Tecniche e strumenti per il troubleshooting di un sistema DNS

6 Teciche e strumeti per il troubleshootig di u sistema DNS Itroduzioe I questo capitolo vegoo presetate alcue teciche e strumeti (utility) per procedere co l aalisi e la risoluzioe di evetuali problemi riscotrati operado all itero di u ifrastruttura DNS pubblica e/o privata. I particolare, verrao prese i cosiderazioe problematiche legate alla risoluzioe dei omi. Viceversa, dei problemi, delle teciche e degli strumeti coessi alla gestioe delle zoe e dei domii DNS si è già discusso el Capitolo 5, Progettazioe, implemetazioe e gestioe di u sistema DNS. Prima di effettuare le prove idicate ei paragrafi segueti è ecessario accertarsi della dispoibilità delle porte utilizzate dai relativi protocolli (e.g.: Whois 43/tcp; DNS 53/tcp e 53/udp), el caso i cui la coessioe a Iteret è mediata da proxy e/o firewall. Iterrogazioe di u database Whois per risalire alle coordiate di registrazioe di u domiio o agli assegatari di u idirizzo IP Come trattato el Capitolo 3, Gli orgaismi che goverao Iteret, e ell Appedice C, Cliet Widows Whois, mediate u cliet Whois (sia tramite iterfaccia grafica Web che dal prompt dei comadi), è possibile otteere molte iformazioi riguardati i omi di domiio registrati, ed i particolare alcui loro attributi (e.g.: coordiate degli assegatari, admi-c, tech-c, server DNS di riferimeto, data di scadeza del cotratto di assegazioe di u ome a domiio, ecc.), come ache evetuali assegatari di idirizzi IP pubblici assegati dai Regioal Iteret Registry (RIR). Ad esempio, tramite ua query Whois su u ome di domiio è possibile accertare se u ome a domiio è già registrato oppure idividuare i server DNS autoritativi per la relativa zoa. 253 06 DNS Radazzo.idd 253 4-05-2006 14:46:33

Guida al DNS: dalla teoria alla pratica Esempio: whois guidads.it ****************************************************************************** Whois server: whois.ic.it ****************************************************************************** ************************************************** * Please ote that ay results obtaied are a * * subgroup of the data cotaied i the database * * * * The full objects data ca be visualised at: * * http://www.ic.it/ra/database/idex.html * ************************************************** domai: learig-solutios.it org: Silmar Cosultig sas di Radazzo Leoe admi-c: LR2916-ITNIC tech-c: AB91-ITNIC postmaster: AB91-ITNIC zoe-c: AB91-ITNIC server: 212.25.160.10 ds.seeweb.it server: 217.64.196.10 ds2.seeweb.it mt-by: STT-MNT created: 20050204 expire: 20060204 source: IT-NIC perso: Leoe Radazzo address: IT-NIC address: piazza Durate 8 address: I-20131 Milao ic-hdl: LR2916-ITNIC source: IT-NIC perso: Atoio Baldassarra address: C.so Lazio, 9/a address: I - 03100 - Frosioe address: Italy ic-hdl: AB91-ITNIC mt-by: STT-MNT source: IT-NIC Oppure, cooscedo u idirizzo IP, è possibile risalire all assegatario (oltre che al registro competete). 254 06 DNS Radazzo.idd 254 4-05-2006 14:46:33

Capitolo 6 Teciche e strumeti per il troubleshootig di u sistema DNS C:\etc\dig>whois -r whois.ripe.et 198.41.0.4 ****************************************************************************** Whois server: whois.ripe.et ****************************************************************************** % This is the RIPE Whois query server #2. % The objects are i RPSL format. % % Note: the default output of the RIPE Whois server % is chaged. Your tools may eed to be adjusted. See % http://www.ripe.et/db/ews/abuse-proposal-20050331.html % for more details. % % Rights restricted by copyright. % See http://www.ripe.et/db/copyright.html % Note: This output has bee filtered. % To receive output for a database update, use the -B flag % Iformatio related to 0.0.0.0-255.255.255.255 ietum: 0.0.0.0-255.255.255.255 etame: IANA-BLK descr: The whole IPv4 address space coutry: EU # Coutry is really world wide org: ORG-IANA1-RIPE admi-c: IANA1-RIPE tech-c: IANA1-RIPE status: ALLOCATED UNSPECIFIED remarks: The coutry is really worldwide. remarks: This address space is assiged at various other places i remarks: the world ad might therefore ot be i the RIPE database. mt-by: RIPE-NCC-HM-MNT mt-lower: RIPE-NCC-HM-MNT mt-routes: RIPE-NCC-RPSL-MNT source: RIPE # Filtered orgaisatio: org-ame: org-type: address: remarks: remarks: remarks: e-mail: ORG-IANA1-RIPE Iteret Assiged Numbers Authority IANA see http://www.iaa.org The IANA allocates IP addresses ad AS umber blocks to RIRs see http://www.iaa.org/ipaddress/ip-addresses.htm ad http://www.iaa.org/assigmets/as-umbers bitbucket@ripe.et 255 06 DNS Radazzo.idd 255 4-05-2006 14:46:33

