interative Anfrage

[schwiz19]

Guten Tag

Wie funktioniert eine interative DNS Anfrage und antwort ?

 

[jahlives]

was ist denn eine interative DNS Abfrage? Meinst du nicht eher iterative DNS Abfrage? Bei einer iterativen Abfrage antwortet der DNS nicht gleich mit dem Resultat, sondern mit einem weiteren NS Server, welcher die Antwort kennen sollte

 

[schwiz19]

Entschuldigung verschrieben...

Also jeder Nameserver der die Anfrage akzeptiert arbeitet nur mit verweisen? Auch der jenige Server wo das ergebnis hat z.B die IP von www.google.ch kennt? der Resolver muss dann jedesmal entscheiden über welche IP-Adresse er verbinden soll?

also ROOT-Server -> Verweise auf mehrere andere Nameserver -> nic.de -> Mehrere Verweise zu ns.google.ch holt die Datei dann autoritativ aus der Zonendatei.


Dieses Beispiel stam aus Wikipedia:

Name: test.example.com
Served by:
- dns01.extern.com
172.27.182.11, 172.27.158.208
example.com
- dns02.extern.com
example.com
- dns03.extern.com
172.27.157.16
example.com

Die IP-Adresse aus dieser interativen Antwort sind die IP-Adresse des Webservers und nicht die IP-Adresse vom dn01.extern.com?

Über diese IP-Adresse verbindet sich der Browser nachher?

 

[Benares]

Für jede Domäne gibt einen oder mehrere "zuständige" DNS-Server (SOA = State Of Authority)

Bsp.:

C:\>nslookup
Standardserver:  LC1811.localnet.mey
Address:  192.168.0.2

> set q=soa
> google.ch.
Server:  LC1811.localnet.mey
Address:  192.168.0.2

Nicht autorisierte Antwort:
google.ch
        primary name server = ns2.google.com
        responsible mail addr = dns-admin.google.com
        serial  = 1499098
        refresh = 900 (15 mins)
        retry   = 900 (15 mins)
        expire  = 1800 (30 mins)
        default TTL = 60 (1 min)
> server ns2.google.com
Standardserver:  ns2.google.com
Address:  216.239.34.10

> set q=a
> www.google.ch.
Server:  ns2.google.com
Address:  216.239.34.10

Name:    www.google.ch
Addresses:  173.194.35.151, 173.194.35.159, 173.194.35.152

Wenn jetzt ein beliebiger DNS-Server nach einer Adresse gefragt wird, fragt er entweder selber den "zuständigen" Server ab, oder teilt dem Client nur die Adresse des "zuständigen" Servers mit. Alle DNS-Server (und auch die Clients) haben Caches, damit nicht jedesmal der ganze Zirkus erneut ablaufen muss. Die max. Cache-Haltedauer wird auf dem SOA-DNS-Server über die TTL (Time To Live) festgelegt. "Nicht autorisierte Antwort" weisst daruf hin, dass die Antwort aus irgendeinem Cache stammt, Beim SOA selbst entfällt dann der Hinweis "Nicht autorisierte Antwort" natürlich.

Ich hoffe, das beantwortet deine Frage.

Gruß Benares

 

[schwiz19]

vielen ist mit bereits klar mit dem SOA und mehrere Nameserver für eine Domain... Es geht NUR um die iterative Anfrage

Aber wann erhält mein Resolver folgene Nachricht:


Name: test.example.com
Served by:
- dns01.extern.com
172.27.182.11, 172.27.158.208
example.com
- dns02.extern.com
example.com
- dns03.extern.com
172.27.157.16
example.com

erst wenn ein Nameserver meine Domain auflösen kann? Der ROOT-Server wird mir immer sowas schicken. Aber der nächste Nameserver wäre z.B der Nameserver von nic.ch dieser würde mir ebenfalls ein solche Liste geben (wie oben) wenn dieser Nameserver iterativ arbeitet?

