Чтение онлайн

□ 

(Address, Адрес) — доменное имя и IP-адрес компьютера;

□ 

(Canonical Name, Каноническое имя) — синоним для реального доменного имени, которое указано в записи типа А;

□ 

(Pointer, Указатель) — отображение доменного имени по его IP-адресу;

□ 

(Text, Текст) — дополнительная информация, которая может содержать любое описание;

□ 

(Responsible Person, Ответственное лицо) — E-mail-адрес ответственного за работу человека;

□ 

(Host Information) — информация о компьютере, такая как описание ОС и установленного оборудования.

В целях безопасности записи

и не используют. Ничего лишнего хакеру не должно быть доступно, тем более не стоит вводить информацию о компьютере и его ОС. Записи и чисто информационные и не несут в себе никаких полезных данных, способных повлиять на работу сервера.

Теперь вернемся к файлу sitename.zone и рассмотрим его содержимое. В первой строке (тип

) идет описание зоны. Сначала указывается имя DNS-сервера () и человека, ответственного за запись (). В скобках перечислены параметры, которые для удобства расположены каждый в своей строке. Первым идет номер записи. После каждой корректировки увеличивайте это значение на 1 или записывайте туда дату последнего редактирования. По этому значению другие серверы будут узнавать, было ли изменение записи.

Следующий параметр

— частота, с которой другие серверы должны обновлять свою информацию. В случае ошибки сервер должен повторить попытку через время, указанное в третьем параметре ().

Последний параметр (

) устанавливает минимальное время жизни записи на кэширующих серверах, т.е. определяет, когда информация о зоне на кэширующем сервере будет считаться недействительной.

По этим параметрам остальные DNS-серверы будут знать, как себя вести для обновления информации о зоне, которую контролирует ваш DNS-сервер.

Следующая строка имеет тип

, и таких записей может быть несколько. Сокращение NS в данном случае означает Name Server. Здесь описываются DNS-серверы, которые отвечают за эту зону. Именно через эти серверы все остальные участники будут преобразовывать символьное имя sitename.com в IP-адрес.

После этого могут идти записи

(Mail eXchange). По ним серверы определяют, куда отправлять почту, которая приходит на домен sitename.com. В нашем примере это сервер mail.sitename.com, а число перед его именем — это приоритет. Если в файле будет несколько записей , то они будут использоваться в соответствии с приоритетом.

Внимание!

В записях типа

NS

и

MX

в конце адреса обязательно должна быть точка!

И наконец, строки преобразования. Они выглядят следующим образом:

В нашем примере две строки:

Это значит, что имена ns.servername.com и mail.servername.com соответствуют IP-адресу 190.12.10.1.

Теперь рассмотрим файл описания обратного преобразования IP-адреса в имя (10.12.190.in-addr.arpa.zone). Он может иметь примерно следующий вид:

Большая часть этого файла нам уже знакома. Самое интересное хранится в последних двух строках. Здесь находится связка IP-адресов и имен серверов. Не забываем, что файл отвечает за сеть с адресами 190.12.10.*. Звездочка заменяется числом, стоящим в первой колонке, а имя, соответствующее этому адресу, указано в последнем столбце. По этому файлу мы видим следующие соотношения:

190.12.10.1 = servername.com.

190.12.10.2 = mail.servername.com.

Еще раз напоминаю, что точка в конце символьного адреса обязательна.

Для получения дополнительной информации по DNS рекомендую прочитать документы RFC 1035, RFC 1712, RFC 1706.

Если посмотреть на задачи, которые решает служба, то ничего сверх страшного в ней нет, и хакер не сможет ничего сделать. Как бы не так. Были случаи, когда DNS-серверы выводили из строя. Тогда обращение по именам становилось невозможным, а значит, сетевые программы переставали работать. Пользователи не привыкли использовать IP-адрес, поэтому падение DNS для них смертельно.

Помимо вывода из строя сервера DNS может предоставлять хакеру слишком много информации, из которой он сможет узнать структуру сети. Чтобы этого не произошло, желательно использовать два DNS-сервера:

1. Общедоступный, содержащий необходимые строки для работы удаленных пользователей с общими ресурсами.

2. Локальный, видимый только пользователям вашей сети и содержащий все необходимые записи для их работы.

На локальном сервере можно так настроить сетевой экран, чтобы он воспринимал только внутренний трафик и игнорировал любые попытки обращения из всемирной сети. В этом случае злоумышленнику будет проблематично не только посмотреть базу данных DNS, но и нарушить работу сервера. Таким образом, все локальные пользователи будут лучше защищены от нарушения работы DNS и могут спать спокойным сном, пока их охраняет сетевой экран.

Для каждого первичного можно завести по одному вторичному серверу. Это позволит распределить нагрузку между ними и уменьшить время отклика и, конечно же, повысить отказоустойчивость. При выходе из строя одного из серверов второй возьмет на себя его функции и не позволит сети остаться без удобной возможности адресации к компьютерам по имени.

Использование парных серверов позволяет повысить производительность и безопасность. Сервисы DNS под Linux не очень требовательны к оборудованию, В моей сети работает четыре сервера на базе Red Hat Linux в текстовом режиме на компьютерах Pentium с частотой от 400 до 700 МГц. Когда-то это были офисные машины, но их мощности перестало хватать, и я превратил старое железо в DNS-серверы. Для выполнения этой задачи такой древней техники более чем достаточно и хватит на ближайшие годы. Таким образом, старому компьютеру можно дать новую жизнь, и довольно долгую, а главное, что для компании такое решение окажется приемлемым по цене.