Služba doménových jmen neboli DNS je jedním ze základních kamenů moderních IP sítí, včetně internetu, nejznámější sítě ze všech. Jediným účelem DNS je najít IP adresu počítače, když jediné, co máte, je jeho název hostitele. Jakkoli se to může zdát jednoduché, ve skutečnosti je to docela propracované. V měřítku internetu musí být každý uživatel schopen najít IP adresu jakéhokoli zdroje, ať už se tento zdroj nachází kdekoli. V místním měřítku musí DNS přeložit jakýkoli název hostitele na jeho místní IP adresu a předávat požadavky na internetovou adresu veřejným serverům DNS. Pro pomoc správcům sítě při efektivní správě DNS je k dispozici několik různých nástrojů. Některé vám pomohou s nastavením DNS, zatímco jiné pomohou s odstraňováním problémů nebo monitorováním vašeho prostředí DNS. Dnes se podíváme na některé z nejlepších nástrojů DNS, které jsou dnes k dispozici.
Začneme naši diskuzi tím, že se pokusíme vysvětlit, co je DNS a jak funguje. Uděláme vše pro to, aby to bylo co nejméně technické. Dále probereme správu DNS. Podíváme se na různé aspekty správy DNS. A protože je tento článek celý o nástrojích, představíme si různé typy nástrojů DNS, které jsou k dispozici správcům sítě. To nás přirozeně přivede k hlavnímu tématu: nejlepší dostupné nástroje DNS. Probereme některé z nejužitečnějších nástrojů, které nás napadají.
Table of Contents
DNS – co to je a jak to funguje
V počátcích internetu bylo propojeno jen několik hrstek počítačů, aby se nemusely oslovovat těžkopádnými IP adresami, každý počítač má název hostitele a každý propojený počítač měl textový soubor – výstižně nazvaný „hosts“ – který obsahoval korespondenci IP adresy a názvu hostitele všech ostatních počítačů v síti.
Dokud byl omezený počet propojených počítačů, fungovalo to dobře, ale brzy se ukázalo, že je třeba vymyslet nějaký lepší způsob distribuce informací. DNS byl tedy vytvořen speciálně pro tento účel. Stručně řečeno, DNS je distribuovaná verze souboru „hosts“, která dokáže přeložit IP adresu libovolného názvu hostitele. Krása DNS spočívá v tom, že jde o distribuovaný systém, kde každý místní správce odpovídá pouze za udržování aktuálních dat o hostitelích, které spravuje, na serverech DNS.
Každá organizace má obvykle místní server DNS. Je zodpovědný za řešení IP adres pro místní zdroje. Tento server přenese jakýkoli požadavek, který nedokáže vyřešit, svému předávacímu serveru, veřejnému serveru DNS na internetu. Ušetřím vám podrobnosti o tom, jak přesně to dělají, ale každý veřejný jmenný server dokáže přeložit jakýkoli veřejný název hostitele na veřejnou IP adresu. V rozšíření to může udělat i váš místní server DNS, protože bude předávat požadavky na veřejný server.
Jednou z nevýhod této architektury je, že vyřešení IP adresy může chvíli trvat, protože mnoho serverů bude muset přeposlat požadavek jinému. Tento efekt zmírňuje místní ukládání do mezipaměti. Kdykoli server DNS požaduje nějaké informace jménem nebo jiným serverem, bude tyto informace stále ukládat do mezipaměti. Při příštím vyžádání je nebude muset načítat z jiného serveru. Ukládání do mezipaměti však není věčné a dříve nebo později vyprší a vyžaduje, aby servery dotazovaly jiné servery.
Správa DNS
Správa lokálních DNS je důležitým úkolem. Pokaždé, když je do sítě přidáno nové zařízení – ať už je to počítač, tiskárna nebo jakékoli zařízení připojené k síti – musí být jeho název hostitele a odpovídající IP adresa přidány na místní server DNS. V závislosti na tom, jak spravujete IP adresy a jaký nástroj používáte, to může být zcela manuální proces, plně automatizovaný proces nebo cokoli mezi tím.
Dalším důležitým aspektem správy DNS je zajištění, že překlad názvů vašich veřejně dostupných zdrojů – jako je například váš web – je správně nakonfigurován a dostupný na veřejných serverech DNS, aby se k nim mohl dostat každý uživatel.
Další důležitou součástí správy DNS je monitoring. Když je DNS nefunkční, není možný žádný název hostitele k IP adrese a všechny propojené zdroje se stanou nedostupnými. To je určitě něco, čemu by se člověk chtěl vyhnout.
