46961 (Введение в интернет. Доменные имена), страница 2

Время задает интервал времени в секундах, в течение которого данные могут сохраняться в кэше сервера.

класс определяет класс сети. Практически всегда это будет IN, обозначающее INternet.

Тип может быть одним из следующих:

SOA - определяет DNS зону

NS - сервер имен для зоны

A - преобразование имени в IP-адрес

PTR - преобразование IP-адреса в имя

MX - почтовая станция

CNAME - имена машины

HINFO - описание "железа" компьютера

TXT - комментарии или какая-то другая информация

Есть также некоторые другие типы, но они намного менее распространены.

В записях можно использовать символы # и; для комментариев, @ для обозначения текущего домена, () - скобки - для написания данных на нескольких строках. Кроме того, можно использовать метасимвол * в имени. Порядок записей не имеет значения за одним исключением: запись SOA должна идти первой. Дальнейшие записи считаются относящимися к той же зоне, пока не встретится новая запись SOA. Как правило, после записи зоны указывают записи DNS-серверов, а остальные записи располагают по алфавиту, но это не обязательно.

SOA - описание зоны

Теперь попробуем рассмотреть записи. Первой описываем зону:

mycompany.ru. IN SOA ns. mycompany.ru. admin. mycompany.ru. (1001; serial

21600; Refresh - 6 часов

1800; Retry - 30 мин

1209600; Expire - 2 недели

432000); Minimum - 5 дней

Сначала идет имя домена: mycompany.ru. (обратите внимание на точку в конце имени). Вместо имени можно было (и чаще всего так и делают) поставить знак @.

ns. mycompany.ru. - основной сервер имен

admin. mycompany.ru. - почтовый адрес администратора в формате имя (точка) машина

затем в круглых скобках идут поля, необходимые для правильного "восприятия" вашей зоны другими серверами. Первое число - serial - является "версией" файла зоны. При внесении изменений это число надо увеличить - если вторичный сервер увидит, что его версия зоны меньше, чем у первичного сервера, то он перечитает данные. Типичной ошибкой является обновление зоны без обновления этого числа. Очень удобно в качестве serial использовать текущую дату, например, 2003040401 - 4 апреля 2003 года, первое обновление.

Refresh говорит вторичным серверам, как часто они должны проверять значение serial.

Retry говорит о том, как часто вторичный сервер должен пытаться прочитать данные, если первичный сервер не отвечает.

Expire говорит вторичным серверам, в течение какого времени они должны обслуживать домен, если первичный сервер не отвечает. По истечении этого времени вторичные сервера будут считать свои данные устаревшими.

Minimum задает время жизни записей по умолчанию для данной зоны.

NS описывает сервера имен

Теперь опишем сервера имен, обслуживающие наш домен:

mycompany.ru. IN NS ns. mycompany.ru.

mycompany.ru. IN NS ns. provider.ru.

Здесь ничего сложного нет. Так как имя зоны совпадает с указанным в поле имя записи SOA, то его можно оставить пустым.

A описывает хосты

Дальше идут записи A, описывающие ваши компьютеры и позволяющие преобразовать имена в IP-адреса.

major IN A 192.168.0.1

colonel IN A 192.168.0.2

IN HINFO "2xPIV-1.7 Win2K"

general. mycompany.ru. IN A 192.168.0.3

Здесь сложного тоже ничего нет - имена могут быть относительные или "абсолютные", можно добавить записи о конфигурации машины (пропущенное имя в записи HINFO говорит о том, что имеется в виду предыдущее имя). Не забудьте добавить записи

localhost. IN A 127.0.0.1

localhost IN CNAME localhost.

mycompany.ru. IN A 192.168.0.1

Первая отдает адрес 127.0.0.1 любой машине, запросившей имя localhost, вторая - localhost. mycompany.ru, а третья говорит, куда послать клиента, который хочет попасть на mycompany.ru

C помощью CNAME можно задавать короткие имена серверов

Записи CNAME позволяют дать машинам удобные или значащие имена. Например:

ftp IN CNAME general говорит, что ftp. mycompany.ru живет по адресу 192.168.0.3. CNAME удобно использовать, если вы меняете имя машины, но хотите оставить доступ для клиентов, которые помнят старое имя. Удобный трюк с использованием CNAME заключается в назначении коротких имен часто используемым адресам. Например, прописав ls IN CNAME www.listsoft.ru., вы сможете заходить на ListSoft просто набирая ls в качестве адреса.

MX описывает пересылку почты.