Guida al DNS: dalla teoria alla pratica admi-c: tech-c: mt-ref: mt-by: source: role: address: e-mail: admi-c: tech-c: ic-hdl: remarks: remarks: mt-by: source: IANA1-RIPE IANA1-RIPE RIPE-NCC-HM-MNT RIPE-NCC-HM-MNT RIPE # Filtered Iteret Assiged Numbers Authority see http://www.iaa.org. bitbucket@ripe.et IANA1-RIPE IANA1-RIPE IANA1-RIPE For more iformatio o IANA services go to IANA web site at http://www.iaa.org. RIPE-NCC-MNT RIPE # Filtered Per ulteriori iformazioi sul formato di u database Whois e sull uso del cliet Whois si rimada il lettore ai capitoli ed all appedice sopra idicati. Nslookup Nslookup (il cui ome deriva da Name Server Lookup) è uo strumeto distribuito i qualsiasi sistema operativo el quale è utilizzato il protocollo TCP/IP (Liux/Uix, Novel, MAC OS X, Widows NT/2K/XP/2K3/2K3-R2/Vista, ecc.). Esso cosete di verificare il corretto fuzioameto del processo di risoluzioe dei omi tramite il servizio DNS e di simulare l ivio di query da parte di u DNS resolver (stub o full). Ifatti, è possibile far agire slookup allo stesso modo di come agirebbe u DNS cliet ormale (stub resolver) oppure u DNS server (full resolver), el caso i cui quest ultimo si trovi coivolto i u processo di risoluzioe di ua query ricorsiva per coto di u DNS resolver di tipo stub, laddove si richiede la capacità di emettere delle query iterative e seguire l iter della risoluzioe dei omi attraverso l iterazioe co i server DNS autoritativi per i domii/zoe itermedie. Gli esempi segueti soo stati effettuati i ambiete Wi2K/2K3/2K3-R2/XP/Vista, Liux Red Hat 9.0 e Fedora Core 4. Da otare che, el caso dei sistemi operativi Liux, la versioe di slookup dispoibile o implemeta tutte le fuzioalità previste per la versioe Microsoft Widows; addirittura, i alcue distribuzioi, l uso del comado slookup è deprecated a beeficio di dig, il quale o è di default compreso i ambiete Widows (trae se si effettua l istallazioe del package BIND per Widows XP/2K/2K3/2K3-R2/Vista). Come utilizzare slookup È possibile utilizzare l applicazioe slookup i due modi: o-iterattivo e iterattivo. Di seguito vegoo presetate le due modalità. 256 06 DNS Radazzo.idd 256 4-05-2006 14:46:33

Capitolo 6 Teciche e strumeti per il troubleshootig di u sistema DNS Qualche osservazioe relativa all uso di slookup Prestare attezioe al fatto che slookup accetta comadi solo i miuscolo. Iseredo dei comadi i maiuscolo (e.g.: SET ALL) questi vegoo cosiderati dei omi da risolvere. Naturalmete ci possoo essere degli effetti collaterali, utilizzado il comado slookup, se per caso esistoo sulla rete degli host che si chiamao set o help. Modo o-iterattivo La modalità o-iterattiva è utilizzata per verificare occasioalmete (i.e.: ua-tatum) la risoluzioe di sigoli omi, mediate l ivio di u apposito comado. La sitassi da utilizzare i tal caso è la seguete: slookup [-opzioe] hostame [server] Esempio di query slookup i modalità debug (-ds) co FQDN completo (i.e.: termiato dal domiio Root DNS (puto)) C:\>slookup -ds www.ic.it. ------------ Got aswer: HEADER: opcode = QUERY, id = 1, rcode = NOERROR header flags: respose, auth. aswer, wat recursio, recursio avail. questios = 1, aswers = 1, authority records = 0, additioal = 0 QUESTIONS: 201.0.168.192.i-addr.arpa, type = PTR, class = IN ANSWERS: -> 201.0.168.192.i-addr.arpa ame = calajuco-2k3.isoleeolie2003.org ttl = 3600 (1 hour) ------------ Server: calajuco-2k3.isoleeolie2003.org Address: 192.168.0.201 ------------ Got aswer: HEADER: opcode = QUERY, id = 2, rcode = NOERROR header flags: respose, wat recursio, recursio avail. questios = 1, aswers = 1, authority records = 0, additioal = 0 Da otare la query di reverse lookup scateata i fase di avvio di slookup (cf. la sezioe Troubleshootig slookup, alla fie di questo capitolo). È importate osservare che la suddetta query viee emessa solo se esiste la zoa di reverse corrispodete alla subet IP all itero della quale ricade l idirizzo IP del server DNS cotattato. 257 06 DNS Radazzo.idd 257 4-05-2006 14:46:33