Folgendes steht auf Wikipedia:

Eine iterative Antwort enthält anstelle der Daten (z. B. IP-Adresse) einen oder mehrere Verweise auf andere Nameserver. Ein derartiger Verweis enthält den Namen des anderen Servers, den Namen der Domäne und – falls bekannt – IP-Adresse. Hier ein Beispiel für eine iterativ beantwortete DNS-Anfrage mit Nslookup

Diese Verweise ind z.B Name: test.example.com
Served by:
- dns01.extern.com
172.27.182.11, 172.27.158.208
example.com
- dns02.extern.com
example.com
- dns03.extern.com
172.27.157.16

so versteh ich das oder?

 

[jahlives]

@schwiz
in deinem Bsp sind die IPs nicht worauf du dich letztlich verbindest, sondern das sind die IPs von Nameservern welche test.example.com kennen sollten. Wenn dein Browser eine solche Antwort erhält wird er die genannten Nameserver abklappern und dir von denen die IP zu test.example.com liefern. In deinem Bsp werden dir also 3 NS geliefert welche die Antwort haben sollten. Dabei haben aber nur der erste und der letzte eine IP

 

[schwiz19]

Wenn jetzt ein beliebiger DNS-Server nach einer Adresse gefragt wird, fragt er entweder selber den "zuständigen" Server ab, oder teilt dem Client nur die Adresse des "zuständigen" Servers mit. Alle DNS-Server (und auch die Clients) haben Caches, damit nicht jedesmal der ganze Zirkus erneut ablaufen muss. Die max. Cache-Haltedauer wird auf dem SOA-DNS-Server über die TTL (Time To Live) festgelegt. "Nicht autorisierte Antwort" weisst daruf hin, dass die Antwort aus irgendeinem Cache stammt, Beim SOA selbst entfällt dann der Hinweis "Nicht autorisierte Antwort" natürlich.

Das Beispiel von dir ist stamt doch aus einer Rekursion?
Bei iterativ bekommt er mehrere Verweise auf andere Nameserver und nicht nur einen bestimmten Nameserver wie bei der Rekusion.

 

[jahlives]

@schwiz9

Bei iterativ bekommt er mehrere Verweise auf andere Nameserver und nicht nur einen bestimmten Nameserver wie bei der Rekusion.

Rekursion kann auch anderes als einen Nameserver zurückliefern. Oder auch mehrere Nameserver. Kommt drauf an was du abfragst ;-) Bei iterativen Anfragen kann auch nur ein NS zurückkommen, kommt auf was in der Zone definiert ist. Und authorativ heisst letztlich, dass der Server die Anfrage aus seinen Zonenfiles (also lokal) beantworten kann und nicht weiterreichen muss

 

[schwiz19]

Ja autoritativ ist mir klar.

Wo ist den der unterschied dann zwischen Rekursiv un interativ? Bei Wikipedia steht es ja aber man muss ja verstehen wie es gemeint ist. Also wo sind den nun die unterschiede?

Bei Wikipedia steht bei iterativ folgendes:

Eine iterative Antwort enthält anstelle der Daten (z. B. IP-Adresse) einen oder mehrere Verweise auf andere Nameserver. Ein derartiger Verweis enthält den Namen des anderen Servers, den Namen der Domäne und – falls bekannt – IP-Adresse. Hier ein Beispiel für eine iterativ beantwortete DNS-Anfrage mit Nslookup:

Name: test.example.com
Served by:
- dns01.extern.com
172.27.182.11, 172.27.158.208
example.com
- dns02.extern.com
example.com
- dns03.extern.com
172.27.157.16
example.com

Wenn ich mir das durchlese heisst es für mich jeder Nameserver der jetzt iterativ arbeitet gibt so eine ähnliche Liste weiter?

