Thủ thuật máy tính: Network

Hiển thị các bài đăng có nhãn Network. Hiển thị tất cả bài đăng

Thứ Năm, 19 tháng 3, 2020

Các loại bản ghi trên DNS

Sau khi tìm hiểu sơ lược về các khái niệm trong DNS, bài viết này sẽ đi sâu vào tìm hiểu một số bản ghi ( Resource Record ) và chức năng của chúng trong hệ thống DNS.

1. SOA (Start of Authority)#

Trong mỗi tập tin cơ sở dữ liệu DNS phải có một và chỉ một record SOA (Start of Authority). Bao gồm các thông tin về domain trên DNS Server, thông tin về zone transfer.

Cú pháp :

$TTL 86400
@       IN SOA  masterdns.tuanda.com.     admin.tuanda.com. (
                                  2014090401    ; serial
                                        3600    ; refresh
                                        1800    ; retry
                                      604800    ; expire
                                       86400 )  ; TTL

masterdns.tuanda.com. giá trị DNS chính của tên miền hoặc máy chủ.
admin.tuanda.com. chuyển đổi từ dạng admin@tuanda.com, thể hiện chủ thể sở hữu tên miền này.

Serial : áp dụng cho mọi dữ liệu trong zone và có định dạng YYYYMMDDNN với YYYY là năm, MM là tháng, DD là ngày, NN là số lần sửa đổi dữ liệu zone trong ngày. Luôn luôn phải tăng số này lên mỗi lần sửa đổi dữ liệu zone. Khi máy chủ Secondary liên lạc với máy chủ Primary, trước tiên nó sẽ hỏi số serial. Nếu số serial của máy Secondary nhỏ hơn số serial của máy Primary tức là dữ liệu zone trên Secondary đã cũ và sao đó máy Secondary sẽ sao chép dữ liệu mới từ máy Primary thay cho dữ liệu đang có.

Refresh : chỉ ra khoảng thời gian máy chủ Secondary kiểm tra sữ liệu zone trên máy Primary để cập nhật nếu cần. Giá trị này thay đổi tùy theo tuần suất thay đổi dữ liệu trong zone.

Retry : nếu máy chủ Secondary không kết nối được với máy chủ Primary theo thời hạn mô tả trong refresh (ví dụ máy chủ Primary bị shutdown vào lúc đó thì máy chủ Secondary phải tìm cách kết nối lại với máy chủ Primary theo một chu kỳ thời gian mô tả trong retry. Thông thường, giá trị này nhỏ hơn giá trị refresh).

Expire : nếu sau khoảng thời gian này mà máy chủ Secondary không kết nối được với máy chủ Primary thì dữ liệu zone trên máy Secondary sẽ bị quá hạn. Khi dữ liệu trên Secondary bị quá hạn thì máy chủ này sẽ không trả lời mỗi truy vấn về zone này nữa. Giá trị expire này phải lớn hơn giá trị refresh và giá trị retry.

TTL (time to live) : giá trị này áp dụng cho mọi record trong zone và được đính kèm trong thông tin trả lời một truy vấn. Mục đích của nó là chỉ ra thời gian mà các máy chủ name server khác cache lại thông tin trả lời.

2. NS (Name Server)#

Record tiếp theo cần có trong zone là NS (name server) record. Mỗi name server cho zone sẽ có một NS record. Chứa địa chỉ IP của DNS Server cùng với các thông tin về domain đó.

Ví dụ : Record NS sau :

cloud365.vn. IN NS ns1.zonedns.vn.
cloud365.vn. IN NS ns2.zonedns.vn.

Chỉ ra hai name servers cho miền Thực hiện bởi cloud365.vn.

3. Record A#

Là một record căn bản và quan trọng, dùng để ánh xạ từ một domain thành địa chỉ IP cho phép có thể truy cập website. Đây là chức năng cốt lõi của hệ thống DNS. Record A có dạng như sau:

cloud365.vn A 103.101.161.201

Tên miền con (subdomain):

sub.cloud365.vn A 103.101.161.201

4. Record AAAA#

Có nhiệm vụ tương tự như bản ghi A, nhưng thay vì địa chỉ IPv4 sẽ là địa chỉ IPv6.