Guida al DNS: dalla teoria alla pratica QUESTIONS: www.ic.it, type = A, class = IN ANSWERS: -> www.ic.it iteret address = 193.205.245.13 ttl = 101 (1 mi 41 secs) ------------ No-authoritative aswer: Name: www.ic.it Address: 193.205.245.13 Esempio per il reperimeto dei record MX relativi al domiio silmarcosultig.it: slookup -querytype=mx silmarcosultig.it. ds.seeweb.it Modo iterattivo La modalità iterattiva viee utilizzata quado è ecessario effettuare ua serie di verifiche e prove di fuzioameto avazate (e.g.: simulare la modalità di risoluzioe dei omi di u DNS server). I tal caso, iseredo il comado slookup si etra ell ambiete, o shell, dell applicazioe, caratterizzato dal prompt dei comadi idetificato dal carattere >. L uscita dalla modalità iterattiva avviee tramite il comado exit oppure iviado la sequeza di cotrollo Cotrol-C. Esempio slookup Default Server: s1.isoleeolie.org Address: 192.168.1.250 > Guida/Help Per otteere ua guida sui comadi dispoibili, digitare help o il carattere? dal prompt dei comadi > di slookup: >? Commads: NAME NAME1 NAME2 help or? set OPTION all [o]debug [o]d2 [o]defame [o]recurse [o]search [o]vc domai=name (idetifiers are show i uppercase, [] meas optioal) - prit ifo about the host/domai NAME usig default server - as above, but use NAME2 as server - prit ifo o commo commads - set a optio - prit optios, curret server ad host - prit debuggig iformatio - prit exhaustive debuggig iformatio - apped domai ame to each query - ask for recursive aswer to query - use domai search list - always use a virtual circuit - set default domai ame to NAME 258 06 DNS Radazzo.idd 258 4-05-2006 14:46:34

Capitolo 6 Teciche e strumeti per il troubleshootig di u sistema DNS srchlist=n1[/n2/.../n6] - set domai to N1 ad search list to N1,N2, etc. root=name - set root server to NAME retry=x - set umber of retries to X timeout=x - set iitial time-out iterval to X secods type=x - set query type (ex. A,ANY,CNAME,MX,NS,PTR,SOA,SRV) querytype=x - same as type class=x - set query class (ex. IN (Iteret), ANY) [o]msxfr - use MS fast zoe trasfer ixfrver=x - curret versio to use i IXFR trasfer request server NAME - set default server to NAME, usig curret default server lserver NAME - set default server to NAME, usig iitial server figer [USER] - figer the optioal NAME at the curret default host root - set curret default server to the root ls [opt] DOMAIN [> FILE] - list addresses i DOMAIN (optioal: output to FILE) -a - list caoical ames ad aliases -d - list all records -t TYPE - list records of the give type (e.g. A,CNAME,MX,NS,PTR etc.) view FILE - sort a ls output file ad view it with pg exit - exit the program Iterpretazioe delle query: query autoritative e o-autoritative I caso di query rivolte alla risoluzioe di omi di computer remoti (i.e.: o apparteeti a essua delle zoe per le quali il DNS server locale è autoritativo), la prima risposta sarà sempre autoritativa, metre quelle successive sarao o-autoritative. Ifatti, metre la prima volta il DNS server locale cotatta il DNS server remoto autoritativo per il RR richiesto (tramite ua query ricorsiva), le volte successive che si richiederà lo stesso RR (ei limiti di valita del TTL ad esso associato) sarà il DNS server locale a rispodere o-autoritativamete, prelevado il RR dalla propria cache, ella quale era stato precedetemete iserito a seguito della prima query. I tal caso la risposta sarà esplicitamete segalata come No-authoritative aswer. Attezioe al coflitto tra cache del server e cache del cliet/resolver i ambiete Wi2K/ XP/2K3/2K3-R2/Vista Nel caso di verifica dell elaborazioe delle query ricorsive e delle query iterative i ambiete Wi2K/ XP/2K3/2K3-R2/Vista, ricordarsi sempre di azzerare, oltre alla cache DNS del server (fare clic co il pulsate destro del mouse sul DNS server e selezioare la voce Clear Cache ), ache la cache DNS del resolver/cliet, i uo dei due segueti modi: ipcofig flushds. Restart del servizio DNS Cliet, tramite il comado: et stop dscache && et start dscache. Cofigurare la modalità di debug Per visualizzare i dettaglio i messaggi di iterrogazioe e di risposta che itercorroo tra u cliet ed u DNS server, è ecessario abilitare la modalità di debug iseredo i comadi segueti dal prompt di slookup, secodo il livello di accuratezza desiderato: set debug: livello di debug base. set d2: livello di debug esaustivo o debug di livello 2. 259 06 DNS Radazzo.idd 259 4-05-2006 14:46:34

