-Resource-Records-NS.png

NS-Record

  • NS-Records erzeugen die DNS-Delegation
  • die NS-Records in der Elternzone müssen mit den NS-Records in der delegierten "Kind" Zone übereinstimmen
  • Liegt der Name eines delegierten DNS-Servers innerhalb der delegierten Zone, so muessen in der Eltern-Zone "Glue-Records" eingefügt werden

Glue (1)

DNS-Resource-Records-glue1.png

Glue (2)

DNS-Resource-Records-glue2.png

Ende DNS 1x1 - Fragen?