DNS(Domain Name System) [01] 도메인 (Domain) 이란? [02] 도메인구성 [03] 도메인이름 (Domain Name) 관리기구 [04] DNS 구조 [05] DNS 처리 (Query) 과정 [06] DNS 서버의종류 [07] 리눅스에서 DNS 서버구축 [08] DNS 관리명령어활용 (host, dig, nslookup, rndc) [09] DNS 정보유용한사이트 [01] 도메인이란? 도메인 (Domain) 이란? 인터넷이라는네트워크상에서컴퓨터를구별하는방법으로써일반적으로 IP주소 (203.211.5.5) 와같은숫자를사용하여구별하는것이아니라사람들이알아보기쉬운숫자와문자조합으로구성하여의미를부여하는방식 ( 예 : www.naver.com) 이라고할수있다. 대한민국국민은누구나자신이거주하는주소지를가지고있다. 일상생활에서편지를 보내면받을사람의주소를적고이름을적는다. 우편을배달하는사람은편지에적혀있 는주소지를찾고, 이름을가지고있는사람에게편지를전달한다. 네트워크상에서도이와마찬가지로주소지를구분하기위하여 IP번호라는것을각각의컴퓨터에부여하고있다. 하지만매번특정서버컴퓨터의 IP 번호를외워서접속하려면힘들뿐만아니라접속하기위하여숫자를입력하는것또한여간번거로운작업이아닐수없다. 만약리눅스관련사이트의서버컴퓨터라면 linux.org 라는이름을부여하고, 커널사이 트서버컴퓨터라면 kernel.org 라고이름을부여한다면접속을원하는사람들이외우기 도쉬울뿐만아니라, 이름을보고각도메인의의미도쉽게추측할수있을것이다.
인터넷에연결된컴퓨터의고유한주소는 IP 주소이기때문에도메인이름을사용하면컴 퓨터가이해할수없다. 이런문제를해결하기위해서도메인이름을 IP 주소로바꿔주는 작업이필요한데이를해결해주는것이 DNS 이다. DNS 서비스의초창기에는 host.txt 파일과같이텍스트파일에도메인이름을등록하여 사용했었다. 그후도메인을가지기를원하는호스트컴퓨터들이늘어남으로써데이터베 이스화하여관리하게되었고, 지금의 DNS 서비스형태가만들어진것이다. [02] 도메인구성인터넷상에서사용되는도메인은전세계적으로고유하게존재하여야하므로공통적으로정해진체계에따라야하며, 임의로변경되거나생성될수없습니다. 인터넷상의모든도메인은. 또는루트 (root) 라불리는도메인이하에아래그림과같이나무를거꾸로위치시킨역트리 (Inverted tree) 구조로계층적으로구성되어있습니다. 루트도메인바로아래의단계를 1 단계도메인또는최상위도메인 (TLD, Top Level Doamin) 이라고부르며, 그다음단계를 2 단계도메인 (SLD, Second Level Domailn) 이라고 부릅니다.
종류 관리기관 국가최상위도메인 (cctld, country code Top Level Domain) 한국인터넷진흥원 일반최상위도메인 (gtld, genertic Top Level Domain) 미국등외국의일반영리업체 개념 ISO 3166-1 에의거하여세계의 각국가명을영문약자로표현한 최상위도메인 조직, 목적, 분류등명칭을 영문약자로표현한최상위도메인 형태 2 자리영문 3 자리이상영문 예 kr( 대한민국 ), jp( 일본 ), cn( 중국 ) 등 com( 회사 ), org( 기관 ), gov( 미국정부기관 ), aero( 항공운송산업 ), asia( 아시아지역 ) 등 * gtld 의종류는다음과같습니다. 구분 Unsponsored TLD Sponsored TLD 그생성및운영목적을정의하고있는 CHARTER 를가진 Sponsor 에의해운영되는 TLD 개념 ICANN process 를통한 global Internet community 에의해 만들어진정책으로운영되는 TLD ㆍSponsor 의역할 - TLD 의운영관련정책제시및개발 - 해당 TLD 의 Community 의이익에부합하는정책개발 - 해당 TLD 를운영할 Registry operator 를선정 - Registrar 선정및 Registry operator 를선정 - Registrar 선정및 Registry 와 Registrar 들간의관계정립에참여 예 com, net, org, edu, gov 등 areo, coop, museum 등
[03] 도메인이름 (Domain Name) 관리기구 (01) IANA(Internet Assigned Number Authority) 인터넷할당번호관리기관 http://www.iana.org/ 전세계의 DNS를관리하고조정하는기구로써인터넷의안정적이고효율적인운영에대한책임을지고, 모든정책적권한을행사하는기관이다. 미국방부고등연구계획국 DARPA와 USC ISI( 범용명령집합의정보서비스인터페이스 ) 의 TNT(Telephone Number Transfer 번호변환장치 ) 프로젝트와관련하여맺은계약내용으로부터자문위원회 (United States Federal Networking Council) 에의해조직된기관이다. ISP(Ineternet Service Provider) 들은이 IANA 를통해서도메인네임등록과 IP 어드 레스할당에대한일들을조정하고있다.