Různé typy nástrojů DNS
K dispozici je několik různých typů nástrojů DNS. Prvním typem jsou nástroje pro audit DNS. Tyto typy nástrojů budou provádět dopředné a zpětné požadavky DNS, aby ověřily, že se oba shodují. To je velmi užitečné, protože neshodné záznamy vpřed a vzad mohou způsobit nejrůznější problémy.
K analýze struktury vaší architektury DNS lze použít jiný typ nástroje. Dokáže odhalit vztahy mezi servery DNS a pomůže vám mít determinističtější přístup k překladu DNS. Jak jsme řekli dříve, předávání požadavků DNS může skončit nějakou dobu, takže budete lepší s efektivní architekturou, kterou vám tento typ nástroje pomůže potvrdit. K tomuto účelu lze také použít srovnávací software DNS. Stejně jako jej lze použít k porovnání výkonu jednoho veřejného serveru DNS s druhým, což by vám mohlo pomoci určit nejlepší veřejný server DNS, na který chcete předávat požadavky.
Další jsou nástroje příkazového řádku, které se obvykle používají k testování překladu názvů ručním dotazováním serverů. Nslookup a Dig jsou dva takové příkazy, na které se podíváme později.
Posledním typem nástrojů jsou online nástroje, které lze použít ke spouštění různých testů orientovaných na DNS z více míst po celém světě. Tyto nástroje vám mohou poskytnout docela dobrou představu o tom, jak jsou vaši hostitelé vyřešeni od vzdálených klientů.
Nejlepší nástroje DNS
S tolika dostupnými typy nástrojů nebylo snadné najít ty nejlepší. Pokusili jsme se najít alespoň jeden z každého typu nástrojů, abyste měli představu o tom, co je k dispozici. Zahrnujeme proto směs lokálně instalovatelných softwarových balíčků, nástrojů příkazového řádku, které jsou již zabudovány přímo do většiny operačních systémů a online nástrojů.
1. Sada nástrojů SolarWinds Engineer (bezplatná zkušební verze)
Naše první dva nástroje jsou součástí sady nástrojů SolarWinds Engineer’s Toolset. Možná už znáte SolarWinds. Možná dokonce používáte některé z jejích produktů. Společnost si vydobyla dobrou pověst díky výrobě některých z nejlepších nástrojů pro správu sítě. Jeho vlajkový produkt, Network Performance Monitor, je mnohými uznáván jako jeden z nejlepších nástrojů pro monitorování sítě. SolarWinds je také známý pro své mnoho bezplatných nástrojů. Jsou to menší nástroje, z nichž každý řeší specifické potřeby síťových administrátorů. Dva příklady těchto bezplatných nástrojů jsou Advanced Subnet Calculator a Kiwi Syslog Server.
Zpět k sadě nástrojů SolarWinds Engineer, toto je balíček více než 60 různých nástrojů. Některé z zahrnutých nástrojů jsou bezplatné nástroje od SolarWinds, zatímco jiné jsou nástroje, které se nacházejí výhradně jako součást tohoto balíčku. Pokud jde o nástroje DNS, dva z nich jsou součástí Engineer’s Toolset, SolarWinds DNS Audit a SolarWinds DNS Structure Analyzer. Pokud jde o další nástroje, které balíček obsahuje, k nim se brzy vrátíme.
1.1 DNS audit SolarWinds (bezplatná zkušební verze se sadou nástrojů inženýra)
Nástroj SolarWinds DNS Audit je většinou užitečný pro administrátory, kteří spravují a konfigurují své DNS ručně. To, co dělá, je docela jednoduché, ale jeho výhody jsou neuvěřitelné. Tento nástroj prohledá rozsah IP adres a zadá reverzní DNS dotazy pro každou adresu. Reverzní DNS je proces dotazování serveru DNS, aby získal název hostitele odpovídající IP adrese místo opaku. Správně nakonfigurovaný server DNS by měl mít reverzní záznam DNS pro každý dopředný záznam, který obsahuje.
Jakmile tedy nástroj dokončí překlad každé IP adresy na název hostitele, pokusí se přeložit každý název hostitele na jeho IP adresu a ohlásí každý záznam, kde byla nalezena neshoda. Výsledek auditu je uveden v tabulkové formě s jedním řádkem pro každou naskenovanou IP adresu.