5. Record PTR#

Hệ thống tên miền thông thường cho phép chuyển đổi từ tên miền sang địa chỉ IP. Trong thực tế, một số dịch vụ Internet đòi hỏi hệ thống máy chủ DNS phải có chức năng chuyển đổi từ địa chỉ IP sang tên miền. Tên miền ngược thường được sử dụng trong một số trường hợp xác thực email gửi đi.

Ví dụ về dạng thức một bản ghi PTR như sau:

90.163.101.103.in-addr.arpa IN PTR masterdns.tuanda.com.

đối với IPv4, hoặc đối với IPv6:

0.0.0.0.0.0.0.0.0.0.0.0.d.c.b.a.4.3.2.1.3.2.1.0.8.c.d.0.1.0.0.2.ip6.arpa IN PTR masterdns.tuanda.com.

6. Record SRV#

Bản ghi SRV được sử dụng để xác định vị trí các dịch vụ đặc biệt trong 1 domain, ví dụ tên máy chủ và số cổng của các máy chủ cho các dịch vụ được chỉ định. Ví dụ:

_ldap._tcp.example.com. 3600  IN  SRV  10  0  389  ldap01.example.com.

Một Client trong trường hợp này có thể nhờ DNS nhận ra rằng, trong tên miền example.com có LDAP Server ldap01, mà có thể liên lạc qua cổng TCP Port 389 .

Các trường trong record SRV :
- Tên dịch vụ service.
- Giao thức sử dụng.
- Tên miền (domain name).
- TTL: Thời gian RR được giữ trong cache
- Class: standard DNS class, luôn là IN
- Ưu tiên: ưu tiên của host, số càng nhỏ càng ưu tiên.
- Trọng lượng: khi cùng bực ưu tiên, thì trọng lượng 3 so với trọng lượng 2 sẽ được lựa chọn 60% (hỗ trợ load balancing).
- Port của dịch vụ (tcp hay udp).
- Target chỉ định FQDN cho host hỗ trợ dịch vụ.

7. Record CNAME (Canonical Name)#

Cho phép tên miền có nhiều bí danh khác nhau, khi truy cập các bí danh sẽ cũng về một địa chỉ tên miền. Để sử dụng bản ghi CNAME cần khai báo bản ghi A trước. Ví dụ bản ghi CNAME phổ biến nhất:

www   CNAME   example.com

mail CNAME example.com

example.com   A   103.101.161.201

Khi một yêu cầu đến địa chỉ www.example.com thì DNS sẽ tìm đến example thông qua bản ghi CNAME, một truy vấn DNS mới sẽ tiếp tục tìm đến địa chỉ IP: 103.101.161.201 thông qua bản ghi A.

8. Record MX#

Bản ghi MX có tác dụng xác định, chuyển thư đến domain hoặc subdomain đích. Bản ghi MX có dạng

example.com    MX    10    mail.example.com.
mail.example.com    A    103.101.161.201

Độ ưu tiền càng cao thì số càng thấp.

example.com MX 10 mail_1.example.com
example.com MX 20 mail_2.example.com
example.com MX 30 mail_3.example.com

Bản ghi MX không nhất thiết phải trỏ đến hosting – VPS- Server của người dùng. Nếu người dùng đang sử dụng dịch vụ mail của bên thứ ba như Gmail thì cần sử dụng bản nghi MX do họ cung cấp.

9. Record TXT#

Bản ghi TXT(text) được sử dụng để cung cấp khả năng liên kết văn bản tùy ý với máy chủ. Chủ yếu dùng trong mục đích xác thực máy chủ với tên miền.

10. Record DKIM#

Là bản ghi dùng để xác thực người gửi bằng cách mã hóa một phần email gửi bằng một chuỗi ký tự, xem như là chữ ký.