(02) ICANN(Internet Corporation for Assigned Names and Numbers) http://www.icann.org/ 인터넷도메인네임과주소를지정하는미국의비영리사설기관이다. 1998년에창설된조직으로인터넷의비즈니스, 기술계, 학계및사용자단체등합동으로구성되었으며인터넷도메인네임관리시스템의기술적관리, IP주소공간할당, 프로토콜파라미터지정, 경로서버시스템관리등의업무를조정하는범세계적합의체로서미국정부가승인한기관이다. (03) KRNIC(Korea Network Information Center) - 한국인터넷진흥원 http://www.nida.or.kr/ 한국인터넷진흥원은국내의인터넷업무를담당하고있으며, 1999년 06월 21일정보통신부로부터비영리대단법인으로설립이승인되어인터넷업무를담당하고있다. 국내의도메인.kr 도메인에대한모든업무를관장하고있다. KRNIC의주요업무 1 도메인네임, IP( 인터넷프로토콜 ) 주소등인터넷주소에간한정책개발 2 도메인네임등록업무및 IP주소, AS 번호등의할당업무 3 국가루트네임서버와인터넷주소, 인물정보데이터베이스의관리및운영 4 인터넷프로토콜, 차세데인터넷주소, 다국어도메인네임시스템등인터넷관련연구개발 5 국제인터넷주소관련기구에대한참여와협력활동 6 국내, 국외인터넷활성화를위한체계적인통계산출 7 전문전화상담원을통한도메인등록교육 8 인터넷의효율적운영과이용활성화를위한자원활동
[ 전세계인터넷주소자원관리체계도 ] IP 주소 /AS 번호는전세계인터넷주소자원의총괄관리기관인 IANA (Internet Assigned Names Authority) 에서관리하며, IANA 에서는각각의대륙별인터넷주소자원관리기관인 RIR(Regional Internet Registry) 에주소를분배합니다. RIR 은자신이관할하고대륙의국가인터넷주소자원관리기관인 NIR(National Internet Registry) 또는인터넷접속서비스제공자인 ISP(Internet Service Provider) 에주소를분배 합니다. 국내에서는 인터넷주소자원에관한법률 에따라한국인터넷진흥원 (NIDA, National Internet Development Agency of Korea) 이아시아ㆍ태평양지역의대륙별관리기관인 APNIC으로부터 IP주소를확보하여국내 IP주소관리대행자 ( 인터넷접속서비스제공자 ) 또는독자적인네트워크를운영하는일반기관에할당하고있습니다. 일반인터넷사용자는인터넷접속서비스제공자 (ISP) 로부터 IP 주소를할당받아사용 한다.
[04] DNS 구조 DNS 는크게도메인네임공간 (Domain Name Space) 및리소스레코드 (Resource Record), 네임서버 (Name Server), 리졸버 (Resolver) 의 3 가지기능요소로구성된다. (01) 도메인네임공간 (Domain Name Space) 도메인네임공간 (Domain Name Space) 은흔히인터넷에서사용되고있는도메인네임의 계층적구조공간을의미한다. www.example.com은이도메인네임공간에속한하나의노드즉, 호스트네임을지칭한다. 도메인네임공간의분배와도메인네임의할당은전세계적으로도메인네임할당기관을통해체계적으로할당, 관리되고있다. 이를통해인터넷상에서특정도메인네임은언제나유일한네임 (globally unique name) 으로써유지된다. 도메인네임공간은네임주소영역을분배, 할당, 구성하는방식을제공한다. 그리고이 러한도메인네임공간은트리 (tree) 형태의계층적인구조를이루어져있다. (02) 리소스레코드 (Resource Record) 리소스레코드 (resource record) 는도메인네임공간중에서지정된도메인네임에대해 필요한인터넷자원 (resource) 정보를매핑하는수단을제공한다. 예를들어 www.example.com 의 IP 주소가 192.0.2.101 일경우, 이를인터넷상에알려주 기위해서는 www.example.com 이라는네임 (name) 에대해 IP 주소속성을연결시켜 DNS
데이터베이스를구성하여야한다. 이는 zone 파일을사용하여 www.example.com 1800 IN A 192.0.2.101 이라는형태의표기를사용하여설정한다. 이러한하나의도메인네임 (domain name) 이가지는속성정보를지정하는수단으로정 의된것이리소스레코드이다. 리소스레코드는확장이가능하다. 즉, IPv4 네트워크주소정보를설정하기위해 A type의리소스레코드가사용되고있으나이제 IPv6가도입됨에따라 IPv6 네트워크주소정보를설정하기위해 AAAA type의리소스레코드가추가로정의되었다. 리소스레코드의확장은기존에정의된리소스레코드에대한영향없이이루어진다. 리소스레코드는도메인네임시스템체계에있어도메인데이터베이스를구성하는역할 을한다. (03) 네임서버 (Name Server) 네임서버는도메인존 (domain zone) 의정보를소유하고이에대한질의에대해응답하는역할을수행한다. 흔히 DNS 서버라고도하며특히특정질의에대해자신이소유한도메인존 (domain zone) 의정보만그응답으로제공하는동작을하는 DNS 서버라는의미로써 interative DNS 서버라고불리기도한다. 또한도메인네임공간상의특정영역 (zone) 에대해관리권한이위임된서버이므로 authoritative DNS 서버, authoritative 네임서버라고한다. 네임서버는인터넷상의도메인네임에대해분산된도메인데이터베이스를구성한다. 이때도메인데이터베이스는각네임서버에다양한형태의분산구조로설정된리소스레 코드들로이루어진다. (04) 리졸버 (Resolver) 리졸버 (Resolver) 는네임서버에의해구성된도메인데이터베이스를검색하는역할을한다. 리졸버는응용애플리케이션프로그램과도메인네임시스템간의인터페이스역할을담당한다. 또한요청된리소스레코드가존재하는위치를도메인네임시스템에서찾고이리소스레코드의정보를최종응답으로되돌려주는기능을담당한다. 리졸버는전체도메인네임시스템에대해전체도메인데이터베이스를검색할수있도 록도메인네임시스템검색의시작점이되는루트네임서버 (root name server) 의 IP 주 소정보를자신의환경구성파일로가지고있다. 또한리졸버는동일한 DNS 질의를짧은시간내에빈번하게반복하는것을방지하기위 해캐시 (cache) 를내부에구현하여 DNS 질의결과데이터를일정기간동안이캐시에 저장하여관리한다. 각리소스레코드는레코드자체에지정된 TTL(Time To Live) 시간
동안만리졸버의캐시에존재한후삭제된다. 그러나이러한리졸버의전체기능을모든호스트에구현해야하는것은아니다. 현재대부분의호스트에는전체리졸버기능이아닌스터브리졸버형태로구현하고있 다. DNS 의구성요소간에는상호도메인데이터베이스의검색과응답을위한프로토콜이 필요하다. DNS 프로토콜은애플리케이션계층에속하는애플리케이션프로토콜이다.