1.2 SolarWinds DNS Structure Analyzer (BEZPLATNÁ zkušební verze se sadou nástrojů inženýra)
Tento další nástroj ze sady nástrojů SolarWinds Engineer, nástroj SolarWinds DNS Structure Analyzer, se velmi liší v tom, co dělá a jak funguje. Tento nástroj objeví a vytvoří vizuální diagramy hierarchické struktury DNS záznamů o prostředcích DNS vaší organizace, včetně kořenových serverů, jmenných serverů, globálních serverů nejvyšší úrovně, ukazatelů cName a autoritativních adresových serverů. Nástroj také usnadňuje rozlišení vztahů mezi více jmennými servery a cílovými IP adresami pomocí schématu struktury DNS. Dále jsou graficky zobrazena přesměrování z jednoho DNS serveru na druhý.
Nástroj SolarWinds DNS Structure Analyzer nemusí být pro každého, ale pro ty, kteří tento typ nástroje potřebují, nemůže být skutečně překonán. A protože je součástí bezplatné zkušební verze Engineer’s Toolset, můžeme vám jen doporučit, abyste to zkusili a sami se přesvědčili, zda to potřebujete.
Další nástroje zahrnuté v sadě nástrojů inženýra
Sada nástrojů SolarWinds Engineer obsahuje mnoho skvělých nástrojů pro odstraňování problémů. Najdete zde nástroje jako Ping Sweep, DNS Analyzer a TraceRoute, které lze použít k diagnostice sítě a pomoci rychle vyřešit složité problémy se sítí. A správci sítě, kteří si uvědomují bezpečnost, mohou být některé nástroje použity k simulaci útoků na vaši síť a pomáhají identifikovat zranitelná místa.
Sada nástrojů SolarWinds Engineer má také několik vynikajících nástrojů pro monitorování a upozornění. Někteří budou sledovat vaše zařízení a upozorní vás, když zjistí dostupnost nebo zdravotní problémy. To vám často poskytne dostatek času na reakci, než si uživatelé vůbec všimnou, že existuje problém. A aby to bylo ještě lepší, můžete použít některé z zahrnutých nástrojů pro správu konfigurace a konsolidaci protokolů.
Zde jsou některé z nástrojů, které najdete v sadě nástrojů SolarWinds Engineer kromě nástrojů DNS audit a DNS Structure Analyzer.
Skener portů
Přepnout mapovač portů
Sweep SNMP
IP síťový prohlížeč
Zjištění MAC adresy
Ping Sweep
Monitor doby odezvy
Monitor CPU
Monitor rozhraní
TraceRoute
Dešifrování hesla routeru
SNMP útok hrubou silou
SNMP slovníkový útok
Config Compare, Downloader, Uploader a Editor
Editor SNMP trap a přijímač SNMP trap
Podsíťová kalkulačka
Monitor rozsahu DHCP
DNS Structure Analyzer
DNS audit
Správa IP adres
WAN zabiják
Sada nástrojů SolarWinds Engineer obsahuje mnoho nástrojů. Příliš mnoho na to, abych je všechny zmínil. Díky bezplatné 14denní zkušební verzi je možná nejlepší, když si stáhnete balíček a sami se přesvědčíte, co všechno pro vás sada nástrojů může udělat.
2. GRC’s DNS Benchmark
Název tohoto nástroje říká hodně o tom, co to je. Pokud vás zajímá, zda váš výběr serverů DNS nebrání vašemu zážitku z internetu, GRC DNS Benchmark poskytne jedinečný, komplexní, přesný a bezplatný nástroj pro Windows – a Linux při použití Wine – k určení přesného výkonu místních a vzdálených DNS servery.
Přestože je DNS Benchmark společnosti GRC nabitý funkcemi, které uspokojí potřeby i těch nejnáročnějších a zkušených správců sítě – a nabízí funkce navržené tak, aby umožnily seriózní zkoumání výkonu DNS, tento nástroj je také extrémně snadno použitelný, a to i pro příležitostné a poprvé. uživatelů. Jednou z nejlepších vlastností tohoto nástroje je jeho cena. Přestože produkt není open-source, je zdarma a stáhnout si ho může každý.
3. Nslookup
Další na našem seznamu je docela užitečný nástroj pro odstraňování problémů, který je součástí většiny operačních systémů – včetně všech moderních verzí Windows – nazvaný nslookup. Jako nástroj pro odstraňování problémů je často přehlížen, přesto přináší skutečnou hodnotu. Nslookup je jedním z nejzákladnějších nástrojů, které můžete použít k ověření správné konfigurace serverů DNS. Jeho název je zkratka pro „name server lookup“.