Записи MX нужны для того, чтобы указать, куда пересылать почту. В этих записях добавляется приоритет - чем он меньше, тем выше приоритет машины. Приоритеты нужны для того, чтобы можно было задать несколько записей и перенаправить почту на альтернативный сервер, если основной не работает. MX запись должна быть указана для домена в целом и, возможно, для каждой машины в отдельности. Сложного тут тоже ничего нет за одним исключением: очень часто встречается неправильно использование метасимвола "*". Запись "*. mycompany.ru." означает не "любая машина домена mycompany.ru", а "любая машина, которая еще не была описана". Причем, даже если использовалась не MX, а, например, A-запись, то звездочка все равно не будет работать для этой машины. Более подробно почитать об использовании метасимволов можно в RFC 1034, раздел 4.3.3 В принципе, метасимволы нужны только для того чтобы принимать почту для сети, находящейся за брандмауэром и чтобы пересылать почту в сети, не подключенные к Интернету (например, работающие через UUCP). Так как записи DNS меняются довольно редко, то имеет смысл прописать MX записи для всех машин, описанных записями A.

mycompany.ru. IN MX 10 relay

mycompany.ru. IN MX 20 mycompany.ru.

mycompany.ru. IN MX 30 mail. provider.ru.

general. mycompany.ru. IN A 192.168.0.3

IN MX 10 mycompany.ru.

Реверсная зона позволяет определить имя по адресу

На этом создание файла зоны можно считать законченным. Но остается более увлекательное занятие: описание реверсной зоны. Если предыдущий файл позволяет определить IP-адрес по имени, то теперь надо сделать так, чтобы по IP-адресу можно было "вычислить" имя. Отсутствие реверсной зоны является довольно типичной ошибкой и может приводить к самым разным ошибкам - начиная от сбоев FTP-серверов и заканчивая классификацией отправленных писем как спама.

PTR преобразовывает адрес в имя.

Для обратного преобразования используются записи PTR. Но не торопитесь их вписывать - тут есть одна хитрость: они пишутся в отдельном специальном домене верхнего уровня, с названием IN-ADDR. ARPA. Домен этот был создан для того, чтобы и для прямого, и для обратного преобразований можно было использовать одни и те же программные модули. Дело в том, что "мнемонические" имена пишутся слева направо: www.listsoft.ru означает, что www находится в listsoft, а listsoft - в ru. IP-адреса пишутся наоборот: 195.242.9 4 означает, что машина 4 находится в подсети 9, которая является частью 195.242 И для сохранения "единого стиля" адресов для обратного преобразования используются имена вида 4.9 242.195. IN-ADDR. ARPA (обратите внимание, что IP-адрес записан в обратном порядке).

Итак, мы создаем еще один файл зоны (для зоны, например, 0.168.192. IN-ADDR. ARPA), копируем в него запись SOA (а заодно и NS), после чего начинаем писать:

1 IN PTR major. mycompany.ru.

2 IN PTR colonel. mycompany.ru.

Можно задавать не только относительные, но и абсолютные имена:

3.0.168.192. IN-ADDR. ARPA. IN PTR general. mycompany.ru.

Не забудьте еще задать обратное преобразование для 127.0.0.1.

Обратите внимание на то, что право на ведение "прямого" домена не зависит от провайдера - его выдает организация, ведающая распределением имен в нужном вам домене. А вот пул IP-адресов находится в ведении провайдера, и именно провайдер делегирует (или не делегирует) вам права на ведение реверсной зоны. В связи с тем, что зачастую клиентам выдается не целая сеть класса "C", а ее часть, то и реверсная зона находится на сервере провайдера. Так что вам придется наладить с ним взаимодействие в области обновления данных.

Настройте трансфер зоны.

Напоследок - одно маленькое замечание. Исследование DNS является одним из первых этапов "изучения сети" при подготовке ее взлома. Чаще всего используется перенос зоны, при котором все записи зоны передаются на компьютер "исследователя", где он их может изучать в спокойной обстановке. Поэтому имеет смысл (помимо всего прочего) настроить брандмауэр на запрет TCP-соединений по 53 порту с несанкционированных адресов (в запросах на определение имен используется UDP, а для переноса зоны - TCP).

3. Система русских доменных имен

Каким образом она работает, рассказывает ведущий специалист web-студии "Дизайн-Бюро" Константин Шепелин (начало смотрите в предыдущем номере).