[05] DNS 처리 (Query) 과정 (01) 인터넷사용자가 linux.lug.or.kr 도메인을입력하면사용자의 1차네임서버로지정되어있는서버 ( 로컬네임서버혹은 ISP의네임서버 ) 에 linux.lug.or.kr 도메인을질의한다. (02) 질의를받은네임서버는 root 네임서버에게 linux.lug.or.kr 도메인을질의한다. (03) 다음으로 root 네임서버는 kr 네임서버에게질의하라고알려준다. (04) kr 네임서버에게질의를한다. (05) or.kr 네임서버에게질의하라고알려준다. (06) or.kr 네임서버에게 linux.lug.or.kr 도메인에대하여질의를한다. (07) lug.or.kr 네임서버에게질의를한다. (08) lug.or.kr 네임서버에게질의를한다. (09) 질의에대한답으로 linux.lug.or.kr 도메인은 linux.lug.or.kr 네임서버인 ns.linux.lug.or.kr에위임하여놓았으니 ns.linux.lug.or.kr에게질의해보라고알려준다. (10) linux.lug.or.kr의네임서버에게질의를한다. (11) linux.lug.or.kr을관장하는네임서버는 linux.lug.or.kr 도메인의 IP가현재 203.211.5.1 이라고알려준다. (12) 최초의질으를받은네임서버는도메인접속자에게 linux.lug.or.kr의 IP 번호인 203.211.5.1 번으로접속하라고알려준다. 이와같이여러단계를실제로가쳐야하지만, 초기질의를받는네임서버에는이미도
메인에대한데이터베이스가캐싱 (Caching) 되어있기때문에위의단계를거치지않고 바로응답을받을수있다. [06] DNS 서버의종류 주 DNS 서버 (Primary DNS servers) : 가장기본이되는 DNS 서버로도메인에대한기본적인데이터베이스를저장하고있으며네트워크상의클라이언트들의질의 (query) 에대한응답을목적으로합니다. 자신의데이터상에질의에대한응답이없다면상위도메인서버에다시금질의를하거나클라이언트를연결해주는재귀와반복의과정을통하여도메인존에대한이름을풀이과정을실행하게됩니다. 보조 DNS 서버 ( Secondary DNS servers) : 보조 DNS 서버는주 DNS 서버의백업서버로주 DNS 서버의데이터를계속적으로복제하였다가주 DNS 서버에장애가발생할때 DNS 서버로의역할을합니다. 캐싱서버 (Cahing-only DNS servers) : 네트워크상의 DNS 서버는클라이언트로부터질의된이름풀기요청에대한정보를제 공할때자신의정보데이터베이스로부터찾아서보여줍니다. 전달서버 (Forwarding DNS severs) : 일반적으로 DNS 서버들을로컬네트워크상의클라이언트들의질의한요청에대한해
결을스스로할수없을때외부 DNS 서버에다시금질의를요청하게됩니다. 이렇게자신이처리할수없는요청에대하에외부에요청을하게될때네트워크상에 서이러한요청만을전담하는서버가바로전달서버입니다. 엑티브디렉터리통합서버 (AD interated servers) : 위의다른 DNS 서버와는다르게윈도우 2000에서소개하고있는 DNS 서버입니다. 윈도우 2000서버가인터넷을기반으로하는최대형규모의서버를표방하면서들고나온것으로 AD(active Directory) 와 TCP/IP를기반으로하는네트워크킹입니다. 인터넷을기반으로도메인을조직하기때문에기존의 NT 상에서의 DNS 와윈도우 2000 서버상의 DNS의그중요성은많은차이를보입니다. AD의경우통합된 DNS 서버를사용하여얻는이점으로는여러가지가있는데이중대표적인이점이결함허용과보안입니다. 결함허용 : 일반적인 DNS 서버의구성에서주 DNS 서버의데이터가업데이트되면보조 DNS서버는주 DNS 서버로부터변경된내용을복제하게됩니다. 이과정에서주 DNS 서버의장애가발생하게되면복제가실패하게되며이로인해 DNS 서버를다시설치하기까지되는문제를야기할수있습니다. 그러나 AD에통합된윈도우 2000 서버의 DNS 는이러한오류를방지할수있습니다. 보안 : DNS 서버의정보는텍스트파일에저장되며결론적으로이텍스트파일을이용하는클라이언트에게 DNS 서비스를제공하는것인데윈도우 2000 이러한정보파일을텍스트파일로저장하지않습니다. 따라서보안적인면이더욱강화되었습니다. [07] 리눅스에서 DNS 서버구축 리눅스에서네임서버를운영하기위해서는 BIND 패키지의설치가필요하다. [ 참고 ] BIND (Berkeley Internet Name Domain) BIND는 BSD 기반의유닉스시스템을위해설계된 DNS이다. BIND는서버와 resolver 라이브러리로구성되어있다. 네임서버는클라이언트들이이름자원들이나객체들에접근하여, 네트웍내의다른객체들과함께이러한정보를공유할수있게해주는네트웍서비스이다. 이것은사실상, 컴퓨터네트웍내의객체들을위한분산데이터베이스시스템이다. BIND는호스트이름과주소를저장하고검색하는데사용되기위한 BSD 네트웍프로그램 ( 버전 4.3 이상 ) 에완전히통합되어있다. 시스템관리자는 BIND 를네트웍호스트들의 file/etc/hosts 내에있는호스트테이블 룩업의대체용으로사용하도록시스템을설정할수있다. BSD 의기본설정은 BIND 를 사용하는것이다.
공식사이트 https://www.isc.org/ 네임서버설치전패키지확인 [root@localhost ~]# rpm -qa grep bind* bind-utils-9.3.4-10.p1.el5 /* DNS 네임서버를질의하고인터넷호스트에대한정보를찾는유틸리티이다. */ ypbind-1.19-11.el5 bind-9.3.4-10.p1.el5 /* BIND 기본패키지 */ kdebindings-3.5.4-6.el5 system-config-bind-4.0.3-4.el5.centos binutils-2.17.50.0.6-9.el5 bind-libs-9.3.4-10.p1.el5 /* BIND 서버패키지와 utils 패키지에의해사용되는라이브러리 */ BIND 패키지설치 [root@localhost ~]# yum install bind* Installing: bind-chroot i386 30:9.3.4-10.P1.el5 base 42 k bind-devel i386 30:9.3.4-10.P1.el5 base 2.5 M bind-libbind-devel i386 30:9.3.4-10.P1.el5 base 436 k bind-sdb i386 30:9.3.4-10.P1.el5 base 225 k Transaction Summary ================================================================ Install 4 Package(s)
