COLGIO SANTA ANA & NOESA

CURSO MDIO TCNICO DE INFORMTICA

EUCLIDES LUS

DNS E DHCP

ANO LECTIVO DE 2015

INTRODUO

DNS a sigla em ingls para Domain Name System (Sistema de Nomes e Domnios, em
portugus), responsvel por descodificar os nomes dos domnios dos sites que as pessoas
digitam nos navegadores web em nmeros IP.
DHCP (Dynamic Host Configuration Protocol) uma sigla usada no meio informtico que
significa Protocolo de Configurao Dinmica de Endereos de Rede. Atravs do DHCP
possvel fazer uma configurao automtica e dinmica de computadores que estejam ligados
a uma rede TCP/IP.

Neste trabalho de mbito cientfico abordarei detalhadamente acerca desses dois protocolos.

DNS
O Domain Name System (DNS) um sistema de gerenciamento de nomes hierrquico e
distribudo para computadores, servios ou qualquer recurso conectado Internet ou em uma
rede privada. Ele baseia-se em nomes hierrquicos e permite a inscrio de vrios dados
digitados alm do nome do host e seu IP. Em virtude do banco de dados de DNS ser
distribudo, seu tamanho ilimitado e o desempenho no degrada tanto quando se adiciona
mais servidores nele. Este tipo de servidor usa como porta padroa 53. A implementao do
DNS-Berkeley, foi desenvolvido originalmente para o sistema operacional BSD UNIX 4.3.
A

implementao

do

Servidor

de

DNS Microsoft se

tornou

parte

do

sistema

operacional Windows NT na verso Server 4.0. O DNS passou a ser o servio de resoluo de
nomes padro a partir do Windows 2000 Server como a maioria das implementaes de DNS
teve suas razes nas RFCs 882 e 883, e foi atualizado nas RFCs 1034 e 1035.
O servidor DNS traduz nomes para os endereos IP e endereos IP para nomes respectivos, e
permitindo a localizao de hosts em um domnio determinado. Num sistema livre o servio
implementado pelo software BIND. Esse servio geralmente se encontra localizado no
servidor DNS primrio.
O servidor DNS secundrio uma espcie de cpia de segurana do servidor DNS primrio.
Assim, ele se torna parte necessria para quem que usar a internet de uma forma mais fcil e
evita que hackers roubem seus dados pessoais.
Existem 13 servidores DNS raiz no mundo todo e sem eles a Internet no funcionaria. Destes,
dez esto localizados nos Estados Unidos da Amrica, um na sia e dois na Europa. Para
Aumentar a base instalada destes servidores, foram criadas rplicas localizadas por todo o
mundo.
Ou seja, os servidores de diretrios responsveis por prover informaes como nomes e
endereos das mquinas so normalmente chamados servidores de nomes. Na Internet, os
servios de nomes usado o DNS, que apresenta uma arquitetura cliente/servidor, podendo
envolver vrios servidores DNS na resposta a uma consulta.

VISO GERAL
Um recurso da internet, por exemplo um site da Web, pode ser identificado de duas maneiras:
pelo seu nome de domnio, por exemplo, www.wikipedia.org ou pelo endereo de IP dos
equipamentos que o hospedam (por exemplo, 208.80.152.130 o IP associado ao domnio
www.wikipedia.org. Endereos de IP so usados pela camada de rede para determinar a
localizao fsica e virtual do equipamento. Nomes de domnio, porm, so
mais mnemnicos para o usurio e empresas. ento necessrio um mecanismo para traduzir
um nome de domnio em um endereo IP. Esta a principal funo do DNS.
Ocasionalmente, presume-se que o DNS serve apenas o objetivo de mapear nomes
de hosts da Internet a dados e mapear endereos para nomes de host. Isso no correto, o
DNS um banco de dados hierrquico (ainda que limitado), e pode armazenar quase qualquer
tipo de dados, para praticamente qualquer finalidade.
HIERARQUIA
Devido ao tamanho da internet, armazenar todos os pares domnio - endereo IP em um nico
servidor DNS seria invivel, por questes de escalabilidade que incluem:
Confiabilidade: se o nico servidor de DNS falhasse, o servio se tornaria indisponvel
para o mundo inteiro.

Volume de trfego: o servidor deveria tratar os pedidos DNS do planeta inteiro.

Distncia: grande parte dos usurios estaria muito distante do servidor, onde quer que
ele fosse instalado, gerando grandes atrasos para resolver pedidos DNS.

Manuteno do banco de dados: o banco de dados deveria armazenar uma quantidade

de dados enorme e teria que ser atualizado com uma frequncia muito alta, toda vez que
um domnio fosse associado a um endereo IP.

