Internets domännamnssystem (HI1037)
15 mars 2019
Hjälpmedel: Inga.
Observera: Lösningarna måste vara skrivna med läsbar handstil.
Ange namn och personnummer på varje sida.
Maximalt 72 poäng kan uppnås. Preliminära betygsgränser:
A-E från 36 till 72 poäng med intervaller om ungefär 6 poäng.
F (underkänt) under 36 poäng.
FACIT (2019-03-24)
1. Vad betyder det att AA-flaggan är satt i svarspaketet? (1 p)
Svarande server är auktoritativ för DNS-posten eller -posterna i svarssekt- ionen.
2. Hur kan man se i frågepaket och svarspaketet att frågeställaren vill att svarande server ska agera som en resolver (göra rekursion)? (2 p)
I båda paketen att RD-flaggan är satt (värde 1).
3. Vad betyder det att AD-flaggan är satt a. I ett frågepaket? (1 p)
Klienten vill att servern ska om möjligt validera svaret enligt DNSSEC och signalera ifall svaret kan valideras.
b. I ett svarspaket? (1 p)
Svaret kunde valideras enligt DNSSEC.
4. Det finns två olika typer av svar när den efterfrågade DNS-posten inte finns, t.ex.
”www.example.se. A”. Det blir olika status på svarspaketet. Beskriv de två fallen när det gäller likheter och skillnader. (4 p)
I det ena fallet så finns inte namnet (NXDOMAIN). I det andra fallet så finns namnet, men den efterfrågade posttypen finns inte (NODATA).
Skillnader: I första fallet så blir status NXDOMAIN och i andra fallet så blir det NOERROR.
Likheter: 1. Svarssektionen är (normalt) tom. 2. I authority-sektionen så finns SOA-posten för den zon som namnet skulle tillhöra resp. tillhör.
2
och den andra med NODATA. Beskriv de relevanta skillnaderna mellan hänvisningen och NODATA i detta fall. (4 p)
Referral: 1. Svaret är icke-auktoritativt. 2. Authority-sektionen innehåller NS-posterna för den delegerade zonen.
NODATA: 1. Svaret är auktoritativt. 2. Authority-sektionen innehåller SOA- posten för zonen som namnet tillhör.
6. Vad innebär baklängesuppslagning? (1 p)
Uppslagning från IP-adress till hostnamn.
7. Vad används domänen ip6.arpa-domänen till? (1 p) Baklängesdata för IPv6-adresser.
8. Två olika företag delar på ett /24-nät med ett /25-nät var (IPv4). Näten är utdelade av deras ISP. Hur kan delegeringen av baklängeszonen se ut om den görs som en delege- ring (en zon) till vardera företag? (6 p)
a. Beskriv hur delegeringen görs och hur zonen sätts upp och ge ett kortfattat ex- empel för det ena företaget.
Från /24-zonen skapas två delegeringar, ett för varje företag. De två företa- gen sätter upp en zon var för sin /25-del. Från /24-zonen läggs CNAME- pekare in som pekar in i resp. företags /25-zon.
Exempel:
Delegering från /24 (baklänges av 192.0.2.0/24):
0-127.2.0.192.in-addr.arpa. NS ns1.example.se.
0-127.2.0.192.in-addr.arpa. NS ns2.example.se.
0.2.0.192.in-addr.arpa. CNAME 0.0-127.2.0.192.in-addr.arpa.
1.2.0.192.in-addr.arpa. CNAME 1.0-127.2.0.192.in-addr.arpa.
(…)
127.2.0.192.in-addr.arpa. CNAME 127.0-127.2.0.192.in-addr.arpa.
Zonen 0-127.2.0.192.in-addr.arpa läggs upp av företaget med adresserna 192.0.2.0/25 och innehåller PTR-poster (förutom NS och SOA):
1.0-127.2.0.192.in-addr.arpa. PTR network.example.se.
2.0-127.2.0.192.in-addr.arpa. PTR ns1.example.se.
(…)
126.0-127.2.0.192.in-addr.arpa. PTR gw.example.se.
3
9. Ett exempel på ett domännamn är www.nada.kth.se. Vad har punkten för roll i domän- namnet? (1 p)
Domännamnet består av delar (labels) där punkten separerar dem från varandra.
10. Vad är ett FQDN? Beskriv och ge ett exempel. (2 p)
Fully qualified domain name. Ett FQDN startar i rot och innehåller alla de- lar, t.ex. www.kth.se, till skillnad från ett relativt namn, t.ex. www, som är ett namn under något domännamn.