Update Remove 0 Package(s) 0 Package(s) Total download size: 3.2 M Is this ok [y/n]: y Downloading Packages: (1/4): bind-chroot-9.3.4-10.p1.el5.i386.rpm 42 kb 00:00 (2/4): bind-sdb-9.3.4-10.p1.el5.i386.rpm 225 kb 00:00 (3/4): bind-libbind-devel-9.3.4-10.p1.el5.i386.rpm 436 kb 00:00 (4/4): bind-devel-9.3.4-10.p1.el5.i386.rpm 2.5 MB 00:00 ----------------------------------------------------------------... 이하생략... [root@localhost ~]# yum install caching-nameserver Installing: caching-nameserver i386 30:9.3.4-10.P1.el5 base 58 k Transaction Summary Install 1 Package(s) Update 0 Package(s) Remove 0 Package(s) Total download size: 58 k Is this ok [y/n]: y... 중간생략... Installed: caching-nameserver.i386 30:9.3.4-10.P1.el5 Complete! 설치된패키지확인 [root@localhost ~]# rpm -qa grep bind* bind-utils-9.3.4-10.p1.el5 bind-libbind-devel-9.3.4-10.p1.el5 ypbind-1.19-11.el5 bind-9.3.4-10.p1.el5 kdebindings-3.5.4-6.el5 system-config-bind-4.0.3-4.el5.centos bind-devel-9.3.4-10.p1.el5 binutils-2.17.50.0.6-9.el5 bind-libs-9.3.4-10.p1.el5 bind-chroot-9.3.4-10.p1.el5 bind-sdb-9.3.4-10.p1.el5 [root@localhost ~]#
[root@localhost ~]# [root@localhost ~]# rpm -qa grep caching-nameserver caching-nameserver-9.3.4-10.p1.el5 [ 참고 ] 소스파일로설치한다면 https://www.isc.org/ 사이트에서다운받아설치하면된다. 소스컴파일로설치하면기본적인설정파일들을직접만들어주는것도잊지말자! 네임서버운영을위한설정파일 [ 중요 ] bind-9.2 버전까지는 /etc/named.conf 파일을사용하고, bind-9.3 이후부터는 named.caching-nameserver.conf 파일을사용한다. (01) /etc/named.caching-nameserver.conf [root@localhost ~]# cp /etc/named.caching-nameserver.conf /etc/named.cachingnameserver.conf_old [root@localhost ~]# ls -al /etc/named.caching-nameserver* lrwxrwxrwx 1 root named 52 4월 23 03:14 /etc/named.caching-nameserver.conf -> /var/named/chroot//etc/named.caching-nameserver.conf -rw-r----- 1 root root 1195 4월 23 03:39 /etc/named.caching-nameserver.conf_old [root@localhost ~]# vi /etc/named.caching-nameserver.conf // named.caching-nameserver.conf // // Provided by Red Hat caching-nameserver package to configure the // ISC BIND named(8) DNS server as a caching only nameserver // (as a localhost DNS resolver only). // // See /usr/share/doc/bind*/sample/ for example named configuration files. // // DO NOT EDIT THIS FILE - use system-config-bind or an editor // to create named.conf - edits to this file will be lost on // caching-nameserver package upgrade. // options { // listen-on port 53 { 127.0.0.1; /* 원본내용주석처리 */ listen-on port 53 { any; /* 네임서버의포트번호와접근할수있는 IP를설정! 외부에서네임서버로의접근을허용한다면 IP부분에 any를입력 */
// listen-on-v6 port 53 { ::1; /* IPv6 하의네임서버운영을설정하는것으로현재는필요없다. 주석처리하자 */ directory "/var/named"; /* DNS의 Zone 파일의위치지정 */ dump-file "/var/named/data/cache_dump.db"; /* 캐시덤프파일이생성되는파일의절대경로위치지정 */ statistics-file "/var/named/data/named_stats.txt"; /* 통계파일이생성되는절대경로와파일이름을지정 */ memstatistics-file "/var/named/data/named_mem_stats.txt"; /* 메모리관련통계파일이생성되는절대경로와파일이름을지정 */ // Those options should be used carefully because they disable port // randomization // query-source port 53; /* 네임서버의쿼리를받아들일소스포트설정지시자! 기본 53 포트의쿼리 */ // query-source-v6 port 53; /* 네임서버의쿼리를받아들일소스포트설정지시자! 기본 53 포트의쿼리 */ // allow-query { localhost; /* 원본내용주석처리 */ allow-query { any; /* 네임서버쿼리를허용할 IP 혹은 IP 대역을설정하는지시자! 외부와의쿼리를허용하려면 any를입력 */ logging { channel default_debug { file "data/named.run"; severity dynamic; /* 위 logging 부분은네임서버실행에있어서디버깅시참고할수있는로그파일생성위치를지정한다! 네임서버에에러가발생하면이파일을참고하여디버깅하면된다. */ view localhost_resolver { // match-clients { localhost; match-clients { any; /* 로컬리졸버사용을허용할클라이언트를지정하는지시자! 외부허용하려면 any로지정 */ // match-destinations { localhost; match-destinations { any; /* 로컬리졸버사용을허용할클라이언트를지정하는지시자! 외부허용하려면 any 로지