SERVIDORES DNS
Os servidores DNS se dividem nas seguintes categorias:

Servidores-raiz: Um servidor-raiz (root name server) um servidor de nome para a

zona raiz do DNS (Domain Name System). A sua funo responder diretamente s
requisies de registros da zona raiz e responder a outras requisies retornando uma
lista dos servidores de nome designados para o domnio de topo apropriado. Os
servidores raiz so parte crucial da Internet porque eles so o primeiro passo em
traduzir nomes para endereos IP e so usados para comunicao entre hosts.

Servidores de domnio de topo (top-level domain): Cada domnio formado por

nomes separados por pontos. O nome mais direita chamado de domnio de topo.
Exemplos de domnios de topo so .com, .org, .net, .edu, .infe .gov.

Cada servidor de domnio de topo conhece os endereos dos servidores autoritativos que
pertencem quele domnio de topo, ou o endereo de algum servidor DNS intermedirio que
conhece um servidor autoritativo.

Servidores com autoridade: O servidor com autoridade de um domnio possui os

registros originais que associam aquele domnio a seu endereo de IP. Toda vez que
um domnio adquire um novo endereo, essas informaes devem ser adicionadas a
pelo menos dois servidores autoritativos . Um deles ser o servidor autoritativo
principal e o outro, o secundrio. Isso feito para minimizar o risco de, em caso de
erros em um servidor DNS, perder todas as informaes originais do endereo daquele
domnio.

Com essas trs classes de servidores, j possvel resolver qualquer requisio DNS. Basta
fazer uma requisio a um servidor raiz, que retornar o endereo do servidor de topo
responsvel. Ento repete-se a requisio para o servidor de topo, que retornar o endereo do
servidor autitativo ou algum intermedirio. Repete-se a requisio aos servidores
intermedirios (se houver) at obter o endereo do servidor autoritativo, que finalmente
retornar o endereo IP do domnio desejado.
MELHORIA E PERFOMANCE
Dois recursos so usados em conjunto para reduzir a quantidade de requisies que os
servidores raiz devem tratar e a quantidade de requisies feitas para resolver cada consulta:

Cache:Toda vez que um servidor retorna o resultado de uma requisio para a qual ele
no autoridade (o que pode acontecer no mtodo de resoluo recursivo), ele
armazena temporariamente aquele registro. Se, dentro do tempo de vida do registro,
alguma requisio igual for feita, ele pode retornar o resultado sem a necessidade de
uma nova consulta. Note que isso pode provocar inconsistncia, j que se um domnio
mudar de endereo durante o tempo de vida do cache, o registro estar desatualizado.
Apenas o servidor autoritativo tem a garantia de ter a informao correta. possvel
exigir na mensagem de requisio DNS que a resposta seja dada pelo servidor
autoritativo.

Servidor local:Esse tipo de servidor no pertence a hierarquia DNS, mas

fundamental para o seu bom funcionamento. Em vez de fazer requisies a um
servidor raiz, cada cliente faz sua requisio a um servidor local, que geralmente fica
muito prximo do cliente fisicamente, por exemplo um Servidor Proxy. Ele se
encarrega de resolver a requisio. Com o uso de cache, esses servidores podem ter a
resposta pronta, ou ao menos conhecer algum servidor mais prximo ao autoritativo
que o raiz (por exemplo, o servidor de topo), reduzindo a carga dos servidores raiz.

DHCP
O DHCP, Dynamic Host Configuration Protocol (Protocolo de configurao dinmica de
host), um protocolo de servio TCP/IP que oferece configurao dinmica de terminais,
com concesso de endereos IP de host, Mscara de sub-rede, Default Gateway (Gateway
Padro), Nmero IP de um ou mais servidores DNS, Nmero IP de um ou mais servidores
WINS e Sufixos de pesquisa do DNS. Este protocolo o sucessor do BOOTP que, embora
mais simples, tornou-se limitado para as exigncias atuais. O DHCP surgiu como padro em
Outubro de 1993.
FUNCIONAMENTO BSICO
DHCP opera da seguinte forma:
Um cliente envia um pacote UDP em broadcast (destinado a todas as mquinas) com
uma requisio DHCP (para a porta 67);

Os servidores DHCP que capturarem este pacote iro responder (se o cliente se
enquadrar numa srie de critrios) para a porta 68 do Host solicitante com um pacote com
configuraes onde constar, pelo menos, um endereo IP, umamscara de rede e outros
dados opcionais, como o gateway, servidores de DNS, etc...

O DHCP usa um modelo cliente-servidor, no qual o servidor DHCP mantm o gerenciamento

centralizado dos endereos IP usados na rede.