Guida al DNS: dalla teoria alla pratica Esempi di iterrogazioe e cofigurazioe delle opzioi avazate di slookup Cofigurado opportuamete le opzioi di slookup, è possibile modificare il suo comportameto i modo tale da simulare delle query più o meo avazate, su qualsiasi tipo di classe e di RR DNS. I particolare, è ache possibile far agire slookup allo stesso modo di u DNS server i fase di risoluzioe di query ricorsive per coto di u resolver di tipo stub. Di seguito vegoo mostrati alcui esempi di utilizzo delle opzioi avazate di slookup e di ivio di query. Tutti i comadi di seguito idicati devoo essere iseriti dalla shell (i.e.: prompt dei comadi) di slookup: Verificare le opzioi di default o cofigurate i u determiato istate durate l utilizzo di slookup i modalità iterattiva: set all. Abilitare/disabilitare l utilizzo della lista di ricerca (per default è sempre abilitata): set [o]search. Modificare la lista di ricerca: set srchlist=domiio1/domiio2/.../domiion. Cofigurazioe della lista di ricerca i ambiete Wi2K/2K3/2K3-R2/Vista Normalmete la lista di ricerca comprede il ome del domiio di apparteeza del computer, idicato come Primary suffix for this computer e specificato sulla scheda Network Idetificatio elle proprietà di My Computer (o i Cotrol Pael, System), più evetuali domii specificati come ulteriori domii da aggiugere i fase di risoluzioe dei omi. Ad esempio el caso dei sistemi operativi Wi2K/2K3/2K3-R2/Vista (cf. Fig. 1), elle proprietà di ua coessioe TCP/IP è possibile specificare: DNS suffix for this coectio Apped these DNS suffixes (i order) La lista di ricerca o viee presa i cosiderazioe el caso i cui il ome da risolvere è i formato FQDN qualificato ovvero termiato dal. fiale (www.ic.it.). Cofigurazioe della lista di ricerca i ambiete Liux/Uix I caso di utilizzo di computer co sistema operativo Uix/Liux (e.g.: Apple Mac OS X, Red Hat, Fedora Core, Suse, Koppix, ecc.), è possibile cofigurare gli idirizzi IP dei server DNS Primary, Secodary e Tertiary e i domii DNS utilizzati per la ricerca, iseredoli el file /etc/resolv.cof. U esempio di file resolv.cof è il seguete: search isoleeolie.org. silmarcosultig.it ameserver 192.168.1.200 ameserver 192.168.1.201 ameserver 192.168.1.202 260 06 DNS Radazzo.idd 260 4-05-2006 14:46:34

Capitolo 6 Teciche e strumeti per il troubleshootig di u sistema DNS Come evideziato ella figura questa serie di tre opzioi servoo per istruire il DNS Cliet/Resolver su come agire per gestire la risoluzioe di omi DNS o qualificati (i.e.: omi o FQDN o termiati dal. ). Per default il ome o qualificato viee completato co il suffisso primario specificato ella scheda Idetificatio (el caso di Wi2K) o Computer Name (el caso di WiXP/2003) e co il suffisso specifico di questa coessioe se idicato el campo DNS suffix for this coectio seguete. Selezioado la successiva casella Apped paret suffixes of primary DNS suffix vegoo aggiuti ache i suffissi parziali preseti el suffisso primario fio al secodo livello (e.g.: se il suffisso primario è lipari. isoleeolie.org verrà aggiuto prima il suffisso lipari.isoleeolie.org e poi isoleeolie.org). Permette di specificare u suffisso DNS specifico per questa coessioe di rete. I caso di cliet DHCP, viee presa i cosiderazioe l opzioe cofigurata a livello di server DHCP el caso il campo sia vuoto. Viceversa assume priorità il valore specificato localmete (come sempre). Specifica che il computer deve tetare la registrazioe diamica del proprio idirizzo IP e del ome completo del computer, come idicato i Cotrol Pael, System, Network Idetificatio, putado al server DNS locale. Se abilitata la registrazioe diamica (casella superiore) è possibile forzare ua doppia registrazioe (RR A e PTR) oltre che i base al suffisso primario specificato ella scheda Idetificatio (el caso di Wi2K) o Computer Name (el caso di WiXP/2003) ache utilizzado il suffisso specifico di questa coessioe idicato el campo DNS suffix for this coectio. Cosete di specifica ua lista di suffissi DNS da utilizzare per la risoluzioe di omi DNS o qualificati (i.e.: FQDN o termiati co il. ). Selezioado questa opzioe o viee preso i cosiderazioe è il suffisso primario è quello specifico alla coessioe. Figura 6.1 Cofigurazioi avazate DNS/DDNS Selezioare ua porta UDP/TCP diversa da quella default (53): set port=xx: dove xx deve coicidere co la porta specificata sul server DNS. Per default è 53. Selezioare il tipo di RR da ricercare: set q=<querytype-del-rr> oppure set type=<tipo-di-rr>: dove <tipo-di-rr> può essere SOA, A, MX, CNAME, SRV, ecc. Di default viee utilizzato il tipo di RR A e l abbreviazioe q al posto di querytype. 261 06 DNS Radazzo.idd 261 4-05-2006 14:46:34

