DNS

internetin nimipalvelujärjestelmä
Tämä artikkeli kertoo internetin nimipalvelujärjestelmästä. Muita merkityksiä kerrotaan täsmennyssivulla.

DNS (engl. Domain Name System eli nimipalvelujärjestelmä) on hajautettu järjestelmä, jonka avulla voidaan nimetä tietokoneita ja palveluja Internetissä tai muissa IP-verkoissa. Se on tärkeä osa internetin infrastruktuuria, ja se toimii puhelinluettelon tavoin kääntäen verkkotunnuksia IP-osoitteiksi (esimerkiksi fi.wikipedia.org on 185.15.59.224).[1][2]

Internetin laitteet kommunikoivat keskenään pitkien numeeristen IP-osoitteiden avulla, joiden muistaminen sellaisenaan olisi hankalaa ja epäkäytännöllistä.[2]

Nimipalvelun toteuttavia palvelimia kutsutaan nimipalvelimiksi ja niitä on neljää eri tyyppiä:[3][4]

  • Paikallinen nimipalvelin (engl. resolver) vastaa käyttäjien nimipalvelupyyntöihin ja hakee niihin vastaukset muilta nimipalvelimilta.
  • Virallinen tai auktoritatiiviset nimipalvelin (engl. authoritative nameserver) sisältää ja tarjoaa tietyn verkkotunnuksen DNS-tietueet eli IP-osoitteet, joihin verkkotunnus osoittaa.
  • Verkkotunnuspalvelin (engl. TLD nameserver) ohjaa pyynnöt oikealle viralliselle nimipalvelimelle. Niitä on jokaista verkkotunnuspäätettä (kuten .com, .fi, .org...) kohden, ja ne sisältävät nimipalvelintiedot kaikille verkkotunnuksille, jotka loppuvat kyseiseen päätteeseen. Niitä hallitsee IANA.
  • Juuripalvelin (engl. root nameserver) ohjaa pyynnöt oikealle verkkotunnuspalvelimelle. Niitä on yhteensä 13 kappaletta, ja niitä hallitsee IANA.

Nimipalvelun historia

muokkaa

Tietokoneita on nimetty niiden keksimisestä lähtien, samoin tietoverkkoja. DNS on rakennettu tukemaan IP-protokollaa käyttäviä verkkoja ja nimipalvelun kannalta on epäolennaista kuinka nimet toimivat muissa verkoissa.

IP-verkon alkuaikana osoitteille annettiin nimiä ainoastaan hosts-tiedostossa, jonka kopiota jaettiin koneiden välillä.[5] Laitekannan kasvaessa menetelmä ei ollut käytännöllinen, ja vuonna 1983 Jon Postel pyysi Paul Mockapetrisiä ratkaisemaan nimiin liittyvän ongelman. Alkuperäinen nimipalvelun määritelmä löytyy dokumenteista RFC 882 ja RFC 883. Vuonna 1987 nimipalvelun määritelmiä päivitettiin RFC 1034- ja RFC 1035 -dokumenteissa, jolloin muodostui nykyisen nimipalvelun perusta.

Nimipalvelua kehitetään edelleen.[6] Vuosien aikana nimipalveluun on lisätty tietoturvaa tukevia tietotyyppejä, sen dynaamisuutta on paranneltu ja määrityksiä täsmennetty.

Ensimmäinen nimipalvelusovellus oli Paul Mockapetrisin luoma JEEVES. Myöhemmin Berkeleyn opiskelijat Douglas Terry, Mark Painter, David Riggle ja Songnian Zhou kirjoittivat sovelluksen uusiksi, ja antoivat sille nimeksi Berkeley Internet Name Domain eli BIND.

