logo
Задания / Надежность и диагностика ТКС / NDTKC-12 / TIM06 / Glava 9

9.9. Иерархическая система имен dns

Адресация IP-пакетов используется на сетевом и транспортном уровнях. Для использования на верхних уровнях она неудобна - конечному пользователю, желающему связаться с каким-либо узлом сети, пользоваться последовательностью четырех чисел затруднительно. Для работы на высших уровнях принята символьная адресация, построенная по иерархическому доменному принципу DNS (Domain Name System). Этот принцип рассмотрим на конкретном примере - адресе Web-сервера Государственного Университета Информационно-Коммуникационных Технологий (ГУИКТ) www.duikt.edu.ua. Этот адрес состоит из четырех элементов, разделенных точками. Крайний справа элемент "ua" - имя домена верхнего уровня, которое известно во всей глобальной сети Интернет. Имя домена верхнего уровня определяется по территориальному (ua – Украина, ru - Россия, usa - США, uk - Англия и т. п.) или организационному (com - коммерческая организация, org - некоммерческая организация, edu - образовательная, gov- государственная США и т. п.) принципу. Имя домена верхнего уровня регистрируется в организации Internet NIC (http://www.internic.net). Каждый домен верхнего уровня может содержать произвольное число узлов и дочерних доменов, каждый из узлов и доменов имеет свое символическое имя, присоединяемое слева через точку к имени родительского домена. В данном случае в домене "ua" (Украина) имеется домен "edu" (образовательная организация), в котором зарегистрирован домен duikt (сокращенное имя института). И, наконец, в домене duikt.edu.ua имеется узел (Web-сервер) с именем "www". В каждом домене имеется DNS-сервер, который хранит таблицу соответствия символических имен и IP-адресов его узлов и дочерних доменов, в ней также присутствует и запись, относящаяся к родительскому домену. По этой иерархической системе каждый узел может получить информацию об IP-адресе любого узла сети, обращаясь последовательно ко всем DNS-серверам вверх по иерархии, доходя до точки, общей для этих узлов, и спускаясь до домена, содержащего искомый узел. Обратная задача - определение символьного имени по IP-адресу - не всегда имеет однозначное решение, поскольку один и тот же узел (IP-адрес) и даже домен могут иметь несколько псевдонимов (aliaces), зарегистрированных даже в разных доменах. Поскольку на систему DNS ложится большая нагрузка, в одном домене может быть и несколько DNS-серверов, ведущих общую базу данных. Кроме того, применяется и кэширование - хранение записей не только своего домена, но и наиболее используемых записей чужих доменов. Как и при всяком кэшировании, здесь необходимо следить за тем, чтобы изменения в кэшируемых базах данных (на удаленных DNS-серверах) своевременно отражались в кэше.

Символические адреса не имеют какой-либо алгоритмической связи с IP-адресами, их взаимное соответствие определяется только по таблицам. В начале построения глобальной сети распределенной службы DNS не было, соответствие имен определялось по "рукописным" таблицам, централизованно хранившимся и распространявшимся в виде текстовых файлов. Распределенная система DNS при всем своем удобстве является потенциальным объектом информационной атаки на сеть, поскольку используемый протокол позволяет вместо "настоящих" DNS-серверов подставлять нелегальные, а также искажать информацию в существующих DNS-серверах. Это позволяет перехватывать пакеты, адресуемые узлам с помощью сервиса DNS.