Guida al DNS: dalla teoria alla pratica Selezioare ua classe di RR da ricercare: set class=<in Hesiod Chaos Ay>. IN=Iteret è la classe di default; ANY cosidera tutte le classi. Selezioare u DNS server diverso da quello di default: server <idirizzo-ip> oppure server <Nome-Server>. Selezioare u domiio DNS server diverso da quello di default, se esistete (e.g.: computer co sistema operativo Widows XP/2K/2K3/2K3-R2/Vista, apparteete ad u domiio Active Directory): set domai=<omedomiio>. Esempio: set domai=isoleeolie2003.org. Così facedo, evetuali omi FQDN o-be-qualificati verrao completati co il suffisso specificato co la precedete direttiva. Simulare il fuzioameto di u server DNS, tracciado i vari passi di risoluzioe tra vari server DNS seguedo u percorso iterativo, a partire dai server DNS di root Iteret: Dopo aver laciato il comado slookup, posizioarsi su uo dei tredici server DNS di root di Iteret (e.g.: a.root-servers.et.). Da otare che iseredo il comado set all dal prompt di slookup viee visualizzato il ome del server DNS di root di riferimeto. set orecurse: disabilita la ricorsioe e forza slookup ad iviare query di tipo iterative. set osearch: disabilita l utilizzo da parte del resolver della search list. Ciò è ecessario, i quato u DNS server, cotrariamete ad u resolver DNS, o utilizza la fuzioe lista suffissi di ricerca. <iserire il ome host da risolvere> seguito da INVIO. Selezioare il primo server DNS della lista dei DNS autoritativi per il ome richiesto ed impostarlo come server di default tramite il comado seguete: server <ome server DNS autoritativo scelto> Ripetere la query iiziale: <iserire il ome host da risolvere> seguito da INVIO. Cotiuare fio ad arrivare all ultimo server DNS autoritativo per l hostame ricercato il quale, fialmete, risolverà la query iiziale. Forzare u operazioe di Full Zoe Trasfer: Dopo aver idetificato il server DNS autoritativo per il domiio/zoa i questioe (e.g.: ), è possibile eseguire il seguete comado: > ls d <FQDN-Domiio/Zoa> È da otare che l esito del suddetto comado dipede dalla cofigurazioe della zoa DNS. Ifatti, esso richiede l autorizzazioe allo Zoe Trasfer verso u prefissato isieme di idirizzi IP oppure verso tutti gli host (deprecabile a livello di sicurezza). Determiare la versioe di BIND utilizzata su u server UNIX/Liux remoto, tramite delle query slookup. Dal prompt di slookup (modalità iterattiva) iserire la seguete sequeza di comadi (attezioe: il risultato o sempre è garatito, i quato il RR corrispodete può essere stato ache modificato dall ammiistratore del DNS BIND remoto). > server 193.205.245.5 > set class=chaos 262 06 DNS Radazzo.idd 262 4-05-2006 14:46:34

Capitolo 6 Teciche e strumeti per il troubleshootig di u sistema DNS > set type=txt > versio.bid Risposta: versio.bid text = 9.3.1 versio.bid > ameserver = versio.bid Query DNS qualificate e o-qualificate Utilizzado slookup come cliet DNS per simulare l ivio di query ad uo o più DNS server, è possibile otare dei comportameti diversi a secoda della cofigurazioe del cliet/resolver (e.g.: lista dei domii DNS da accodare ad u ome host i fase di risoluzioe (search list)) e, soprattutto, del tipo di ome utilizzato: Nome host (e.g.: paarea). Nome FQDN o-qualificato o o-be-formato, ovvero o termiato dal domiio root idicato dal carattere. (e.g.: paarea.isoleeolie.org). Nome FQDN qualificato o be-formato o completo, ovvero termiato dal domiio root (e.g.: paarea.isoleeolie.org.) come el caso del path assoluto di u file all itero di u File System (e.g.: /etc/services oppure c:\widows\system32\drivers\etc\services). A tal proposito è possibile verificare quato detto, utilizzado slookup e iviado due query, ua co FQDN o qualificato ed ua co FQDN qualificato. Negli esempi sotto riportati, la lista di ricerca impostata per il cliet DNS è costituita da isoleeolie2003.org. Esempio di query co FQDN icompleto (o termiato dal puto fiale) C:\>slookup -ds www.ic.it ------------ Got aswer: HEADER: opcode = QUERY, id = 1, rcode = NOERROR header flags: respose, auth. aswer, wat recursio, recursio avail. questios = 1, aswers = 1, authority records = 0, additioal = 0 QUESTIONS: 201.0.168.192.i-addr.arpa, type = PTR, class = IN ANSWERS: -> 201.0.168.192.i-addr.arpa ame = calajuco-2k3.isoleeolie2003.org ttl = 1200 (20 mis) 263 06 DNS Radazzo.idd 263 4-05-2006 14:46:35

Guida al DNS: dalla teoria alla pratica ------------ Server: calajuco-2k3.isoleeolie2003.org Address: 192.168.0.201 ------------ Got aswer: HEADER: opcode = QUERY, id = 2, rcode = NXDOMAIN header flags: respose, auth. aswer, wat recursio, recursio avail. questios = 1, aswers = 0, authority records = 1, additioal = 0 QUESTIONS: www.ic.it.isoleeolie2003.org, type = A, class = IN AUTHORITY RECORDS: -> isoleeolie2003.org ttl = 3600 (1 hour) primary ame server = calajuco-2k3.isoleeolie2003.org resposible mail addr = leoer.isoleeolie2003.org serial = 36 refresh = 900 (15 mis) retry = 600 (10 mis) expire = 86400 (1 day) default TTL = 3600 (1 hour) ------------ ------------ Got aswer: HEADER: opcode = QUERY, id = 3, rcode = NOERROR header flags: respose, wat recursio, recursio avail. questios = 1, aswers = 1, authority records = 4, additioal = 5 QUESTIONS: www.ic.it, type = A, class = IN ANSWERS: -> www.ic.it iteret address = 193.205.245.13 ttl = 120 (2 mis) AUTHORITY RECORDS: -> ic.it ameserver = itgeo.mix-it.et ttl = 78899 (21 hours 54 mis 59 secs) -> ic.it ameserver = ameserver.cr.it ttl = 78899 (21 hours 54 mis 59 secs) 264 06 DNS Radazzo.idd 264 4-05-2006 14:46:35

