Лабораторная работа N3
Изучение системы доменных имён (DNS)
У всех студентов должны быть выбраны для данной работы разные доменные имена. Выбрав имя, студент должен проверить на странице http://lab127.karelia.ru/nettech/lab3.php (авторизация КОМПОТ), что оно ещё никем не обрабатывается.
1. Изучение иерархической структуры DNS
Ознакомьтесь с принципами организации системы доменных имён (RFC 1034, RFC 1035).
а) Ознакомьтесь с утилитой dig. Выясните, как с помощью утилиты dig:
- обратиться к конкретному DNS-серверу,
- обратиться к DNS-серверу, использующему нестандартный порт,
- получить ресурсную запись конкретного типа.
б) Программа dig позволяет выполнять трассировку пути делегирования от корневого домена для заданного доменного имени при помощи опции +trace (при этом выполняются итеративные (нерекурсивные) запросы к авторитетным серверам зон, попадающимся на пути делегирования).
Выберите доменное имя 3–4-го уровня иерархии и при помощи трассировки пути делегирования определите для зоны, к которой относится это доменное имя, а также для зон всех родительских доменов их авторитетные сервера. Получите SOA-записи для перечисленных зон.
В отчёте приведите протоколы работы программы dig с необходимыми пояснениями и расшифровкой полученных ресурсных записей.
2. Изучение механизма DNSSEC
Ознакомьтесь с механизмом DNSSEC (RFC 4033, RFC 4034, RFC 4035).
Программа dig позволяет проверить электронную цифровую подпись (ЭЦП) ресурсной записи по цепочке доверия DNSSEC при помощи опции +sigchase, при этом для проверки используются ключи из списка доверенных. В качестве файла со списком доверенных ключей используется /etc/trusted-key.key или указанный в опции +trusted-key=file. Чтобы построить цепочку доверия от корневого домена, следует добавить опцию +topdown. В этом случае файл со списком доверенных ключей может содержать только ключи корневой зоны.
а) При помощи программы dig получите открытые ключи корневой зоны (ресурсные записи типа DNSKEY) и сохраните их в файле в своём домашнем каталоге. В отчёте приведите протокол работы программы dig и текст полученных ресурсных записей с расшифровкой.
б) Выберите доменное имя 3–4-го уровня иерархии, ресурсные записи которого имеют ЭЦП, и при помощи программы dig убедитесь в аутентичности какой-либо ресурсной записи этого домена, проверив ЭЦП по цепочке доверия от корневой зоны. В отчёте приведите протокол работы программы dig с необходимыми пояснениями и текст полученных ресурсных записей с расшифровкой.
Прейскурант типичных ошибок:
- -0.5: повторная проверка отчёта,
- -0.1: нарушение срока сдачи (за каждую начатую неделю после дедлайна),
- -0.2: неправильно использованы аргументы команды dig (адрес сервера, порт или тип ресурсной записи),
- -0.1...-0.4: отсутствуют расшифровки ресурсных записей (п.1),
- -0.1: отсутствуют запросы SOA-записей для каких-либо зон из трассировочного запроса (за каждый),
- -0.5: отсутствуют пояснения по протоколу проверки ЭЦП (п.2).