Root-SErver sagt z.B für www.google.ch

ns1.nic.ch (66.44.44.44)
ns2.nic.ch (89.555.444.33)
(soll jetzt die liste darstellen)

ns1.nic.ch meldet dann mit weiter verweisen zu

ns1.google.ch(55.66.666.66)
ns2.google.ch(888.888.888.88)

danach ist die Domain ja fast aufgelöst....

Die Rekursion erhällt anstelle von

- dns01.extern.com
172.27.182.11, 172.27.158.208


nur:

Root-Server sagt:

verbindung zu root-Server anfrage für .ch -> ns1.nic.ch(89.88.88.55) -> ns1.nic.ch(66.66.66.66) sagt ns1.google.ch

dort befindet sich die Zonefle von google.ch und fertig aufgelöst.

 

[jahlives]

du hast eigentlich immer auch iterative Abfragen: du fragst bei deinem Resolver (rekursiv, A-Record) test.example.com ab. Der Resolver weiss die Antwort nicht und richtet daher die Abfrage ins Netz. Zuerst kontaktiert er die Root Server und fragt iterativ nach den NS für die com TLD. Wenn er diese hat fragt er diese Server wiederum iterativ nach den NS für example.com und bekommt wiederum eine Liste. Diese NS kontaktiert er wieder und fragt nach dem A-Record für test.example.com und erhält die gewünschte Information (IP-Adresse) zurück

 

[schwiz19]

du hast eigentlich immer auch iterative Abfragen: du fragst bei deinem Resolver (rekursiv, A-Record) test.example.com ab. Der Resolver weiss die Antwort nicht und richtet daher die Abfrage ins Netz. Zuerst kontaktiert er die Root Server und fragt iterativ nach den NS für die com TLD. Wenn er diese hat fragt er diese Server wiederum iterativ nach den NS für example.com und bekommt wiederum eine Liste. Diese NS kontaktiert er wieder und fragt nach dem A-Record für test.example.com und erhält die gewünschte Information (IP-Adresse) zurück

Achso also bei der Iterativen Art bekommt der konfigurtiere Nameserver von meinem Provider nur einen Verweis oder mehrere und mein konfigurierte Nameserver muss dann weitersuchen. Er ist schlussendlich für die weiteren Anfragen verantwortlich.

Und bei der Rekursiven Art würde er z.B den Root-Server fragen für google.ch und der Root-Server würde danach die komplete Auflösung tätiten(Root-Server-> nic.ch ->google.ch) und am Schluss würde er nur noch dem konfigurierten Nameserver die IP-Adresse der Website melden.
Also iterativ und rekursiv ist die vorgehensweise wie der Nameserver arbeiten soll?

Das mit dem Root-Server war ein beispiel dieser nimmt ja nur iterative Art an.

 

[jahlives]

nein die root Server haben definitiv keine Rekursion. Dein Resolver ist immer für die Auflösung zuständig, egal ob iterativ oder rekursiv. Die root Server melden nur die für die angefragte TLD zuständigen Nameserver. Die root Server melden also für dein Bsp nur die Nameserver für die Zone .ch (das wären die NS der Switch). Dann muss dein resolver gucken was er damit machen will. Wenn Rekursion aktiviert ist dann wird dein Resolver die gesamte Kette runter abklappern bis er einen Eintrag für google.ch gefunden hat.
Folgendes zeigt, dass root Server keine Rekursion haben

dig @d.root-servers.net google.ch A

; <<>> DiG 9.7.3 <<>> @d.root-servers.net google.ch
; (2 servers found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26065
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 7, ADDITIONAL: 13
;; [COLOR=#ff0000][B]WARNING: recursion requested but not available[/B][/COLOR]


;; QUESTION SECTION:
;google.ch.                     IN      A


;; AUTHORITY SECTION:
ch.                     172800  IN      NS      d.nic.ch.
ch.                     172800  IN      NS      a.nic.ch.
ch.                     172800  IN      NS      c.nic.ch.
ch.                     172800  IN      NS      e.nic.ch.
ch.                     172800  IN      NS      f.nic.ch.
ch.                     172800  IN      NS      h.nic.ch.
ch.                     172800  IN      NS      b.nic.ch.