정 */ recursion yes; /* 외부에서현재의네임서버를지정하여사용할수있게하느냐, 사용할수없게하느냐를설정하는지시자! 보안을위해서는 no로지정하는것이좋다. */ include "/etc/named.rfc1912.zones"; named-checkconf 명령어로잘설정이되었는지확인하자. < 명령어위치 > /usr/sbin/named-checkconf [root@localhost ~]# named-checkconf /etc/named.caching-nameserver.conf 아무변화가없다면제대로설정된것이다. (02) BIND 구동 [root@localhost ~]# service named start named를시작중 : [ OK ] 구동이 [ OK ] 가안나왔을때는위설정파일을다시한번보기바란다. [root@localhost data]# service named restart named를정지중 : [ OK ] named를시작중 : [ OK ] (03) /etc/named.rfc1912.zones [root@localhost ~]# cp /etc/named.rfc1912.zones /etc/named.rfc1912.zones_old [root@localhost ~]# [root@localhost ~]# ls -al /etc/named.rfc1912* lrwxrwxrwx 1 root named 42 4월 23 03:14 /etc/named.rfc1912.zones -> /var/named/chroot//etc/named.rfc1912.zones -rw-r----- 1 root root 955 4월 23 04:18 /etc/named.rfc1912.zones_old [root@localhost ~]# vi /etc/named.rfc1912.zones // RFC 1912 section 4.1 : localhost TLDs and address zones // // See /usr/share/doc/bind*/sample/ for example named configuration files. // zone "." IN { /* 이존파일에정의되어있는 ( 닷 ). 은루트도메인을말한다. */ type hint; /* type hint 라고설정하면루트도메인을의미하며, master 라고입력하면 1차네임서버를의미하고, slave 라고입력하면 2차네임서버를지정한다는의미이다. */ file "named.ca"; /* 루트도메인의내용이 named.ca 파일에정의되어있다는것을알려준다. */
zone "localdomain" IN { type master; file "localdomain.zone"; allow-update { none; zone "localhost" IN { type master; file "localhost.zone"; allow-update { none; zone "0.0.127.in-addr.arpa" IN { type master; file "named.local"; allow-update { none; zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN { type master; file "named.ip6.local"; allow-update { none; zone "255.in-addr.arpa" IN { type master; file "named.broadcast"; allow-update { none; zone "0.in-addr.arpa" IN { type master; file "named.zero"; allow-update { none; /* 아래와같이추가하자. 아래도메인 (godlinux.com) 은없는도메인이며교육을위해가상으로설정하는것이다. */ zone "godlinux.com" IN { type master; file "godlinux.com.zone"; allow-update { none;
named-checkconf 명령어로잘설정이되었는지확인하자. < 명령어위치 > /usr/sbin/named-checkconf [root@localhost ~]# named-checkconf /etc/named.rfc1912.zones 아무변화가없다면제대로설정된것이다. (04) /var/named/named.ca 이파일은 com, net, org 와같은최상위도메인에대한관리권한을가진네임서버들에 대한정보를가지고있다. 특별한경우외에는수정없이그냥사용하면된다. 루트도메인파일의업데이트를위해서는최신파을을다운로드받고 /var/named/named.ca 파일에복사하면된다. (05) /var/named/localdomain.zone 와 /var/named/localshot.zone [root@localhost ~]# cd /var/named/ [root@localhost named]# ls chroot localdomain.zone named.broadcast named.ip6.local named.zero data localhost.zone named.ca named.local slaves [root@localhost named]# cat localdomain.zone $TTL 86400 @ IN SOA localhost root ( 42 ; serial (d. adams) 3H ; refresh 15M ; retry 1W ; expiry 1D ) ; minimum IN NS localhost localhost IN A 127.0.0.1 [root@localhost named]# cat localhost.zone $TTL 86400 @ IN SOA @ root ( 42 ; serial (d. adams) 3H ; refresh 15M ; retry 1W ; expiry 1D ) ; minimum IN NS @ IN A 127.0.0.1 IN AAAA ::1
특별한경우외에는기본설정파일로써수정할필요없다. (06) 존파일 localhost.zone 예로안의내용을공부해보자. [root@localhost named]# cat localhost.zone $TTL 86400 @ IN SOA @ root ( 42 ; serial (d. adams) /* 시리얼번호 */ 3H ; refresh /* 3시간후리플래시 */ 15M ; retry /* 15분후재시도 */ 1W ; expiry /* 1주일후만료 */ 1D ) ; minimum /* 1일의부정적캐싱 TTL */ IN NS @ IN A 127.0.0.1 IN AAAA ::1 zone 파일은크게두부분으로나누어진다. 위에서 SOA(Start Of Authority) 부분과아래의 Domain Name을정의하는부분이다. 작업시에마침표 (.) 는매우중요하니주의하기바란다. 1 SOA(Start Of Authority) : 권한의시작레코드로항상하나의존에는첫번째로나와야하는레코드이다. 해당영역에대한권한을가지고있는네임서버와주소를나타낸다. 2 NS(Name Server) : 해당영역에대하여네임서버목록을나타낸다. 3 A(Host) : 정방향조회영역에서사용하는호스트이름의 IP주소의호스트이름을나타낸다. 4 PRT(Pointer) : 역방향조회영역에서사용되는 IP 주소의호스트이름을나타낸다. 5 CNAME(Alias) : 하나의 IP 주소가여러개의이름을가질수있는데이러할경우하나는 A 레코드로기록되면나머지는 CNAME 레코드로기록된다. 6 MX(Mail Exchange) : 해당도메인에서메일서버를나타낸다. (07) DNS 서버를구축해보자! 첨부파일을참고하자!