Khi email được gửi đi máy chủ mail sẽ kiểm so sánh với thông tin bản ghi đã được cấu hình trong DNS để xác nhận. Bản ghi DKIM có dạng:

    mail._domainkey.cloud365.vn     TXT  k=rsa;p=MIIBIjANBgkqhkiG9w0BA

11. Record SPF#

Record SPF được tạo ra nhầm đảm bảo các máy chủ mail sẽ chấp nhận mail từ tên miền của khách hàng chỉ được gửi đi từ server của khách hàng. Sẽ giúp chống spam và giả mạo email. Bản ghi SPF thể hiện dưới dạng:

cloud365.vn   SPF     "v=spf1 ip4:103.101.162.0/24 -all" 3600

Tùy vào hệ thống DNS mà có thể hiển thị bản ghi SPF hoặc TXT Với bản ghi SPF, máy chủ tiếp nhận mail sẽ kiểm tra IP của máy chủ gửi và IP của máy chủ đã đăng kí bản ghi SPF example.com. Nếu Khách hàng có nhiều máy chủ mail nên liệt kê tất cả trong bản ghi SPF giúp đảm bảo thư đến được chính xác và đầy đủ.

** Tài liệu tham khảo:

https://vnnic.vn/diachiip/hotro/c%C3%A1c-c%C3%A2u-h%E1%BB%8Fi-%C4%91%C3%A1p-v%E1%BB%81-t%C3%AAn-mi%E1%BB%81n-ng%C6%B0%E1%BB%A3c

https://vnnic.vn/sites/default/files/tailieu/huong_dan_khai_bao_ten_mien_nguoc.pdf

https://vi.wikipedia.org/wiki/SRV_Record#C%E1%BA%A5u_tr%C3%BAc

https://www.dns-school.org/Documentation/bind-arm/Bv9ARM.ch01.html

ftp://ftp.isc.org/www/bind/arm95/Bv9ARM.ch06.html#acache https://securitydaily.net/tim-hieu-he-thong-ten-mien-dns-domain-name-system/

Thực hiện bởi cloud365.vn

Written by Đoàn Anh Tuấn

Đọc tiếp ...

Thứ Tư, 12 tháng 10, 2016

FTP Active and Passive mode

Ko giống với hầu hết các giao thức khác trên Internet, FTP yêu cầu nhiều port để làm việc. Khi 1 ứng dụng FTP client khởi tạo 1 kết nối đến 1 FTP server, nó sẽ mở port 21 trên server-gọi là "command port". Port này đc dùng để đưa ra các câu lệnh đến server.
Bất kỳ dữ liệu nào đc yêu cầu từ server sẽ đc đưa trở lại client thông qua "data port".
Port number cho kết nối và cách mà việc kết nối dữ liệu đc khởi tạo phụ thuộc vào cách mà client gửi yêu cầu đến theo dạng active hay passive.
1/Active mode: client chỉ là kẻ bắt đầu 1 phiên giao dịch
Trong active mode, client sẽ là kẻ đưa ra yêu cầu phiên kết nối từ port cao(>1024) đến port 21 của server.

+Ngay sau khi nhận đc yêu cầu này, server sẽ đáp trả lại 1 ACK đến client. Đồng thời, client cũng sẽ lắng nghe trên 1 port cao nào đó, chờ đợi tín hiệu đến từ server.
+Sau khi đã thiết lập đc kết nối, server sẽ dùng port 20 của nó để truyền dữ liệu đến 1 port cao khác đang lắng nghe trên client
+Một vấn đề xảy ra cho phía client, đó là firewall. Thực chất, client ko phải là kẻ bắt đầu phiên truyền dữ liệu mà chính xác là nó sẽ lắng nghe trên 1 port nào đó đã đc server biết trước để server connect tới.Với firewall, việc một tín hiệu từ bên ngoài cố gắng kết nối vào bên trong sẽ bị deny!
2/Passive mode:client là kẻ bắt đầu cả 2 phiên giao dịch

+Với vấn đề firewall cho active mode nên đã xuất hiện mode thứ 2 trong FTP là passive mode.
+Tại passive mode thì client là kẻ ra lệnh, trong cả 2 lần thì client đều là kẻ chủ động đưa ra kết nối, điều này khắc phục tình trạng firewall ở trên
+Khi khởi tạo kết nối, client sẽ đồng thời tạo ra 2 port cao. Port đầu tiên dùng để kết nối đến port 21 của server, và port thứ 2 sẽ dùng để vận chuyển dữ liệu
+Port thứ nhất sẽ liên lạc với server qua port21 và nói cho server biết rằng đây là passive mode.Khi biết đây là passive mode thì server sẽ lắng nghe trên 1 port cao, ko phải port20 và sẽ trả lại thông tin cho client biết rằng đang lắng nghe ở port nào. Sau khi đã biết port lắng nghe tại server, client sẽ dùng port cao thứ 2 để kết nối đến port cao mới đc tạo ra tại server, server sẽ đáp trả lại bằng 1 ACK để chấp nhận!