Vidět nslookup při práci je nejlepší způsob, jak porozumět tomu, co dělá a jak z toho můžete těžit, takže začneme malou ukázkou. Použití příkazu je poměrně jednoduché, stačí jej zadat a následně zadat cokoli, na co se ptáte. Pro náš příklad použijeme www.google.com.
Příkaz by vypadal takto:
C:>nslookup www.google.com
A takto by vypadala odpověď od nslookup:
Server: my.local.dns.server Address: 10.10.10.10 Non-authoritative answer: Name: www.google.com Addresses: 2607:f8b0:4002:80f::2004 172.217.4.4
První dva řádky odpovědi vám řeknou, jaký server používá k získání informací a adresu IP tohoto serveru. Ve výchozím nastavení použije první server DNS, který je nakonfigurován v počítači, kde příkaz používáte. Ve druhém vám nslookup říká, že poskytuje neautoritativní odpověď. Není to nic, čím bychom se měli znepokojovat. Znamená to pouze, že server poskytující odpověď získal informace z jiného serveru. Ve skutečnosti by bylo docela překvapivé získat autoritativní odpověď ze serveru DNS vašeho místního počítače. Obvykle to uvidíte při dotazu na jiný místní počítač. Dále jsou samozřejmě informace o vašem skutečném dotazu. Nslookup nejprve vypíše jméno, na které jste se zeptali, a poté skutečnou odpověď nebo v konkrétním případě odpovědi. V našem příkladu dotaz vrátil adresu IPV6 i IPV4.
Nslookup má také interaktivní režim, který aktivujete zadáním samotného příkazu. Jakmile je nástroj spuštěn – všimnete si, že se příkazový řádek změní na „>“ – jste připraveni přímo odpovídat na příkazy.
Existuje mnoho různých způsobů, jak můžete dotazovat servery DNS pomocí nslookup. Můžete získat pouze informace o nastavení poštovního serveru zadáním „set type=mx“ v interaktivním režimu. Můžete se také připojit ke konkrétnímu serveru DNS. Chcete-li se například připojit k serveru DNS společnosti Google, zadejte „server 8.8.8.8“.
Nslookup má mnohem více možností a pomůže vám mít znalosti o službě doménových jmen, abyste z ní vytěžili maximum. Přestože se jedná o zastaralý nástroj a mnozí by rádi viděli jeho nahrazení něčím modernějším – jako je náš další nástroj dig – zůstává jedním z nejpoužívanějších nástrojů DNS.
4. Dig
Dig je další nástroj příkazového řádku, který získává na popularitě. Jeho účel je téměř totožný s nslookup, ale jeho syntaxe je trochu odlišná. Také odpovědi z dig jsou o něco propracovanější než ty z nslookup. To je jeden z důvodů, proč dig nedokázal nahradit svého staršího bratrance. Dalším důvodem je, že zatímco nslookup je téměř na každém systému, dig je přítomen pouze na některých distribucích Linuxu. Lze jej nainstalovat na jakýkoli počítač se systémem Linux nebo Windows, ale pro mnoho správců proč se obtěžovat, když nslookup dokončí práci?
Takto vypadá typický dig dotaz:
$ dig -t mx www.google.com ; <<>> DiG 9.10.3-P4-Ubuntu <<>> -t mx www.google.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 40683 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;www.google.com. IN MX ;; AUTHORITY SECTION: google.com. 60 IN SOA ns1.google.com. dns-admin.google.com. 164707171 900 900 1800 60 ;; Query time: 61 msec ;; SERVER: 127.0.1.1#53(127.0.1.1) ;; WHEN: Wed Aug 09 14:34:03 EDT 2017 ;; MSG SIZE rcvd: 113
Jak vidíte, je mnohem propracovanější než typická odpověď nslookupu.
5. Online nástroje DNS – DNSstuff
Poslední sadou nástrojů DNS, o kterých chceme mluvit, jsou online nástroje DNS. Tyto nástroje mohou být velmi užitečné, protože vám poskytnou jiný pohled, pohled vzdáleného zařízení někde na internetu. Existuje nespočet webových stránek, které nabízejí nástroje DNS. Liší se přesnými nástroji, které nabízejí, ale všechny vám alespoň umožní získat veřejnou IP adresu z plně kvalifikovaného názvu domény.
Například DNSstuff je jednou z takových stránek, která nabízí asi tucet různých nástrojů k testování různých aspektů DNS, včetně propracovaného a snadno použitelného ekvivalentu nslookup nebo dig. Hlavní nevýhodou těchto typů nástrojů je, že obvykle nemůžete vybrat konkrétní server DNS. Získáte perspektivu ze vzdáleného internetového umístění.