[08] DNS 관리명령어활용 (host, dig, nslookup) host 네임서버에질의하여호스트의 IP를얻을수있는가장기본적이며간단한유틸리티이다. host [ 참고자하는호스트이름 ] 의형태로질의한다. [root@localhost ~]# host Usage: host [-acdlritwv] [-c class] [-N ndots] [-t type] [-W time] [-R number] hostname [server] -a is equivalent to -v -t * -c specifies query class for non-in data -C compares SOA records on authoritative nameservers -d is equivalent to -v -l lists all hosts in a domain, using AXFR -i IP6.INT reverse lookups -N changes the number of dots allowed before root lookup is done -r disables recursive processing -R specifies number of retries for UDP packets -t specifies the query type -T enables TCP/IP mode -v enables verbose output -w specifies to wait forever for a reply -W specifies how long to wait for a reply -4 use IPv4 query transport only -6 use IPv6 query transport only -s a SERVFAIL response should stop query [root@localhost ~]# host www.hanafos.com [root@localhost ~]# host www.daum.net [root@localhost ~]# host www.naver.com dig 최근에많이사용하고있는네임서버검색유틸리티이다. dig [ 찾고자하는호스트이름 ] 형식을사용한다. - @server : 네임서버주소기본값은 /etc/resolv.conf 값 - domain : 질의하고자하는도메인 (. 을사용하면 root 도메인, -x 역도메인 ) - query-type a : network address any : 모든정보커리함 mx : mail exchanger soa : zone 파일등록정보
hinfo : 호스트정보 axfr : zone transfer txt : text 형태 - query-class in : Internet class domain any : all/any class information - +query-option +tree : 계층구조를알수있음. +multiline : zone 파일설정그대로보여줌 +vc : TCP로쿼리를함. * 기타 man 도움말을활용하기바람. 2) 응용예 - root 네임서버알아내기 # dig @a.root-server.net.. ns - 국내 kr 네임서버알아내기 # dig @a.root-server.net. kr. ns - zone transfoer 되는지확인하기 # dig @ns.test.co.kr test.co.kr axfr - bind 버전알아내기 # dig @kns.kornet.net txt chaos version.bind - 역도메인알아내기 # dig -x 192.168.0.1 - soa 정보보기 # dig test.co.kr soa +multiline - 네임서버로부터응답을찾아오는과정보기 # dig test.co.kr +tree [root@localhost ~]# dig www.hanafos.com [root@localhost ~]# dig www.daum.net [root@localhost ~]# dig www.naver.com [ 참고 ] 도메인등록기관에등록된도메인의네임서버확인 [root@localhost ~]# dig @a.gtld-servers.net java2u.co.kr
nslookup 네임서버질의시가장많이사용하는유틸리티이다. nslookup [ 찾고자하는호스트이름 ] [ 찾고자하는네임서버 ] 형식을사용한다. 질의할네임서버를지정하지않으면 /etc/resolv.conf에지정된네임서버에게질의한다. 네임서버를운영하고관리하는데있어서문제를발견하고해결하기위해 resolver 의입장 에서네임서버를테스트해볼필요가있다. 대부분의시스템에기본으로설치되어있는 nslookup 은 digm host 와함께가장널리사용되는네임서버질의도구이다. [root@localhost ~]# nslookup www.hanafos.com [root@localhost ~]# nslookup www.daum.net [root@localhost ~]# nslookup www.naver.com [root@localhost ~]# nslookup > www.hanafos.com Server: 192.168.10.2 Address: 192.168.10.2#53 Non-authoritative answer: Name: www.hanafos.com Address: 211.110.201.5 Name: www.hanafos.com Address: 211.110.204.5 > exit nslookup은실행후대화형프롬프트 > 를표시하고 /etc/resolver.conf에정의된첫번째네임서버를기본질의서버로설정한다. nslookup 은기본적으로입력된도메인에 A 레코드를검색하고, IP 주소 (in-addr.arpa) 에대 해서는 PTR 레코드를검색한다. 이 nslookup 에대해서는본인이만들어놓은문서를가지고더공부해보자! rndc rndc는 'the Remote Name Daemon Control' 로써원격네임서버를제어하는관리자용유틸리티입니다. 즉원격 (localhost포함) 의네임서버를 reload 하거나 refresh, stop, flush, status 등등의명령어메시지를보내제어하는툴입니다. [root@localhost named]# rndc Usage: rndc [-c config] [-s server] [-p port] [-k key-file ] [-y key] [-V] command