Система доменных имен - DSN - является основой удобного доступа к серверам Интернет, позволяя использовать вместо их подлинных цифровых адресов (IP) легко запоминаемые словесные обозначения, например www.1ru.ru вместо 64.45.60.67. Однако по существующим стандартам доменные имена, т.е. фрагменты интернет-адресов в текстовой форме, должны состоять из символов ASCII-кода, букв латиницы и цифр, причем допускаются дефисы внутри имен. Технология, предлагаемая компанией VeriSing, позволяет обойти это ограничение. Для того, чтобы использовать символы национальных алфавитов, в том числе и русского, их нужно перекодировать в Unicode, что, кстати, решает проблему наличия множества кодировок, а затем по специальному алгоритму преобразуются в уникальную последовательность "разрешенных" ASCII-символов. Например, слово "банк" преобразуется в AQYTAPJ2. К этой строке, однозначно соответствующей кириллической записи, добавляется специальный префикс BQ - (с двумя дефисами). Он служит для того, чтобы отличать преобразованные доменные имена от случайных наборов ASCII-символов. Такой формат записи называется RACE (Row-based ASCII Compatible Encoding). В результате адрес сайта www.россия. org преобразуется в www.BQ--ARAD4QKBHBHQ. ORG. Именно RACE-адрес домена хранится в базах данных DNS, благодаря чему перестройка существующей мировой системы доменных серверов и замена программного обеспечения на вашем веб-сайте не требуется.

В настоящее время для работы с мультиязыковыми доменнными именами на компьютере клиента (например, посетителя сайта) должна быть установлена специальная программа, преобразующая символы национального алфавита в RACE-формат, который и используется при запросе к DNS.

В дальнейшем поддержка мультиязыковых доменов будет встраиваться непосредственно в операционные системы и браузеры. Для разработчиков ПО, желающих обеспечить поддержку национальных доменных имен в своих продуктах, компания VeriSing разработала бесплатный набор библиотек (SDK).

Учитывая сложность внедрения новой системы доменных имен, компания разделила ее тестовую эксплуатацию и ввод в строй на несколько этапов. Уже сейчас вы можете зарегистрировать доменное имя имя на русском языке, однако его делегирование будет произведено только по завершению создания необходимой инфраструктуры.

На первом этапе все зарегистрированные национальные имена в RACE-формате размещаются в виде доменов третьего уровня в тестовой зоне mltbd.com/net/org. Зарегистрировав сайт www.РОССИЯ. org, вы сможете увидеть в сети виртуальный сервер BQ--ARAD4QKBHBHQ. mltbd. org. Поскольку DNS не учитывает разницу между заглвными и строчными символами, то верхний регистр используется просто для упрощения восприятия. На страничке по этому адресу содержится краткая информация о ходе тестирования и подтверждение достижения зарегистрированного домена. На втором этапе созданные в зоне mltbd.com/net/org поддомены будут делегированы владельцам соответствующих доменов второго уровня.

Таким образом, набрав в браузере www.BQ--ARAD4QKBKBHBH. mltbd. org, пользователь попадает на сайт www.РОССИЯ. org, а точнее, на страницу, определяемую сервером имен РОССИЯ. org. И, наконец, третий этап - это непосредственное делегирование доменов в зонах.com,. net и. org, т.е. адрес www.BQ--ARAD4QKBHBHQ. org приведет пользователя непосредственно на сайт www.РОССИЯ. org/.

4. Принципы работы динамического DNS

Компьютер, подключающийся к сети Интернет, независимо от существующих на нем настроек, видится всем остальным по некоторому IP-адресу. Этот адрес может быть постоянным, прописанным в настройках компьютера и не изменяющийся при подключении к Сети, а может быть динамическим, присваиваемым ему на текущий сеанс связи провайдером. Во втором случае этот адрес при каждом подключении может оказываться отличным от предыдущего. Если же вы хотите, чтобы к вашему компьютеру могли обращаться ваши друзья или иные посетители, его IP-адрес должен быть постоянным.

Да, интернет-сервисы могут располагаться не только на специально выделенных для этого серверах, но и на домашних компьютерах. На таком компьютере может размещаться сайт, каталог файлов или картинок, почтовый или игровой сервер. Но если ваш IP-адрес будет динамическим, то при каждом подключении к Сети вам нужно будет посылать его своим постоянным посетителям, чтобы они могли попасть на ваш сайт. К тому же, подключаться к сайту им придется по IP-адресу, а не по его названию. Что делать, чтобы избежать подобной проблемы?

Один способ - приобрести у провайдера постоянный адрес и использовать его. Весьма простая ситуация, но не бесплатная. За такое "удовольствие" придется выкладывать вполне ощутимую сумму. Но в последние годы появились иные возможности обеспечить доступ к компьютеру из Интернета, не требующие при этом обращения к провайдеру. Появившиеся службы (Dynamic DNS сервисы) позволяют это делать для динамически выделяемых адресов. Базовые услуги ими, как правило, предоставляются бесплатно, а вот за дополнительные возможности придется платить.