Služba doménových jmen, běžně označovaná zkratkou DNS, představuje základní stavební kámen moderních sítí IP, včetně globálně rozšířeného internetu. Hlavním posláním DNS je zprostředkovat nalezení IP adresy zařízení, když je k dispozici pouze jeho jméno hostitele. Navzdory zdánlivé jednoduchosti, jedná se o poměrně sofistikovaný proces. V rámci internetu musí mít každý uživatel možnost zjistit IP adresu jakéhokoli zdroje, bez ohledu na jeho umístění. Lokálně musí DNS překládat jména hostitelů na jejich vnitřní IP adresy a zároveň odesílat požadavky na internetové adresy prostřednictvím veřejných serverů DNS. Pro usnadnění efektivní správy DNS pro síťové administrátory existuje celá řada nástrojů. Některé z nich usnadňují nastavení DNS, zatímco jiné pomáhají s diagnostikou problémů nebo monitorováním prostředí DNS. V tomto článku se podíváme na některé z nejlepších dostupných DNS nástrojů.
Na úvod se pokusíme objasnit, co je DNS a jak funguje, a to pokud možno v co nejméně technickém jazyce. Následně se zaměříme na správu DNS, prozkoumáme její různé aspekty a poté se dostaneme k přehledu různých typů DNS nástrojů, které jsou k dispozici pro síťové správce. Nakonec se zaměříme na hlavní téma, a to jsou nejlepší dostupné DNS nástroje, kde si představíme některé z nejužitečnějších z nich.
DNS – Princip a Funkce
V raných dobách internetu, kdy bylo propojeno jen několik počítačů, se nepoužívaly komplikované IP adresy. Každý počítač měl své jméno hostitele a každý z propojených počítačů měl lokální textový soubor s názvem „hosts“. Tento soubor obsahoval seznam všech IP adres a jmen hostitelů v síti.
Tento systém byl funkční, dokud nebyl počet propojených počítačů příliš velký. Bylo tedy zapotřebí vymyslet lepší způsob distribuce těchto informací. Proto vznikl DNS. Ve své podstatě je DNS distribuovanou verzí souboru „hosts“, který dokáže převést jakékoli jméno hostitele na jeho IP adresu. Jeho výhoda spočívá v distribuovaném systému, kde každý lokální správce odpovídá za aktuálnost dat jen u hostitelů, které spravuje na DNS serverech.
Každá organizace obvykle používá lokální DNS server. Ten je zodpovědný za překlad IP adres lokálních zdrojů. V případě, že server nedokáže požadavek vyřešit, předá jej na takzvaný forwarder, tedy veřejný DNS server na internetu. Bez zabíhání do technických detailů, každý veřejný jmenný server dokáže přeložit jakékoli veřejné jméno hostitele na jeho veřejnou IP adresu. Váš místní server DNS, který požadavky předává na veřejné servery, je schopen dělat totéž.
Nevýhodou tohoto systému je, že překlad IP adresy může chvíli trvat, jelikož mnoho serverů může přeposílat dotazy jiným. Tento problém částečně eliminuje lokální ukládání do mezipaměti. Když server DNS požaduje jakoukoli informaci, uloží si ji do paměti cache. Při dalším dotazu ji tak nemusí získávat z jiného serveru. Ukládání do mezipaměti však nemá neomezenou platnost, dříve či později vyprší, a servery se tak musí znovu dotazovat jiných serverů.
Správa DNS
Správa lokálního DNS je důležitý úkol. Kdykoliv je do sítě přidáno nové zařízení, ať už je to počítač, tiskárna nebo jakékoli zařízení připojené k síti, musí být jeho jméno hostitele a odpovídající IP adresa přidány na lokální DNS server. Způsob správy IP adres a používané nástroje určují, zda jde o proces manuální, plně automatizovaný nebo něco mezi tím.
Dalším důležitým aspektem je zajištění toho, aby překlad názvů veřejně dostupných zdrojů, jako je například váš web, byl správně nastaven a přístupný na veřejných serverech DNS, aby se k nim dostal každý uživatel. Důležitá je také monitorovací část správy DNS. V případě výpadku DNS není možné překládat jména hostitelů na IP adresy a všechny propojené zdroje se stanou nedostupnými, což je nežádoucí situace.