11. Vilken posttyp används för en IPv4-adress? (1 p) A-posttyp (A).
12. Ett DNS-paket består av fem huvuddelar. Vilka är de? (2 p)
1. Header section. 2. Query section, 3. Answer section, 4. Authority sec- tion, 5. Additional section. [4 rätt ger 2 p]
13. En SOA-post kan vara enligt följande. Beskriv delarna i RDATA (2 p).
kth.se. 1800 IN SOA a.ns.kth.se. hostmaster.kth.se. (
2019030420 ; serial
14400 ; refresh (4 hours) 900 ; retry (15 minutes) 604800 ; expire (1 week) 86400 ; minimum (1 day)
)
Första delen (a.ns.kth.se) anger masternamnservern för zonen. Andra de- len (hostmaster.kth.se) är mailadressen till zonansvarig (hostmas-
ter@kth.se). Serial anger versionsnummer på zonen för att kunna se vilken version av zonen som är nyast. Refresh är hur ofta slaven ska kontrollera ifall zonen har uppdaterats. Retry är hur snart slaven ska kontrollera igen ifall förra kontrollen misslyckades. Expire anger hur länge slaven får svara för zonen utan att kunna kontrollera mot mastern. Minimum anger default TTL för zonen om inget annat värde finns samt TTL för negativa svar om inte SOA-postens TTL är kortare.
14. Vilka begränsningar finns det när gäller CNAME-poster i en zon? (2 p)
1. CNAME får inte kombineras med andra DNS-poster utom RRSIG och NSEC. 2. Det får finns högst en CNAME-post för ett domännamn.
15. Vilka DNS-poster måste finnas i en minimal zonfil? (2 p) NS och SOA.
4
måste finnas konfigurerad i resolvern vid start? (4 p)
Följande information måste finnas: IP-adress till minst en fungerande namnserver för rotzonen.
Resolverstegen schematiskt:
1. Resolvern får frågan ”www.kth.se A” från klienten.
2. Resolvern skickar samma fråga till en rotnamnserver och får tillbaka en lista över namnservrarna (namn och IP-adresser) till se-zonen.
3. Resolvern skickar samma fråga till en av se-servrarna och får tillbaka en lista over namnservrarna (namn och IP-adresser) till kth.se-zonen.
4. Resolvern skickar samma fråga till en av kth.se-servrarna och får tillbaka svaret (A-posten eller -posterna).
5. Resolvern skickar A-posten (-posterna) till klienten.
17. Vi skickar förfrågan om flera domännamn till en DNS-hostingserver och får önskat data som svar med AA-flaggan satt. Sedan skickar vi en förfrågan om example.se och får ett svar med REFUSED. Vad är den troliga orsaken? (1 p)
Servern är inte (rätt) konfigurerad med zonen example.se. Alternativt att policyn inte tillåter frågor från klienten.
18. Vad innebär glue-poster och hur används de? (2 p)
Adressposter (A eller AAAA) som följer med NS-posterna i en delegering (”referral”) när namnservernamnet ligger i eller under den delegerade zo- nen.
19. Vilken storleksbegränsning har DNS-paketet? Diskutera hur UDP och TCP spelar in.
(2 p)
Ett DNS-paket kan vara maximalt 512 byte om det går över UDP. Gränsen gäller inte TCP. (Med EDNS så kan klient och server komma överens om högre gräns.)
20. Vad innebär det att ett DNS-svar har TC-flaggan satt och vad är det normala beteendet hos klienten? (2 p)
TC = truncated. Svaret fick inte plats i svarspaketet och är avkortat. Detta händer under UDP. Klienten kommer normalt att skicka samma fråga över TCP istället.
5
21. Vilken UDP/TCP-port förväntas en DNS-server lyssna på? (1 p) 53
22. Var i DNS-paketet läggs OPT-posten och hur presenteras det av dig-kommandot?
(2 p)
Paketet ligger i ”additional section”, men presenteras av dig-kommandot som en egen sektion (”OPT psuedosection”) direkt efter headerdelarna . 23. Vad innebär zonöverföring? (1 p)
Zonöverföring innebär att zonfilen skickas i ett DNS-paket (serie av DNS- paket). AXFR innebär att hela zonfilen skickas, IXFR att skillnaden mellan två version av zonfilen skickas.
24. Vad är ett RRset och hur skiljer det sig från en DNS-post? (1 p)
Ett RRset består av alla DNS-poster som har samma ”owner name”, klass, TTL och posttyp.
6
25. Vilka DNS-poster tillkommer i en DNSSEC-signerad zon jämfört med en osignerad?
Utgå ifrån zonen nedan mellan ”<zon>” och ”</zon>”. Det ska tydligt framgå var i zo- nen som de nya DNS-posterna förväntas finnas. Förklara vad de nya DNS-posterna har för funktion i den uppdaterade zonen. (7 p)
<ZON>
$TTL 3600
@ SOA ns1.example.com. root.telia.se. (
2019030909 14400 900 604800 3600 )
NS ns1.example.com.