Capitolo 6 Teciche e strumeti per il troubleshootig di u sistema DNS -> ic.it ameserver = DNS.ic.it ttl = 78899 (21 hours 54 mis 59 secs) -> ic.it ameserver = ds2.ic.it ttl = 78899 (21 hours 54 mis 59 secs) ADDITIONAL RECORDS: -> DNS.ic.it iteret address = 193.205.245.5 ttl = 78899 (21 hours 54 mis 59 secs) -> DNS.ic.it AAAA IPv6 address = 2001:760:4000:1f5::5 ttl = 11596 (3 hours 13 mis 16 secs) -> ds2.ic.it iteret address = 193.205.245.8 ttl = 78895 (21 hours 54 mis 55 secs) -> itgeo.mix-it.et iteret address = 217.29.76.5 ttl = 78902 (21 hours 55 mis 2 secs) -> ameserver.cr.it iteret address = 194.119.192.34 ttl = 78893 (21 hours 54 mis 53 secs) ------------ No-authoritative aswer: Name: www.ic.it Address: 193.205.245.13 Esempio di query co FQDN completo (i.e.: termiato co il puto fiale) Got aswer: HEADER: opcode = QUERY, id = 1, rcode = NOERROR header flags: respose, auth. aswer, wat recursio, recursio avail. questios = 1, aswers = 1, authority records = 0, additioal = 0 QUESTIONS: 201.0.168.192.i-addr.arpa, type = PTR, class = IN ANSWERS: -> 201.0.168.192.i-addr.arpa ame = calajuco-2k3.isoleeolie2003.org ttl = 1200 (20 mis) 265 06 DNS Radazzo.idd 265 4-05-2006 14:46:35

Guida al DNS: dalla teoria alla pratica ------------ Server: calajuco-2k3.isoleeolie2003.org Address: 192.168.0.201 ------------ Got aswer: HEADER: opcode = QUERY, id = 2, rcode = NOERROR header flags: respose, wat recursio, recursio avail. questios = 1, aswers = 1, authority records = 4, additioal = 5 QUESTIONS: www.ic.it, type = A, class = IN ANSWERS: -> www.ic.it iteret address = 193.205.245.13 ttl = 120 (2 mis) AUTHORITY RECORDS: -> ic.it ameserver = ameserver.cr.it ttl = 76074 (21 hours 7 mis 54 secs) -> ic.it ameserver = DNS.ic.it ttl = 76074 (21 hours 7 mis 54 secs) -> ic.it ameserver = ds2.ic.it ttl = 76074 (21 hours 7 mis 54 secs) -> ic.it ameserver = itgeo.mix-it.et ttl = 76074 (21 hours 7 mis 54 secs) ADDITIONAL RECORDS: -> DNS.ic.it iteret address = 193.205.245.5 ttl = 76074 (21 hours 7 mis 54 secs) -> DNS.ic.it AAAA IPv6 address = 2001:760:4000:1f5::5 ttl = 8771 (2 hours 26 mis 11 secs) -> ds2.ic.it iteret address = 193.205.245.8 ttl = 76070 (21 hours 7 mis 50 secs) -> itgeo.mix-it.et iteret address = 217.29.76.5 ttl = 76077 (21 hours 7 mis 57 secs) -> ameserver.cr.it iteret address = 194.119.192.34 ttl = 76068 (21 hours 7 mis 48 secs) 266 06 DNS Radazzo.idd 266 4-05-2006 14:46:35

Capitolo 6 Teciche e strumeti per il troubleshootig di u sistema DNS Come si può otare, el primo caso slookup esegue u tetativo di ricerca compoedo u FQDN completo, composto dal FQDN o-be-formato passato come argometo e completato di volta i volta co uo dei domii che compogoo la lista dei suffissi DNS di ricerca cofigurati sul computer utilizzato. Viceversa, el secodo caso, essedo il ome da ricercare già i formato FQDN completo, il cliet slookup ivia ua sola query. Troubleshootig slookup Laciado slookup i modalità iterattiva, viee visualizzato il seguete messaggio: Default Server: localhost Address: 127.0.0.1 > Oppure quest altro: *** Default servers are ot available Default Server: UKow Address: 127.0.0.1 > Causa: el primo caso è stato idicato (probabilmete forzato dal sistema operativo) come idirizzo IP del server DNS quello di loopback o localhosts (127.0.0.1). Nel secodo caso, ivece, è probabile che il computer o sia acora stato cofigurato co essu idirizzo IP, è proprio è del server DNS. Ciò può verificarsi per u computer cofigurato come DHCP cliet, i attesa di ricevere u idirizzo IP dal DHCP server. Laciado slookup i modalità iterattiva, viee visualizzato il seguete messaggio di errore: *** Ca t fid server ame for address 192.168.1.200: No-existet domai *** Default servers are ot available Default Server: UKow Address: 192.168.1.200 Causa: i fase di avvio il comado slookup ivia ua query di tipo reverse al proprio server DNS locale, allo scopo di risalire dall idirizzo IP del server, idicato ella cofigurazioe IP del computer, al ome. Probabili cause del problema possoo essere: No è stata creata la zoa di reverse per la subet IP di cui fa parte il server DNS (e.g.: 1.168.192.i-addr.arpa). La zoa di reverse è stata creata, ma o esiste il RR PTR corrispodete al server DNS locale. Laciado slookup i modalità iterattiva, viee visualizzato il seguete messaggio i seguito all iserimeto di u comado set (e.g.: per cofigurare delle query di tipo MX o visualizzare le opzioi di cofigurazioe): *** Ca t fid address for server TYPE=MX: Timed out oppure: *** Ca t fid address for server ALL: Timed out Causa: il comado è stato iserito i maiuscolo metre slookup accetta solo comadi i miuscolo. 267 06 DNS Radazzo.idd 267 4-05-2006 14:46:35