;; ADDITIONAL SECTION:
a.nic.ch.               172800  IN      A       130.59.1.80
b.nic.ch.               172800  IN      A       130.59.211.10
c.nic.ch.               172800  IN      A       147.28.0.39
d.nic.ch.               172800  IN      A       200.160.0.5
e.nic.ch.               172800  IN      A       194.0.17.1
f.nic.ch.               172800  IN      A       194.146.106.10
h.nic.ch.               172800  IN      A       194.42.48.120
a.nic.ch.               172800  IN      AAAA    2001:620::4
b.nic.ch.               172800  IN      AAAA    2001:620::5
c.nic.ch.               172800  IN      AAAA    2001:418:1::39
d.nic.ch.               172800  IN      AAAA    2001:12ff:0:a20::5
e.nic.ch.               172800  IN      AAAA    2001:678:3::1
f.nic.ch.               172800  IN      AAAA    2001:67c:1010:2::53

du siehst also dass die root Server nur die für die nächste Zone zuständigen NS melden. Und dies obwohl ich explizit nach einem A Record für google.ch gefragt habe

 

[schwiz19]

Du hast es wohl nicht gesehen ist sagte Root-Server arbeiten nie rekursiv wegen zu höher Überlastung.

Die meisten Resolver können mit iterativen Antworten nichts anfangen habe ich gelesen. Wenn ich vom Root Server antwort erhalte kann mein Resolver damit eventuel nichts anfangen? Was dann? Wofür ist dann der Nameserver von meinem ISP?

Wikipedia

Der Administrator eines Nameservers kann definieren, ob dieser Nameserver Anfragen rekursiv bearbeiten kann oder nicht. Normalerweise arbeiten Nameserver rekursiv, da einige Resolver mit einer iterativen Antwort nichts anfangen können.

Noch eine Frage im diesem Beispiel steht:


AUTHORITY SECTION: + ADDITIONAL SECTION:

also .ch holt er bei sich autoritativ aus dem Zonefile was ist dann ADDITIONAL Section in dieser Anfrage?

Wofür gibts dieses ADDITIONAL SECTION?

 

[jahlives]

Du hast es wohl nicht gesehen ist sagte Root-Server arbeiten nie rekursiv wegen zu höher Überlastung.

ich hätte den Abschnitt zitieren sollen

Und bei der Rekursiven Art würde er z.B den Root-Server fragen für google.ch und der Root-Server würde danach die komplete Auflösung tätiten(Root-Server-> nic.ch ->google.ch) und am Schluss würde er nur noch dem konfigurierten Nameserver die IP-Adresse der Website melden.

darauf habe ich mich bezogen und das klingt für mich danach, dass der root Server die Anfrage rekursiv abarbeiten würde

AUTHORITY SECTION: + ADDITIONAL SECTION:
also .ch holt er bei sich autoritativ aus dem Zonefile was ist dann ADDITIONAL Section in dieser Anfrage?
Wofür gibts dieses ADDITIONAL SECTION?

Additional sind zusätzliche Antworten, die aber nicht explizit angefragt wurden. Oft gibt es die wenn du einen Record abfragst, der auf einen Namen (z.B. CNAME oder MX) und nicht eine IP zeigt .Dann kann dir der Server gleich die IP zum Host hinter dem CNAME/MX liefern. Das spart eine zusätzliche DNS Abfrage. Der Server muss das aber nicht liefern, das ist eine Einstellungssache am DNS Server (z.B. bind)
Häufiger als Authoriative wirst du Answer Section sehen. Das sind Antworten wenn die Anfrage nicht aus den lokalen Zonenfiles beantwortet werden konnte (wie es bei resolvern eigentlich immer der Fall ist)