Různé Typy Nástrojů DNS
Existuje několik typů DNS nástrojů. První kategorií jsou nástroje pro audit DNS. Tyto nástroje provádějí dopředné a zpětné DNS dotazy s cílem ověřit, že se oba záznamy shodují. Nesouhlasné záznamy vpřed a vzad totiž mohou způsobovat celou řadu problémů.
Dalším typem nástrojů jsou ty, které se používají k analýze struktury DNS architektury. Pomáhají odhalit vztahy mezi servery DNS a umožňují efektivnější přístup k překladu DNS. Jak bylo zmíněno dříve, přesměrovávání dotazů může nějakou dobu trvat, a proto je výhodná efektivní architektura, kterou lze ověřit tímto typem nástroje. K porovnání výkonu veřejných DNS serverů lze použít srovnávací software. Může pomoci při výběru nejlepšího veřejného DNS serveru pro předávání požadavků.
Dále tu máme nástroje příkazové řádky, které se obvykle používají pro testování překladu názvů prostřednictvím ručního dotazování serverů. Příkladem jsou příkazy nslookup a dig, kterým se budeme věnovat později.
Poslední kategorií jsou online nástroje, které lze využít ke spouštění různých testů DNS z mnoha míst po celém světě. Tyto nástroje vám mohou poskytnout detailní pohled na to, jak se vaše hostitele překládají z pohledu vzdálených klientů.
Nejlepší DNS Nástroje
S tak širokou nabídkou nástrojů není jednoduché vybrat ty nejlepší. Snažili jsme se najít zástupce od každého typu nástroje, abyste měli představu o tom, co je k dispozici. Naleznete zde mix lokálně instalovatelných softwarových balíčků, nástrojů příkazové řádky, které jsou součástí většiny operačních systémů a online nástrojů.
1. SolarWinds Engineer’s Toolset (bezplatná zkušební verze)
Prvními dvěma nástroji na seznamu jsou součásti balíku SolarWinds Engineer’s Toolset. Společnost SolarWinds je známá pro vývoj špičkových nástrojů pro správu sítí. Její vlajkový produkt Network Performance Monitor je považován za jeden z nejlepších nástrojů pro monitorování sítě. Kromě toho nabízí mnoho bezplatných nástrojů, které řeší specifické potřeby správců sítě, jako například Advanced Subnet Calculator a Kiwi Syslog Server.
SolarWinds Engineer’s Toolset je balík s více než 60 různými nástroji. Obsahuje jak bezplatné nástroje, tak i ty, které jsou exkluzivně součástí tohoto balíku. Co se týče nástrojů pro DNS, součástí balíku jsou dva nástroje: SolarWinds DNS Audit a SolarWinds DNS Structure Analyzer. K dalším nástrojům z tohoto balíku se ještě dostaneme.
1.1 SolarWinds DNS Audit (bezplatná zkušební verze se sadou nástrojů Engineer’s Toolset)
Nástroj SolarWinds DNS Audit je určen především administrátorům, kteří spravují a konfigurují DNS manuálně. I když je jeho funkčnost poměrně jednoduchá, je neuvěřitelně užitečný. Tento nástroj prohledá rozsah IP adres a pro každou z nich provede zpětný DNS dotaz. Zpětný DNS je proces dotazování se DNS serveru na jméno hostitele odpovídající dané IP adrese, na rozdíl od dopředného dotazu, kdy se dotazujeme na IP adresu na základě jména hostitele. Správně nakonfigurovaný DNS server by měl mít zpětný DNS záznam pro každý dopředný záznam.
Po dokončení překladu každé IP adresy na jméno hostitele se nástroj pokusí přeložit každé jméno hostitele na jeho IP adresu a v tabulce zobrazí všechny neshody. Výsledkem auditu je tabulka, kde každý řádek reprezentuje jednu skenovanou IP adresu.