NS ns2.example.com.
www A 130.237.28.40
</ZON>
Följande posttyper tillkommer DNSKEY, RRSIG och NSEC. (NSEC3 och NSEC3PARAM stället för NSEC om man vill).
Låt oss anta att zonen är example.se.
DNSKEY läggs till med owner name example.se. Det kan vara en eller flera DNSKEY. DNSKEY innehåller de publika DNSSEC-nycklarna för zonen.
NSEC läggs till i varje namn i zonen. I detta fall en NSEC-post med owner name example.se och en med owner name www.example.se. NSEC pekar ut vilka posttyper som finns under NSEC-postens owner name plus att den pekar ut nästa namn i zonen. Därmed kan man fastställa vad som INTE finns i zonen.
RRSIG läggs till för varje RRset i zonen, d.v.s. för följande namn och postty- per. RRSIG innehåller en kryptografisk signatur av innehållet i RRset. RRSIG skapas för följande RRset:
• example.se/SOA
• example.se/NS
• example.se/DNSKEY
• example.se/NSEC
• www.example.se/A
• www.example.se/NSEC
7
26. Vilka två faktorer styr hur länge cachningen görs? (2 p)
1. TTL på DNS-posten såsom satt på masterservern. 2. Maximal TTL satt i resolverns policy.
27. Vilken posttyp används för validerar att en viss posttyp, t.ex. A eller AAAA, inte finns under ett existerande domännamn? (1 p)
NSEC (NSEC3/NSEC eller NSEC3).
28. Vad är DS-postens roll i delegeringen? (2 p)
DS följer med i delegeringen och pekar indirekt ut DNSKEY för den delege- rade zonen. Det möjliggör ”chain of trust” från moderzon till dotterzon.
29. Ge ett exempel på en gTLD. (1 p) COM/NET/GLOBAL etc.
30. Ett IDN-namn finns i två skepnader. Vilka? Ange vad de heter och vilka egenskaper de har. (3 p)
A-label resp U-label.
U-label består av de avsedda Unicode-tecknen, men kan inte läggas i ett DNS-paket.
A-label är en omkodning av U-label till ASCII-tecken som gör att den kan läggas i ett DNS-paket.
31. Vad har DNS64 för funktion och hur används den tillsammans med en NAT64? (2 p) DNS64 och NAT64 används tillsammans när klienten sitter på ett rent IPv6- nät och ska komma åt resurs som har IPv4-adress. När klienten frågar DNS64 efter något som inte har en IPv6-adress (AAAA-post) utan bara en IPv4-adress (A-post) så skapar DNS64 en AAAA-post med IPv4-adress inba- kad under ett utvalt IPv6-prefix. Detta IPv6-prefix går till en NAT64-server som har både IPv4- och IPv6-koppling. Denna kan då göra en NAT mellan IPv4 och IPv6.
8
32. Följande zonfil för example.se (mellan <ZON> och </ZON>) innehåller fel. Identifi- era felen. För varje identifierat fel beskriv vad felet är och föreslå en rimlig rättning.
Om du pekar ut något som fel fast det inte är fel så får du minuspoäng, men totalsum- man på frågan kan aldrig bli mindre än 0. (5 p)
<ZON>
$TTL 3600
@ SOA ns1.example.se. root.telia.se. (
2019030909 14400 900 604800 3600 )
MX 10 mail.example.se
CNAME www.example.se.
NS ns1.example.se.
example.se NS ns2.example.se.
TXT "Ver 1 dkscmepdolsed"
www A 130.237.28.40
ns1. A 130.237.72.250
ns2 A 129.16.253.256
mail A 130.237.72.246
AAAA 2001:6b0:1::246
</ZON>
Fel:
• I MX-postens RDATA så saknas avslutande punkt i mailservernamnet.
Lägg till den.
• CNAME får inte finnas tillsamans med annan data, vilket den gör här i apex. Byt ut CNAME mot en A-post med samma värde som www.ex- ample.se.
• Andra NS-posten saknar punkt på slutet av owner name. Lägg till den (eller ta bort den så att den ärver owner name från föregående post).
• Det står owner name ”ns1.” (FQDN) vilket inte kan finnas i zonen ef- tersom det namn är utanför zonen. Det ska istället vara ett relativt namn, d.v.s. utan punkt. Tag bort punkten.
• A-posten för ns2 är ogiltig eftersom det är en ogiltig IPv4-adress. Den ska bestå av 4 oktetter, men den sista har värdet 256, vilket är högre än möjligt värde. Tag fram giltigt värde, t.ex. 246.