 

[schwiz19]

nein die root Server haben definitiv keine Rekursion. Dein Resolver ist immer für die Auflösung zuständig, egal ob iterativ oder rekursiv. Die root Server melden nur die für die angefragte TLD zuständigen Nameserver. Die root Server melden also für dein Bsp nur die Nameserver für die Zone .ch (das wären die NS der Switch). Dann muss dein resolver gucken was er damit machen will. Wenn Rekursion aktiviert ist dann wird dein Resolver die gesamte Kette runter abklappern bis er einen Eintrag für google.ch gefunden hat.

Du sagst der Resolver ist für die Auflösung verantwortlich. Was ist wenn der Root Server mir eine iterative Antwort gibt und mein Resolver keine solchen akzeptiert. Wie es in Wikipedia steht, arbeiten DNS Server oft rekursiv und der Resolver kann mit iterativen Antworten nichts anfangen? Wofür ist dann der DNS Server von meinem Provider? Ich bin davon ausgegangen das der konfigurierte Nameserver sich um alles kümmert und dem Resolver schlussendlich nurnoch die IP-Adresse vom z.B google liefert.

Ich bin davon ausgegangen:
Also der Resolver sendet an den konfigurieten Nameserver eine Anfrage und dieser startet mit der Rekusiven Art. Am Schluss erhällt er wieder die IP-Adresse von der gewünschten Seite und liefert sie dem Resolver.

 

[schwiz19]

Kann mir jemand antworten. Ich warte schon eine weile auf antwort. Das ich auch das Thema abhaken kann.

 

[jahlives]

Was ist denn deine aktuelle Frage?

 

[schwiz19]

Meine Fragen

Zitat von jahlives

nein die root Server haben definitiv keine Rekursion. Dein Resolver ist immer für die Auflösung zuständig, egal ob iterativ oder rekursiv. Die root Server melden nur die für die angefragte TLD zuständigen Nameserver. Die root Server melden also für dein Bsp nur die Nameserver für die Zone .ch (das wären die NS der Switch). Dann muss dein resolver gucken was er damit machen will. Wenn Rekursion aktiviert ist dann wird dein Resolver die gesamte Kette runter abklappern bis er einen Eintrag für google.ch gefunden hat.

1. Du sagst der Resolver ist für die Auflösung verantwortlich. Was ist wenn der Root Server mir eine iterative Antwort gibt und mein Resolver keine solchen akzeptiert. Wie es in Wikipedia steht, arbeiten DNS Server oft rekursiv und der Resolver kann mit iterativen Antworten nichts anfangen? Wofür ist dann der DNS Server von meinem Provider? Ich bin davon ausgegangen das der konfigurierte Nameserver sich um alles kümmert und dem Resolver schlussendlich nurnoch die IP-Adresse vom z.B google liefert.

Ich bin davon ausgegangen:
Also der Resolver sendet an den konfigurieten Nameserver eine Anfrage und dieser startet mit der Rekusiven Art. Am Schluss erhällt er wieder die IP-Adresse von der gewünschten Seite und liefert sie dem Resolver.

+

2. Danach habe ich eine weitere Frage zurück zur Rekusion. Bei der iterativen erhalte ich ja bekomme ich als Antwort einen Verweis
Bei der Rekursion sucht er bzw. wendet er sich an andere Nameserver und fragte diese nach der gewünschter gewünschten Domain.

Was heisst den das einen Verweis? Den Verweis muss der Nameserver ja kennen? Wenn der Nameserver iterativ arbeitet wird er auch nur Antworten liefern können welche er bei sich in einer Zonenfile (autoritativ) hat? Das heisst iterativ funktioniert nur wenn er autoritativ arbeitet? Bei iterativ arbeitet der Nameserver ja nicht indem er andere Nameserver nach einer Auslösung fragt er liefert ja nur Verweise...


