DNS - Domain Name System
|
Qui 16 Mar 2006 19:32 |
- Detalhes
- Categoria: Oceano Web
- Atualização: Quarta, 15 Abril 2009 11:49
- Autor: vovó Vicki
- Acessos: 13973
Uma procura completa
Digamos que você esteja usando seu navegador (ou qualquer outro aplicativo) que precisa de um endereço IP numa máquina com sistema operacional Linux e que possua um servidor de nomes próprio. As etapas para encontrar um IP, por exemplo, do domínio www.google.com.br, são:
- O navegador procura no seu cache interno se por acaso este nome já foi resolvido.
- Se não, o aplicativo procura no arquivo /etc/resolv.conf um IP que corresponda a um servidor de nomes. Digamos que tenha encontrado o endereço 212.3.1.1
- O servidor de nomes (ns) 212.3.1.1 checa seu cache. Se não encontrar nada, a pesquisa continua.
- O ns 212.3.1.1 determina se o domínio procurado é local ou não. Se for local, o ns é o responsável pela tradução e a procura termina.
- Se não, o ns 212.3.1.1 pergunta a um servidor raiz onde encontrar o primeiro nível do domínio (.br) e recebe, por exemplo, a resposta a.dns.br com o endereço IP 200.160.0.10.
- O processo continua em cadeia. O ns 201.3.1.1 pergunta ao servidor de nomes a.dns.br quem é o responsável por .com.br e assim por diante até encontrar uma resposta autoritativa para o endereço completo (www.google.com.br).
- Depois de receber a resposta, o ns 201.3.1.1 registra o resultado no seu cache para não ter todo este trabalhão novamente (e também para não dar trabalho a uma porção de outros servidores de nomes).
O software que comanda a festa
O software mais conhecido e utilizado para realizar tarefas de tradução é o BIND - Berkeley Internet Name Domain. É um software gratuito e de código aberto, muito eficiente, fácil de instalar e de configurar. Há anos o pessoal do projeto trabalha na atualização e no controle de falhas de segurança. É isto mesmo, versões mais antigas do BIND têm falhas de segurança que vão de leves até severas, como a vulnerabilidade a ataques DDoS (Distributed Denial of Service). Fica aqui um alerta: se você instalou o BIND, dê uma olhada nos avisos da ISC e cuide de fazer um upgrade se a versão do seu servidor de nomes estiver vulnerável, colocando em risco todo o seu sistema.
A impressão que se tem é que a última versão sempre está livre de bugs... mas é só impressão. Sempre aparece algum engraçadinho que descobre uma brecha. Por este motivo, uma das precauções adicionais ao instalar um servidor de nomes é instalá-lo numa jaula de segurança (assunto de um outro texto na seção o caminho das pedras). Caso algum cracker consiga derrubar o BIND, pelo menos ele fica preso na "jaula de diretórios" do servidor de nomes e, com uma boa probabilidade, não será capaz de sequestrar a sua máquina 
As lambanças
Um serviço de DNS mal configurado sobrecarrega todo o sistema. Estudos recentes mostram que (pasmem!) 98% das solicitações feitas aos servidores raiz são desnecessárias. Os maiores vilões são:
- Um dos abusos mais sérios vem de sistemas Windows da Microsoft que insistem em fazer atualizações dinâmicas de DNS. Muitas organizações e redes domésticas usam o assim chamado espaço de endereços privado. O servidor de nomes local, com frequência, não é autoritativo para a zona in-addr.arpa apropriada e as falsas atualizações dinâmicas, não obtendo resposta, remetem uma enxurrada de solicitações para a Internet.
- Filtros de pacotes e firewalls mal configurados: firewalls que permitem a saída de solicitações ao DNS mas que não permitem a entrada das respostas.
Existem outras situações que contribuem para criar lixo no DNS. Se tiver curiosidade (e quiser saber se o seu sistema é um dos vilões), leia Health of the Domain Name System no site Bind9.net.
- << Anterior
- Próximo