1.2 SolarWinds DNS Structure Analyzer (BEZPLATNÁ zkušební verze se sadou nástrojů Engineer’s Toolset)
Druhý nástroj ze sady SolarWinds Engineer’s Toolset, SolarWinds DNS Structure Analyzer, se značně liší svým zaměřením a fungováním. Tento nástroj zjistí a graficky znázorní hierarchickou strukturu DNS záznamů o DNS prostředcích vaší organizace. To zahrnuje kořenové servery, jmenné servery, globální servery nejvyšší úrovně, ukazatele CName a autoritativní adresní servery. Nástroj také usnadňuje rozlišení vztahů mezi jednotlivými jmennými servery a cílovými IP adresami pomocí schématu struktury DNS. Kromě toho graficky znázorňuje přesměrování z jednoho DNS serveru na druhý.
SolarWinds DNS Structure Analyzer nemusí být určen pro všechny, nicméně pro ty, kteří tento typ nástroje potřebují, je nenahraditelný. Jelikož je součástí bezplatné zkušební verze Engineer’s Toolset, doporučujeme vám jej vyzkoušet a sami se přesvědčit o jeho užitečnosti.
Další nástroje obsažené v sadě Engineer’s Toolset
Sada SolarWinds Engineer’s Toolset obsahuje mnoho užitečných nástrojů pro odstraňování problémů. Naleznete zde nástroje jako Ping Sweep, DNS Analyzer a TraceRoute, které lze využít k diagnostice sítě a rychlému řešení složitých problémů. Pro správce sítí, kteří kladou důraz na bezpečnost, jsou k dispozici nástroje pro simulaci útoků na síť a identifikaci zranitelných míst.
Sada SolarWinds Engineer’s Toolset má také vynikající nástroje pro monitorování a upozorňování. Některé z nich monitorují vaše zařízení a upozorní vás, pokud zjistí problémy s dostupností nebo funkčností. Díky tomu máte dostatek času na reakci dříve, než si uživatelé problémů vůbec všimnou. Navíc můžete využít nástroje pro správu konfigurace a konsolidaci protokolů.
Níže je seznam dalších nástrojů, které najdete v sadě SolarWinds Engineer’s Toolset, kromě nástrojů DNS audit a DNS Structure Analyzer:
Skener portů
Mapování přepínačů portů
Sweep SNMP
IP Network Browser
Vyhledávač MAC adres
Ping Sweep
Monitor doby odezvy
Monitor CPU
Monitor rozhraní
TraceRoute
Dešifrování hesla routeru
Útok hrubou silou SNMP
Útok slovníkem SNMP
Config Compare, Downloader, Uploader a Editor
SNMP trap editor a příjemce SNMP trap
Kalkulačka podsítí
Monitor rozsahu DHCP
DNS Structure Analyzer
DNS audit
Správa IP adres
WAN killer
SolarWinds Engineer’s Toolset nabízí mnoho nástrojů, příliš mnoho na to, abychom je všechny zmínili. Díky bezplatné 14denní zkušební verzi je nejlepší si balíček sami stáhnout a vyzkoušet jeho možnosti.
2. GRC’s DNS Benchmark
Název tohoto nástroje vypovídá hodně o jeho funkčnosti. Pokud si nejste jisti, zda výběr serverů DNS neovlivňuje negativně vaše internetové zážitky, GRC DNS Benchmark nabízí jedinečný, komplexní, přesný a bezplatný nástroj pro Windows – a Linux (za použití Wine) – pro určení přesné výkonnosti místních i vzdálených DNS serverů.
I když je GRC DNS Benchmark nabitý funkcemi, které uspokojí i ty nejzkušenější a nejnáročnější administrátory, a nabízí možnosti pro detailní analýzu výkonu DNS, je zároveň extrémně jednoduchý na používání i pro běžné a nové uživatele. Další výhodou je jeho cena. Ačkoli se nejedná o open-source produkt, je zcela zdarma a dostupný pro každého.
3. Nslookup
Další položkou na našem seznamu je užitečný nástroj pro řešení problémů, který je součástí většiny operačních systémů, včetně všech moderních verzí Windows, s názvem nslookup. I když je jako nástroj pro odstraňování problémů často přehlížen, přináší značnou hodnotu. Nslookup je jedním ze základních nástrojů pro ověření správné konfigurace DNS serverů. Jeho název je zkratkou pro „name server lookup“.
Nejlepší způsob, jak pochopit jeho funkčnost, je vidět nslookup v praxi. Začneme tedy krátkou ukázkou. Použití příkazu je jednoduché, stačí jej zadat a následně zadat doménu, na kterou se chcete dotazovat. V našem příkladu použijeme www.google.com.