command is one of the following: reload Reload configuration file and zones. reload zone [class [view]] Reload a single zone. refresh zone [class [view]] Schedule immediate maintenance for a zone. retransfer zone [class [view]] Retransfer a single zone without checking serial number. freeze zone [class [view]] Suspend updates to a dynamic zone. thaw zone [class [view]] Enable updates to a frozen dynamic zone and reload it. reconfig Reload configuration file and new zones only. stats Write server statistics to the statistics file. querylog Toggle query logging. dumpdb [-all -cache -zones] [view...] Dump cache(s) to the dump file (named_dump.db). stop Save pending updates to master files and stop the server. stop -p Save pending updates to master files and stop the server reporting process id. halt Stop the server without saving pending updates. halt -p Stop the server without saving pending updates reporting process id. trace Increment debugging level by one. trace level Change the debugging level. notrace Set debugging level to 0. flush Flushes all of the server's caches. flush [view] Flushes the server's cache for a view. flushname name [view] Flush the given name from the server's cache(s) status Display status of the server. recursing Dump the queries that are currently recursing (named.recursing) *restart Restart the server. * == not yet implemented Version: 9.3.4-P1
dnstop dnstop이라는프로그램은시스템에부하를유발하지않으면서도빠르고직관적인모니터링이가능해추천할만하다. dnstop은 libpcap 기반의애플리케이션으로, DNS 트래픽을캡처해다음과같은정보를보여준다. - 패킷의소스 IP - 패킷의목적지 IP - 질의타입 (type) - 최상위레벨도메인 - 두번째레벨도메인 - 세번째레벨도메인등 다운로드및설치 [root@localhost ~]# yum install libpcap* [root@localhost ~]# mkdir /dnstop [root@localhost ~]# cd /dnstop/ [root@localhost dnstop]# wget http://dns.measurement-factory.com/tools/dnstop/src/dnstop- 20090128.tar.gz [root@localhost dnstop]# tar xvf dnstop-20090128.tar.gz [root@localhost dnstop]# cd dnstop-20090128 [root@localhost dnstop-20090128]#./configure [root@localhost dnstop-20090128]# make [root@localhost dnstop-20090128]# ls CHANGES config.h configure dnstop.o install-sh LICENSE config.h.in dnstop hashtbl.c known_tlds.h Makefile config.log dnstop.8 hashtbl.h lookup3.c Makefile.in config.status dnstop.c hashtbl.o lookup3.o [root@localhost dnstop-20090128]#./dnstop usage: dnstop [opts] netdevice savefile -4 Count IPv4 packets -6 Count IPv6 packets -Q Count queries -R Count responses -a Anonymize IP Addrs -b expr BPF program code -i addr Ignore this source IP address -p Don't put interface in promiscuous mode -r Redraw interval, in seconds -l N Enable domain stats up to N components -f filter-name
Available filters: unknown-tlds A-for-A rfc1918-ptr refused [ 활용예 ] [root@localhost dnstop-20090128]#./dnstop eth1 화면은질의에따라실시간으로계속변경되는데, 측정한서버에서의질의가어떤 IP에서많이들어오는지순차적으로정렬해보여준다. 일정시간동안모니터링한후특정 IP에서과도한 DNS 질의가들어오고있다면, 비정상적인경우이므로해당서버에서원인을파악해야한다. 일반적으로메일송수신시 DNS 질의를많이하므로혹대량의스팸메일을발송하거나수신하고있는것은아닌지확인하도록한다. 만약특정 IP에서의질의를모니터링하고자한다면 tcpdump host 1.1.1.1 과같은방법으로실행하면된다. [ 서버 1] : [root@localhost ~]# telnet 192.168.30.100:52 [ 서버 1] : [root@localhost ~]# telnet 192.168.30.100:53 [DNS 서버 ] :./dnstop eth1 Queries: 0 new, 27 total Thu Apr 23 15:50:00 2009 Query Name Count % ------------ --------- ------ 100:53 8 29.6 local 6 22.2 100:52 4 14.8 in-addr.arpa 4 14.8 localdomain 3 11.1 com 2 7.4 위화면상태에서 1,2,3 숫자를눌러보면출력이다르게나타낸다. [ 참고 ] 프로그램을종료하고자한다면 Ctrl+X, count 값을초기화 (reset) 하고자한다면 Ctrl+R 을입력하면된다. [ 주의 ] DNS Query 가많은경우시스템에부하를줄수있으니잘활용하자!