Verkkotunnus nimipalvelussa

muokkaa
Pääartikkeli: Verkkotunnus

Verkkotunnuksen osat erotetaan toisistaan pisteellä. Yleensä osat kirjoitetaan järjestyksessä spesifisemmästä laajempaan vasemmalta oikealle, eli juuresta katsottuna oikealta vasemmalle. Ensimmäisen tason verkkotunnus on juuri, joka on pelkkä piste. Juuresta seuraavan tason tunnuksia nimitetään ylätason verkkotunnuksiksi (Top-Level Domain eli TLD). Kaikki ylätason verkkotunnukset ovat säädeltyjä, ja lähes kaikilla ylätason verkkotunnuksilla on oma, erillinen rekisterinsä.

Ylätason verkkotunnuksia on kahta päätyyppiä, maatunnuksia (Country Coded TLD eli ccTLD) ja yleisluontoisia tunnuksia (Generic TLD eli gTLD). Esimerkiksi Suomessa käytettävä maatunnus on fi. Yleisluontoisia puolestaan ovat .com, .org ja .net.[7] Ylätason verkkotunnuksen haltija, Suomessa esimerkiksi Traficom, jakelee edelleen hallinnoimansa ylätason tunnuksen aliverkkotunnukset.[8] Ylätason aliverkkojen kaksiosaisia tunnuksia – esimerkiksi wikipedia.org – kutsutaan verkkotunnuksiksi.

Verkkotunnuksen ylläpitäjä voi edelleen tehdä omalle verkkotunnukselleen aliverkkotunnuksia. Tällainen on esimerkiksi dhcp.inet.fi, jonka alla olevat verkkotunnukset ovat samassa laajakaistaverkossa olevien koneiden tunnuksia.

Verkkotunnuksia IP-osoitteisiin puhelinluettelon tavoin liittävän nimipalvelun lisäksi on olemassa käänteisnimipalvelu, jonka avulla saadaan selville IP-osoitetta vastaava verkkotunnus. Käänteisosoitteiden juuri on in-addr.arpa. Osoitteet muistuttavat tavanomaisia verkkotunnuksia. Merkittävin ero on se, että niihin viitataan eri tietotyypillä kuin tavallisiin nimiin. Käänteisverkkotunnuksen saa palveluntarjoajalta tai Internet-rekisteristä. Euroopan alueella Internet-rekisteri on RIPE.

ISC:n mukaan tammikuussa 2017 internetissä oli 1 062 660 523 nimeä DNS-järjestelmässä.[9]

Verkkotunnuksella voi olla useita osoitteita nimipalvelussa esimerkiksi kuormituksen tasaamisen vuoksi (ks. RFC 1035, RFC 1794).[10]

Resolverit

muokkaa
 
Mallinne resolverin toiminnasta.

Arkikielessä nimipalvelimilla tarkoitetaan usein ainoastaan resolvereja, jotka määritellään Internetin tietokoneille staattisesti tai DHCP:n avulla. Tavallisesti resolvereita määritellään kaksi tai useampia.

Resolvereiden tärkein tehtävä on etsiä vastauksia nimipalvelukyselyihin. Resolverit tallettavat vastauksia välimuistiin, millä vältetään rekursio silloin, kun jotain nimeä kysytään usein. Tämä parantaa resolvereiden tehokkuutta.[11]

Resolverin rekursio selvittää, onko kysytty nimi tai sen osa välimuistissa. Mikäli koko nimi on välimuistissa, eikä vanhentunut, se palautetaan ilman rekursiota. Mikäli vain nimen vähemmän merkitsevä osa on välimuistissa, tehdään ulossuuntautuvia kyselyjä, jotta resolveri pystyy kertomaan pyydetyn tiedon. Samalla se myös tallennetaan välimuistiin. Jos välimuisti on tyhjä, resolveri käyttää vihjetiedostoa, jonne juurinimipalvelimet on merkitty, ja ryhtyy sen kautta täyttämään välimuistiaan.

Resolveri ei saa pitää välimuistissaan tietoja kauempaa kuin nimipalveluun on määritelty. Välimuistissapitämisaikaa (Time to Live eli TTL) säätelevät autoritääristen nimipalvelimien (katso alempana) ylläpitäjät. Käytössä olevan resolverin olisi syytä olla verkossa mahdollisimman lähellä ja tehokkaalla koneella,[12] jotta nimipalvelun käyttötuntuma olisi nopea.