3. Was passiert wenn ein Nameserver ein Recusion Desired Flag sendet und der andere Nameserver dazu nicht bereit ist? Erhält der Server dann keine Angaben? Du hattest in einem deiner Beispiele mal den Root-Server rekusiv nach google.ch gefragt dieser hatte dann nur die nächste zuständige Zone angezeigt (.ch). Wäre das dann auch so?

 

[jahlives]

1. in den meisten Fällen muss dein Resolver (kann dein Router sein, aber auch der DNS deines Providers) nicht bis zu den root Servern gehen. Denn Resolver haben auch sogenannte Upstream-Server, welche sie befragen können. Meist weiss bereits vor den root Servern jemand die Antwort
2. wieso sollte iterativ nur funzen wenn der Server authorativ antwortet? Die Verweise muss er ja auch von irgendwo her bekommen. Iterativ heisst nicht, dass der Server nicht auch andere Server fragen würde, es heisst nur, dass der Server alles was er als Antwort bekommt nicht weiter auflöst
3. das siehst du in meinem obigen Bsp wo ich Rekursion verlangt habe aber keine bekommen habe. Ob der Server dann einen Inhalt mit der Antwort schickt hängt vom Server ab. Es kann eine Antwort kommen wie beim root Server oder auch nicht wie bei meinem DNS Server

; <<>> DiG 9.7.0-P1 <<>> @time1.brain-force.ch google.ch
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 28666
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: recursion requested but not available


;; QUESTION SECTION:
;google.ch. IN A


;; Query time: 40 msec
;; SERVER: 164.138.26.120#53(164.138.26.120)
;; WHEN: Tue Oct 9 08:21:46 2012
;; MSG SIZE rcvd: 27

 

[schwiz19]

1. in den meisten Fällen muss dein Resolver (kann dein Router sein, aber auch der DNS deines Providers) nicht bis zu den root Servern gehen. Denn Resolver haben auch sogenannte Upstream-Server, welche sie befragen können. Meist weiss bereits vor den root Servern jemand die Antwort

2. wieso sollte iterativ nur funzen wenn der Server authorativ antwortet? Die Verweise muss er ja auch von irgendwo her bekommen. Iterativ heisst nicht, dass der Server nicht auch andere Server fragen würde, es heisst nur, dass der Server alles was er als Antwort bekommt nicht weiter auflöst



3. das siehst du in meinem obigen Bsp wo ich Rekursion verlangt habe aber keine bekommen habe. Ob der Server dann einen Inhalt mit der Antwort schickt hängt vom Server ab. Es kann eine Antwort kommen wie beim root Server oder auch nicht wie bei meinem DNS Server

1. Du sagst der Resolver ist für die Auflösung verantwortlich. Was ist wenn der Root Server mir eine iterative Antwort gibt und mein Resolver keine solchen akzeptiert. Wie es in Wikipedia steht, arbeiten DNS Server oft rekursiv und der Resolver kann mit iterativen Antworten nichts anfangen?

Upstream-Server höre ich in Verbindung mit DNS zum ersten mal. Was meinst du damit? Ich weiss das es Caches gibt das scheinst du nicht zu meinen. Ich habe bei Wikipedia gelesen das Resolver also bei iterativ die Arbeit übernehmen und nicht der Nameserver. http://de.wikipedia.org/wiki/Domain_Name_System

Wofür ist der Nameserver von meinem ISP den? Mein Resolver ist ja dafür verantwortlich Anfragen zu erhalten und zu senden? Weshalb muss ich im Router die Nameserver konfigurieren? Mein Resolver stellt ja die Anfrage direkt an den Root-Server um zu wissen wie z.B die IP-Adresse von example.ch ist? Da der ROOT-Server iterativ arbeitet sagt er meinem Resolver frage mal bei nic.ch nach etc... So läuft es doch ab wenn jetzt die Seite "example.ch" in keinem Cache zu finden wäre...