Guida al DNS: dalla teoria alla pratica Dig Dig (il cui ome deriva dal verbo iglese to dig, scavare, scoprire o ivestigare) è ua utility presete i qualsiasi sistema operativo all itero del quale è istallato l ambiete DNS BIND; pertato essa è dispoibile ativamete i ambiete Liux/Uix. Cotrariamete a slookup, dig o cotempla ua modalità iterattiva, ma è dispoibile solamete i modalità o iterattiva o batch. Utilizzare dig e host i ambito Widows Per disporre i ambito Widows delle utility dig e host è ecessario scaricare dal sito http://www.isc. org il package BIND (e.g.: http://ftp.isc.org/isc/bid/cotrib/tbid-9.3.2/bind9.3.2.zip) e procedere co l estrazioe dei file i ua directory (e.g.: c:\bid9.3.2). Alcui esempi di utilizzo della utility dig soo mostrati di seguito. Alcui esempi di utilizzo dell utility dig Help (sitassi del comado dig): dig h Esempio: c:\etc\dig -h Usage: dig [@global-server] [domai] [q-type] [q-class] {q-opt} {global-d-opt} host [@local-server] {local-d-opt} [ host [@local-server] {local-d-opt} [...]] Where: domai is i the Domai Name System q-class is oe of (i,hs,ch,...) [default: i] q-type is oe of (a,ay,mx,s,soa,hifo,axfr,txt,...) [default:a] (Use ixfr=versio for type ixfr) q-opt is oe of: -x dot-otatio (shortcut for i-addr lookups) -i (IP6.INT reverse IPv6 lookups) -f fileame (batch mode) -b address[#port] (bid to source address/port) -p port (specify port umber) -t type (specify query type) -c class (specify query class) -k keyfile (specify tsig key file) -y ame:key (specify amed base64 tsig key) -4 (use IPv4 query trasport oly) -6 (use IPv6 query trasport oly) d-opt is of the form +keyword[=value], where keyword is: 268 06 DNS Radazzo.idd 268 4-05-2006 14:46:35

Capitolo 6 Teciche e strumeti per il troubleshootig di u sistema DNS +[o]vc (TCP mode) +[o]tcp (TCP mode, alterate sytax) +time=### (Set query timeout) [5] +tries=### (Set umber of UDP attempts) [3] +retry=### (Set umber of UDP retries) [2] +domai=### (Set default domaiame) +bufsize=### (Set EDNS0 Max UDP packet size) +dots=### (Set NDOTS value) +[o]search (Set whether to use searchlist) +[o]defame (Ditto) +[o]recurse (Recursive mode) +[o]igore (Do t revert to TCP for TC resposes.) +[o]fail (Do t try ext server o SERVFAIL) +[o]besteffort (Try to parse eve illegal messages) +[o]aaoly (Set AA flag i query (+[o]aaflag)) +[o]adflag (Set AD flag i query) +[o]cdflag (Set CD flag i query) +[o]cl (Cotrol display of class i records) +[o]cmd (Cotrol display of commad lie) +[o]commets (Cotrol display of commet lies) +[o]questio (Cotrol display of questio) +[o]aswer (Cotrol display of aswer) +[o]authority (Cotrol display of authority) +[o]additioal (Cotrol display of additioal) +[o]stats (Cotrol display of statistics) +[o]short (Disable everythig except short form of aswer) +[o]ttlid (Cotrol display of ttls i records) +[o]all (Set or clear all display flags) +[o]qr (Prit questio before sedig) +[o]ssearch (Search all authoritative ameservers) +[o]idetify (ID respoders i short aswers) +[o]trace (Trace delegatio dow from root) +[o]dssec (Request DNSSEC records) +[o]multilie (Prit records i a expaded format) global d-opts ad servers (before host ame) affect all queries. local d-opts ad servers (after host ame) affect oly that lookup. -h (prit help ad exit) -v (prit versio ad exit) 269 06 DNS Radazzo.idd 269 4-05-2006 14:46:35