Resolverin tulisi vastata ainoastaan sen organisaation kyselyihin jonka käytössä kone on.[13]

Autoritääriset nimipalvelimet

muokkaa

Autoritääriset nimipalvelimet vastaavat resolvereiden tekemiin kyselyihin. Verkkotunnuksen suhteen vähemmän merkitsevät nimipalvelimet kuten juurinimipalvelimet eivät tiedä lopullista vastausta, mutta tietävät millä nimipalvelimilla enemmän merkitsevä verkkotunnus sijaitsee. Tämä synnyttää rekursion.

Juuri- ja TLD-nimipalvelimia ylläpidetään ammattimaisesti ja ne on hajautettu Jokulähetys (anycast) -tekniikalla. Nimipalvelusisällön TLD-nimipalvelimet saavat verkkotunnusrekisteristä. Kolmannen tason verkkotunnuksille, kuten example.com, auktoritatiiviset nimipalvelimet määrittelee verkkotunnuksen rekisteröijä. Kolmannen tason autoritääriset nimipalvelimet voivat olla enemmän tai vähemmän ammatillisesti ylläpidettyjä.

Jokaisella verkkotunnuksella tulisi olla vähintään kaksi autoritääristä nimipalvelinosoitetta. Osoitteita voi olla enemmän kuin kaksi, ja niitä voi hajauttaa fyysisesti useisiin paikkoihin Jokulähetyksen tai kuormantasaajan avulla. Yhden autoritäärisistä nimipalvelimista täytyy olla master, joka jakaa muille verkkotunnuksesta kopion. Kopioita vastaanottavien koneiden nimi on slave. Verkkotunnuksen kopion siirtymistä masterilta slavelle kutsutaan nimellä zone transfer, joka on tavanomaisesti rajoitettu ainoastaan koneille, jotka ovat nimipalvelimen pääsylistalla tai pitävät hallussaan TSIG-avainta.

Autoritääriset nimipalvelimet voivat ottaa päivityksiä vastaan asiakaskoneilta. Tekniikka, jolla päivitykset toteutetaan, on nimeltään dynaaminen DNS (DynDNS). Päivitysten tarkoituksena on asettaa nimi- ja IP-pareja asiakaskoneen pyynnöstä vastaamaan toisiaan.

Autoritäärisille nimipalvelimille voidaan tehdä eri näkymiä (view) eri verkko-osoitteista, tai osoiteavaruuksista, tuleville kyselyille. Näkymien avulla nimipalvelun ylläpitäjä voi joustavasti ohjailla liikennettä. Ellei näkymien käytön kanssa ole varuillaan niillä voi aiheuttaa outoja ongelmia.

Autoritääristen nimipalvelimien on vastattava kaikkialta Internetistä tuleviin kyselyihin.

Tietueet

muokkaa

Nimipalvelun sisältötieto kulkee tietueiden välityksellä. Nimipalvelun kannalta verkkotunnus on tietue siinä missä nimi-ip-pari. Yleisimmin tarvittuja tietueita ovat:

A Tietue, joka osoittaa IP-osoitteen
PTR IP-osoite, joka osoittaa nimen
MX Tietuetta palvelevat sähköpostipalvelimet
NS Verkkotunnuksen nimipalvelimet
SOA Verkkotunnuksen hallintatiedot
TXT Tietueen osoittama vapaateksti

Tietueissa sallittuja merkkejä ovat kirjaimet, numerot ja yhdysviiva. Pienet sekä isot kirjaimet tarkoittavat samaa ja muut merkit eivät ole sallittuja. Poikkeuksen muodostaa NAPTR-tietue, jossa on sallittu alaviiva ja tietuesisällössä säännölliset lausekkeet.[14] Toinen poikkeus on SRV-tietue, jossa on sallittu alaviivan käyttö.[15]