TERMOS UTILIZADOS NO DHCP

Servidor DHCP: um servidor onde foi instalado e configurado o servio DHCP.
Aps a instalao de um servidor DHCP ele tem que ser autorizado no Active
Directory, antes que ele possa, efetivamente, atender a requisies de clientes. O
procedimento de autorizao no Active Directory uma medida de segurana, para
evitar que servidores DHCP sejam introduzidos na rede sem o conhecimento do

administrador. O servidor DHCP no pode ser instalado em um computador com o

Windows 2000 Professional, Windows XP Professional ou Windows Vista. Alm do
Windows Server, o servio de DHCP tambm pode ser instalado nas distribuies
LINUX, como o servio DHCP3 Server, que j vem na maioria das distribuies
LINUX de rede.
Servidor DHCP: um servidor onde foi instalado e configurado o servio DHCP.
Aps a instalao de um servidor DHCP ele tem que ser autorizado no Active
Directory, antes que ele possa, efetivamente, atender a requisies de clientes. O
procedimento de autorizao no Active Directory uma medida de segurana, para
evitar que servidores DHCP sejam introduzidos na rede sem o conhecimento do
administrador. O servidor DHCP no pode ser instalado em um computador com o
Windows 2000 Professional, Windows XP Professional ou Windows Vista. Alm do
Windows Server, o servio de DHCP tambm pode ser instalado nas distribuies
LINUX, como o servio DHCP3 Server, que j vem na maioria das distribuies
LINUX de rede.
Escopo: Um escopo o intervalo consecutivo completo dos endereos IP possveis
para uma rede (por exemplo, a faixa de 10.10.10.100 a 10.10.10.150, na rede
10.10.10.0/255.255.255.0). Em geral, os escopos definem uma nica sub-rede fsica,
na rede na qual sero oferecidos servios DHCP. Os escopos tambm fornecem o
mtodo principal para que o servidor gerencie a distribuio e atribuio de endereos
IP e outros parmetros de configurao para clientes na rede, tais como o Default
Gateway, Servidor DNS e assim por diante.
Superescopo: Um superescopo um agrupamento administrativo de escopos que
pode ser usado para oferecer suporte a vrias sub-redes IP lgicas na mesma sub-rede
fsica. Os superescopos contm somente uma lista de escopos associados ou escopos
filhos que podem ser ativados em cojunto. Os superescopos no so usados para
configurar outros detalhes sobre o uso de escopo. Para configurar a maioria das
propriedades usadas em um superescopo, voc precisa configurar propriedades de
cada escopo associado, individualmente. Por exemplo, se todos os computadores
devem receber o mesmo nmero IP de Default Gateway, este nmero tem que ser
configurado em cada escopo, individualmente. No tem como fazer esta configurao
no Superescopo e todos os escopos (que compem o Superescopo), herdarem estas
configuraes.
Intervalo de excluso: Um intervalo de excluso uma seqncia limitada de
endereos IP dentro de um escopo, excludo dos endereos que so fornecidos pelo
DHCP. Os intervalos de excluso asseguram que quaisquer endereos nesses
intervalos no so oferecidos pelo servidor para clientes DHCP na sua rede. Por
exemplo, dentro da faixa 10.10.10.100 a 10.10.10.150, na rede

10.10.10.0/255.255.255.0 de um determinado escopo, onde podemos criar uma faixa

de excluso de 10.10.10.120 a 10.10.10.130. Os endereos da faixa de excluso no
sero utilizados pelo servidor DHCP para configurar os clientes DHCP.
Pool de endereos: Aps definir um escopo DHCP e aplicar intervalos de excluso, os
endereos remanescentes formam o pool de endereos disponveis dentro do escopo.
Endereos em pool so qualificados para atribuio dinmica pelo servidor para
clientes DHCP na sua rede. No nosso exemplo, onde temos o escopo com a faixa
10.10.10.100 a 10.10.10.150, com uma faixa de excluso de 10.10.10.120 a
10.10.10.130, o nosso pool de endereos formado pelos endereos de 10.10.10.100 a
10.10.10.119, mais os endereos de 10.10.10.131 a 10.10.10.150.
Concesso: Uma concesso um perodo de tempo especificado por um servidor
DHCP durante o qual um computador cliente pode usar um endereo IP que ele
recebeu do servidor DHCP (diz-se atribudo pelo servidor DHCP). Uma concesso
est ativa quando ela est sendo utilizada pelo cliente. Geralmente, o cliente precisa
renovar sua atribuio de concesso de endereo com o servidor antes que ela expire.
Uma concesso torna-se inativa quando ela expira ou excluda no servidor. A
durao de uma concesso determina quando ela ir expirar e com que freqncia o
cliente precisa renov-la no servidor.
Tipos de opo: Tipos de opo so outros parmetros de configurao do cliente que
um servidor DHCP pode atribuir aos clientes. Por exemplo, algumas opes usadas
com freqncia incluem endereos IP para gateways padro (roteadores), servidores
WINS (Windows Internet Name System) e servidores DNS (Domain Name System).
Geralmente, esses tipos de opo so ativados e configurados para cada escopo. O
console de Administrao do servio DHCP tambm permite a voc configurar tipos
de opo padro que so usados por todos os escopos adicionados e configurados no
servidor. A maioria das opo predefinida atravs da RFC 2132, mas podemos usar o
console DHCP para definir e adicionar tipos de opo personalizados, se necessrio.
CRITRIOS DE ATRIBUIO DE IPS
O DHCP, dependendo da implementao, pode oferecer trs tipos de alocao de endereos
IP:
Atribuio manual - Onde existe uma tabela de associao entre o Endereo MAC do
cliente (que ser comparado atravs do pacote broadcast recebido) e o endereo IP (e
dados restantes) a fornecer. Esta associao feita manualmente pelo administrador de
rede; por conseguinte, apenas os clientes cujo MAC consta nesta lista podero receber
configuraes desse servidor;