Guida al DNS: dalla teoria alla pratica Numero di versioe della utility dig: dig v Esempio: c:\etc\dig -v DiG 9.3.2 Come determiare la versioe di u server DNS BIND (aturalmete, come già detto a proposito del comado slookup, l esito di questo comado dipede dalla cofigurazioe del server BIND e dalla possibilità che l ammiistratore abbia o meo filtrato tale risposta): dig @<idirizzo-ip-server-dns> txt chaos versio.bid Esempio: - c:\etc\dig @193.205.245.5 chaos txt versio.bid Oppure: - c:\etc\dig @193.205.245.5 txt chaos versio.bid ; <<>> DiG 9.3.2 <<>> @193.205.245.5 txt chaos versio.bid ; (1 server foud) ;; global optios: pritcmd ;; Got aswer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 1003 ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0 ;; QUESTION SECTION: ;versio.bid. CH TXT ;; ANSWER SECTION: versio.bid. 0 CH TXT 9.3.1 ;; AUTHORITY SECTION: versio.bid. 0 CH NS versio.bid. ;; Query time: 15 msec ;; SERVER: 193.205.245.5#53(193.205.245.5) ;; WHEN: Su Feb 05 15:03:51 2006 ;; MSG SIZE rcvd: 62 270 Query di reverse (i.e.: a partire da u idirizzo IP risalire al ome di u host): dig @<idirizzo-ip-server-dns> -x <idirizzo-ip-oggetto-della-query> Esempio: c:\etc\ dig @ds.ic.it -x 193.205.245.15 ; <<>> DiG 9.3.2 <<>> @ds.ic.it -x 193.205.245.15 06 DNS Radazzo.idd 270 4-05-2006 14:46:36

Capitolo 6 Teciche e strumeti per il troubleshootig di u sistema DNS ; (1 server foud) ;; global optios: pritcmd ;; Got aswer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 1537 ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3 ;; QUESTION SECTION: ;15.245.205.193.i-addr.arpa. IN PTR ;; ANSWER SECTION: 15.245.205.193.i-addr.arpa. 3600 IN PTR hp4550.ic.it. ;; AUTHORITY SECTION: 245.205.193.i-addr.arpa. 432000 IN NS ds.ic.it. 245.205.193.i-addr.arpa. 432000 IN NS ameserver.cr.it. ;; ADDITIONAL SECTION: ds.ic.it. 86400 IN A 193.205.245.5 ds.ic.it. 86400 IN AAAA 2001:760:4000:1f5::5 ameserver.cr.it. 72368 IN A 194.119.192.34 ;; Query time: 187 msec ;; SERVER: 193.205.245.5#53(193.205.245.5) ;; WHEN: Su Feb 05 19:11:33 2006 ;; MSG SIZE rcvd: 179 Query multiple: elecare tutti i RR coteuti i due zoe/domii gestite da u server DNS/ BIND: dig @<idirizzo-ip-server-dns> <FQDN-domiio> -t <ay> <FQDN-domiio> -t <ay> Esempio: C:\dig>dig @212.25.160.10 learig-solutios.it -t ay silmarcosultig.it -t ay ;; Got aswer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 1776 ;; flags: qr aa rd; QUERY: 1, ANSWER: 8, AUTHORITY: 0, ADDITIONAL: 15 ;; QUESTION SECTION: ;learig-solutios.it. IN ANY ;; ANSWER SECTION: learig-solutios.it. 172800 IN SOA ds.seeweb.it. hostmaster.seeweb.it. 2005030300 86400 7200 2592000 86400 271 06 DNS Radazzo.idd 271 4-05-2006 14:46:36

Guida al DNS: dalla teoria alla pratica learig-solutios.it. 172800 IN NS ds2.seeweb.it. learig-solutios.it. 172800 IN NS ds.seeweb.it. learig-solutios.it. 172800 IN MX 10 wx-5b.seeweb.it. learig-solutios.it. 172800 IN MX 20 smtp-f1.seeweb.it. learig-solutios.it. 172800 IN MX 20 smtp-f2.seeweb.it. learig-solutios.it. 172800 IN MX 20 smtp-f3.seeweb.it. learig-solutios.it. 172800 IN MX 20 smtp-f4.seeweb.it. ;; ADDITIONAL SECTION: ds.seeweb.it. 172800 IN A 212.25.160.10 ds2.seeweb.it. 172800 IN A 217.64.196.10 wx-5b.seeweb.it. 172800 IN A 212.25.179.6 smtp-f1.seeweb.it. 172800 IN A 212.25.179.65 smtp-f1.seeweb.it. 172800 IN A 212.25.179.69 smtp-f1.seeweb.it. 172800 IN A 212.25.179.73 smtp-f2.seeweb.it. 172800 IN A 212.25.179.74 smtp-f2.seeweb.it. 172800 IN A 212.25.179.66 smtp-f2.seeweb.it. 172800 IN A 212.25.179.70 smtp-f3.seeweb.it. 172800 IN A 212.25.179.71 smtp-f3.seeweb.it. 172800 IN A 212.25.179.75 smtp-f3.seeweb.it. 172800 IN A 212.25.179.67 smtp-f4.seeweb.it. 172800 IN A 212.25.179.76 smtp-f4.seeweb.it. 172800 IN A 212.25.179.68 smtp-f4.seeweb.it. 172800 IN A 212.25.179.72 ;; Query time: 406 msec ;; SERVER: 212.25.160.10#53(212.25.160.10) ;; WHEN: Su Feb 05 15:49:41 2006 ;; MSG SIZE rcvd: 489 ; <<>> DiG 9.3.2 <<>> @212.25.160.10 learig-solutios.it -t ay silmarcosultig.it -t ay ; (1 server foud) ;; global optios: pritcmd ;; Got aswer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 1563 ;; flags: qr aa rd; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 2 272 ;; QUESTION SECTION: ;silmarcosultig.it. IN ANY 06 DNS Radazzo.idd 272 4-05-2006 14:46:36