Seuraavat tietueet ovat verrattaen uusia:

AAAA Tietue, joka osoittaa IPv6-osoitteen
DNAME Verkkotunnusten nimeäminen uudelleen
NAPTR "Puhelinnumerotietue"
SRV Palvelunosoitustietue

Resolveri voi tehdä myös ANY-kyselyn, joka ei ole varsinaisesti tietue. Tehtäessä ANY-kysely vastaus sisältää kaikki tietueet jotka liittyvät nimeen. Vastaavasti autoritäärisille nimipalvelimille voidaan määritellä tähtitietue (wildcard), joka muuntaa verkkotunnuksen määrittelemättömät nimet vastaukseksi joka tähtitietueeseen on määritelty. Kolmas yleisesti tiedossa oleva melkeinselvennä tietue, on SPF (Sender Policy Framework) joka määritellään TXT-tietueen sisällöksi.

Suojaaminen

muokkaa

DNS-tietojen varmistamiseen ja suojaamiseen väärentämisen estämiseksi on kehitetty tekniikoita kuten DNSSEC ja DNS over TLS, joista jälkimmäinen käyttää TLS-kerrosta.

Vaihtoehdot

muokkaa

Vaihtoehtona DNS:lle on kehitetty GNU Name System (GNS), joka on kuvattu IETF-standardissa RFC 9498 - The GNU Name System. GNS:n tarkoituksena on korjata DNS:n turvallisuuteen ja yksityisyydensuojaan liittyviä ongelmakohtia.[16] GNS on kehitetty GNUnetiä varten Deutsche Forschungsgesellschaftin tutkimusrahoituksen tuella.[17] GNS toimii hajautetusti ja se voi toimia myös osittaisena korvikkeena julkisen avaimen infrastruktuureille.[18]

Lähteet

muokkaa
  1. J. Botha, C. Bothma ja Pieter Geldenhuys: Managing E-Commerce in Business, 2. painos, s. 20. Juta and Company Ltd, 2008. ISBN 9780702173042 (englanniksi)
  2. a b Nimipalvelu - Tietoliikenteen perusteet 2 2021 tietoliikenteen-perusteet-2-21.mooc.fi. Viitattu 12.1.2024.
  3. Nimipalvelu - Tietoliikenteen perusteet 2 2021 tietoliikenteen-perusteet-2-21.mooc.fi. Viitattu 12.1.2024.
  4. DNS server types | Cloudflare cloudflare.com.
  5. Internetin historiaa – 1983 CSC – Tieteen tietotekniikan keskus. Viitattu 18.3.2010.
  6. Nimipalveluun liittyvät RFC dokumentit. zytrax.com.
  7. ICANN Top-Level Domains icann.org.
  8. Traficomin verkkotunnuspalvelu. traficom.fi.
  9. Internet Domain Survey, January 2017 ISC. Viitattu 27.11.2017.
  10. DNS Failover: Basic Concepts and Limitations ns1.com. Viitattu 17.7.2022. (englanniksi)
  11. DNS Performance and the Effectiveness of Caching. nms.lcs.mit.edu.
  12. Best Practices in DNS Service-Provision Architecture apricot.net.
  13. Anatomy of Recent DNS Reflector Attacks from the Victim and Reflector Points of View nanog.org. Arkistoitu 19.10.2006. Viitattu 23.9.2007.
  14. The Naming Authority Pointer (NAPTR) DNS Resource Record ietf.org.
  15. A DNS RR for specifying the location of services (DNS SRV) ietf.org.
  16. News gnunet.org. Viitattu 23.11.2023. (englanniksi)
  17. About GNUnet docs.gnunet.org. Viitattu 23.11.2023. (englanniksi)
  18. Matthias Wachs, Martin Schanzenbach, Christian Grothof: A Censorship-Resistant, Privacy-Enhancing and Fully Decentralized Name System (PDF) git.gnunet.org. Viitattu 23.11.2023. (englanniksi)

Aiheesta muualla

muokkaa