Atribuio automtica - Onde o cliente obtm um endereo de um espao de

endereos possveis, especificado pelo administrador. Geralmente no existe vnculo entre
os vrios MAC habilitados a esse espao de endereos;

Atribuio dinmica - O nico mtodo que dispe a reutilizao dinmica dos

endereos. O administrador disponibiliza um espao de endereos possveis, e cada
cliente ter o software TCP/IP da sua interface de rede configurados para requisitar um
endereo por DHCP assim que a mquina for ligada na rede. A alocao utiliza um
mecanismo de aluguel do endereo, caracterizado por um tempo de vida. Aps a mquina
se desligar, o tempo de vida naturalmente ir expirar, e da prxima vez que o cliente se
conectar, o endereo provavelmente ser outro.

Algumas implementaes do software servidor de DHCP permitem ainda a atualizao

dinmica dos servidores de DNS para que cada cliente disponha tambm de um DNS. Este
mecanismo utiliza o protocolo de atualizao do DNS especificado no RFC 2136.

SEGURANA DO DHCP
A base de protocolo DHCP no inclui qualquer mecanismo de autenticao. Por isso,
vulnervel a uma variedade de ataques. Estes ataques se dividem em trs categorias
principais:

Fornecimento de informaes falsas a clientes por servidores DHCP no autorizados.

Acesso aos recursos da rede por clientes no autorizados.

Ataques exaustivos aos recursos da rede advindos de clientes DHCP mal

intencionados.

Porque o cliente no tem como validar a identidade de um servidor DHCP, servidores DHCP
no autorizados podem ser operados em redes, prestao de informaes incorrectas aos
clientes DHCP. Isso pode servir tanto como um ataque de negao de servio, impedindo o
cliente de ter acesso a conectividade de rede. Porque o servidor DHCP fornece o cliente
DHCP com endereos IP do servidor, como o endereo IP de um ou mais servidores DNS, um
atacante pode convencer um cliente DHCP para fazer pesquisas atravs de seu DNS seu
prprio servidor DNS, e pode, portanto, fornecer suas prprias respostas a consultas DNS do
cliente. Por sua vez, permite que o atacante para redirecionar o trfego de rede atravs de si,
permitindo-lhe escutar as conexes entre os servidores de rede do cliente e ele entra em
contato, ou simplesmente para substituir os servidores de rede com o seu prprio. Porque o

servidor DHCP no tem nenhum mecanismo seguro para autenticar o cliente, os clientes
podem obter acesso no autorizado aos endereos IP de apresentao de credenciais, tais
como identificadores do cliente, que pertencem a outros clientes DHCP. Isso tambm permite
que os clientes DHCP para esgotar o DHCP armazenamento de servidor de endereos IP-,
apresentando novas credenciais cada vez que ele pede um endereo, o cliente pode consumir
todos os endereos IP disponveis em um link de rede particular, impedindo outros clientes
DHCP da obteno de servios. DHCP fornece alguns mecanismos para mitigar esses
problemas.
O Rel de Agente de Informaes extenso protocolo Option (RFC 3046) permite que os
operadores de rede para conectar marcas a mensagens DHCP uma vez que estas mensagens
chegam na rede de confiana do operador de rede. Esta tag ento usado como um token de
autorizao para controlar o acesso do cliente aos recursos da rede. Porque o cliente no tem
acesso rede a montante do agente de retransmisso, a falta de autenticao no impede que o
operador do servidor DHCP de confiar no token de autorizao.
Outro ramal, autenticao para DHCP mensagens (RFC 3118), fornece um mecanismo para
autenticao de mensagens DHCP. Infelizmente RFC 3118 no viu a adopo generalizada
por causa dos problemas de gerenciamento de chaves para um grande nmero de clientes
DHCP.