[09] DNS 정보유용한사이트 http://cafe.naver.com/dnspro - DNS 전용카페 ( 대한민국최고카페 ) http://oops.org/?t=lecture&s=bind BIND에대해서설명잘되어있다! http://whoisdomain.kr/customer/faq.php - 후이즈 DNS Q&A http://centos.superuser.co.kr 본인은이책을참고로만들었다! http://tong.nate.com/chrto2/27975000 - DNS Query( 질의 ) 모니터링체크유틸 http://www.securesphere.net/download/papers/dnsspoof.htm - DNS Spoofing 원리 http://www.zonecut.net/dns/ - DNS 쿼리를그래프로보여줌 www.java2u.co.kr 실제 DNS 환경 [root@jenni ~]# cat /etc/named.caching-nameserver.conf // (as a localhost DNS resolver only). // // See /usr/share/doc/bind*/sample/ for example named configuration files. // // DO NOT EDIT THIS FILE - use system-config-bind or an editor // to create named.conf - edits to this file will be lost on // caching-nameserver package upgrade. // options { //listen-on port 53 { 127.0.0.1; listen-on port 53 { any; // listen-on-v6 port 53 { ::1; directory "/var/named"; dump-file "/var/named/data/cache_dump.db"; statistics-file "/var/named/data/named_stats.txt"; memstatistics-file "/var/named/data/named_mem_stats.txt"; // Those options should be used carefully because they disable port // randomization // query-source port 53; // query-source-v6 port 53; //allow-query { localhost; allow-query { any; logging { channel default_debug { file "data/named.run"; severity dynamic;
view localhost_resolver { //match-clients { localhost; match-clients { any; //match-destinations { localhost; match-destinations { any; //recursion yes; recursion no; include "/etc/named.rfc1912.zones"; [root@jenni ~]# ps -ef grep named named 6216 1 0 15:02? 00:00:00 /usr/sbin/named -u named -c /etc/named.caching-nameserver.conf -t /var/named/chroot [root@jenni ~]# cat /etc/resolv.conf search localdomain nameserver 210.181.1.24 #nameserver ns.java2u.co.kr [root@jenni ~]# cat /etc/hosts # Do not remove the following line, or various programs # that require network functionality will fail. 127.0.0.1 localhost.localdomain localhost #211.183.X.XXX localhost.localdomain localhost ::1 localhost6.localdomain6 localhost6 211.183.X.XXX jenni [root@jenni ~]# cat /etc/sysconfig/network NETWORKING=yes NETWORKING_IPV6=no HOSTNAME=localhost.localdomain #HOSTNAME=jenni GATEWAY=211.183.8.254
[root@jenni named]# pwd /var/named [root@jenni named]# ls -F chroot/ localdomain.zone@ named.ca@ named.rev data/ localdomain.zone_old named.ca_old named.zero@ java2u.co.kr.zone localhost.zone@ named.ip6.local@ named.zero_old linux.com.zone named.broadcast@ named.local@ slaves/ [root@jenni named]# pwd /var/named/chroot/var/named [root@jenni named]# ls -F data/ localhost.zone named.ip6.local named.zero java2u.co.kr.zone named.broadcast named.local slaves/ localdomain.zone named.ca named.rev [root@jenni named]# cat named.rev #TTL 86400 @ IN SOA ns.java2u.co.kr.root.localhost. ( 2009022500 ; Serial 1H ; Refresh 10M ; Retry 3600000 ; Expire 86400 ) ; Minimum IN NS ns.java2u.co.kr. 162 IN PTR ns.java2u.co.kr. [root@jenni named]# cat java2u.co.kr.zone $TTL 86400 @ IN SOA ns.java2u.co.kr. krintiz@naver.com. ( 2009022501 ; Serial 21600 ;Refresh (6h) 900 ;Retry (15min) 302400 ;Expire (7d) 600) ;Minimum (12h) IN NS ns.java2u.co.kr. IN MX 10 mail.java2u.co.kr. IN A 211.183.X.XXX ns IN A 211.183.X.XXX www IN A 211.183.X.XXX
mail IN CNAME www ftp IN CNAME @ * IN CNAME @ http://cafe.naver.com/linuxlog krintiz@naver.com