Příkaz by vypadal takto:
C:>nslookup www.google.com
Odpověď od nslookup by vypadala takto:
Server: my.local.dns.server Address: 10.10.10.10 Non-authoritative answer: Name: www.google.com Addresses: 2607:f8b0:4002:80f::2004 172.217.4.4
První dva řádky odpovědi informují, jaký server se používá k získání informací a IP adresu tohoto serveru. Ve výchozím nastavení se použije první DNS server, který je nastaven v počítači, kde se příkaz používá. Nslookup dále sděluje, že poskytuje neautoritativní odpověď. Nemusíte se tím znepokojovat, znamená to pouze, že server, který poskytl odpověď, získal informace od jiného serveru. Autoritativní odpověď z vašeho lokálního DNS serveru by byla překvapením. Obvykle se s ní setkáte při dotazu na jiný místní počítač. Dále následují informace o vašem dotazu, jméno a IP adresa nebo adresy. V našem příkladu dotaz vrátil jak IPV6, tak IPV4 adresu.
Nslookup má i interaktivní režim, který se aktivuje zadáním samotného příkazu. Po spuštění nástroje, si můžete všimnout, že příkazový řádek se změní na “ >“ – a jste připraveni zadávat příkazy přímo.
Existuje mnoho různých způsobů, jak můžete dotazovat DNS servery pomocí nslookup. Můžete například získat informace o nastavení poštovního serveru zadáním „set type=mx“ v interaktivním režimu. Také se můžete připojit ke konkrétnímu DNS serveru zadáním například „server 8.8.8.8“ pro připojení k DNS serveru společnosti Google.
Nslookup nabízí mnoho dalších možností a pomáhá uživatelům lépe porozumět službě doménových jmen. I když jde o zastaralý nástroj a mnoho uživatelů by uvítalo jeho nahrazení modernější variantou – jako je například náš další nástroj dig – stále zůstává jedním z nejvíce používaných DNS nástrojů.
4. Dig
Dig je další nástroj příkazového řádku, který získává na popularitě. Jeho účel je téměř totožný s nslookup, ale jeho syntaxe je odlišná. Odpovědi z dig jsou o něco propracovanější než odpovědi z nslookup. To je jeden z důvodů, proč dig plně nenahradil svého staršího předchůdce. Dalším důvodem je, že nslookup je součástí téměř každého systému, zatímco dig se vyskytuje jen na některých distribucích Linuxu. Je sice možné jej nainstalovat do jakéhokoli počítače s Linuxem nebo Windows, ale pro mnoho administrátorů je jednodušší použít nslookup, který funguje stejně dobře.
Typický dig dotaz vypadá takto:
$ dig -t mx www.google.com ; <<>> DiG 9.10.3-P4-Ubuntu <<>> -t mx www.google.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 40683 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;www.google.com. IN MX ;; AUTHORITY SECTION: google.com. 60 IN SOA ns1.google.com. dns-admin.google.com. 164707171 900 900 1800 60 ;; Query time: 61 msec ;; SERVER: 127.0.1.1#53(127.0.1.1) ;; WHEN: Wed Aug 09 14:34:03 EDT 2017 ;; MSG SIZE rcvd: 113
Jak vidíte, je mnohem propracovanější než typická odpověď nslookup.
5. Online DNS nástroje – DNSstuff
Poslední kategorií nástrojů, o kterých budeme hovořit, jsou online DNS nástroje. Tyto nástroje mohou být velmi užitečné, jelikož nabízejí jiný pohled na DNS, a to z pohledu vzdáleného zařízení z internetu. Existuje nespočet webových stránek, které nabízejí DNS nástroje. Liší se v přesných nástrojích, které poskytují, nicméně všechny alespoň umožňují získání veřejné IP adresy z plně kvalifikovaného názvu domény.
Například DNSstuff je jednou z takových stránek, která nabízí přibližně tucet různých nástrojů pro testování různých aspektů DNS, včetně propracovaného a snadno použitelného ekvivalentu nslookup nebo dig. Hlavní nevýhodou těchto nástrojů je obvykle nemožnost výběru konkrétního DNS serveru. Získáte tak pohled ze vzdáleného internetového umístění.