-----Summary------

Active FTP :

command : client( port >1024) ---> server(port 21)
data : client ( port>1024 ) <--- server (port 20)

Passive FTP :

command : client (port>1023) ---> server (port 21)
data : client(port >1024) ---> server(port >1024)
Nguồn: http://nguyenvcuong.blogspot.com/2010/08/ftp-active-and-passive-mode.html

Đọc tiếp ...

Thứ Ba, 11 tháng 10, 2016

Port - Cổng giao tiếp

Trong giao thức TCP và UDP, port là số nguyên 16 bit được chèn vào phần đầu (header) của mỗi gói tin. Chẳng hạn, phía người dùng (client) có thể yêu cầu một máy chủ nào đó trên Internet cung cấp dịch vụ chia sẻ tập tin (file) qua máy chủ FTP. Để đáp ứng yêu cầu này, lớp phần mềm TCP trên máy của bạn phải nhận diện được port số 21 (đăng ký sẵn cho dịch vụ FTP) trong số các port 16 bit số nguyên được ghép theo gói tin yêu cầu của bạn. Tại máy chủ, lớp TCP sẽ đọc port 21 và chuyển tiếp yêu cầu đến máy chủ FTP.

Hay nói cách khác, với một địa chỉ IP, chúng ta chỉ có thể xác định được một máy tính duy nhất trên mạng, tuy nhiên khi một máy tính chạy nhiều dịch vụ khác nhau thì chúng phải được phân biệt bởi khái niệm port. Ví dụ, máy chủ A (Server A) có dịch vụ web, DNS và FTP server, có địa chỉ IP là 210.245.126.14. Các máy tính khác khi muốn đến Server A thì cần đến địa chỉ IP (hay tên miền), nhưng để phân biệt dịch vụ là web, DNS hay FTP, cần xác định thêm port. Chẳng hạn, khi máy B muốn truy nhập dịch vụ web trên server A, trong gói tin gửi đi, IP đích sẽ là 210.245.126.14 và port đích sẽ là 80. Cùng lúc đó có máy C truy nhập đến dịch vụ DNS trên server A thì trong gói tin IP gửi đi, IP đích vẫn là 210.245.126.14 nhưng port đích sẽ là 53. Tương tự, máy D truy cập đến dịch vụ FTP trên server A, IP đích sẽ là 210.245.126.14 và port là 21. Thông thường các ứng dụng thường ẩn các port này để giảm tính phức tạp của giao thức TCP/IP.

Có tất cả 65535 cổng (port) và được chia thành 3 đoạn: Well Known Port (WKP), Registered Port (RP) và Dynamic/Private Port (D/PP). WKP gồm các port từ 0 đến 1023 và được giữ cho các ứng dụng phổ biến như web (port 80), mail (port 25), ftp (port 21)... RP gồm các port từ 1024 đến 49151. Còn D/PP là các port từ 49152 đến 65535. IANA qui định WKP và RP phải được đăng ký với IANA (iana.org) trước khi sử dụng.

Cổng phổ biến (Well Known Port 0-1023)

Trong tầm từ 0-1023, hầu hết các port đã được đăng ký, tham khảo tại iana.org/assignments/port-numbers. Trong đó, nổi bật có các port phổ biến được liệt kê theo danh sách bên dưới. Với mạng cá nhân, muốn triển khai được các dịch vụ, chẳng hạn web server, ftp server... hệ thống của bạn phải mở các port tương ứng. Ứng với mỗi thiết bị định tuyến (router) của từng hãng, bạn sẽ có cách mở port khác nhau. Để dễ dàng mở các port cũng như hướng dẫn chi tiết trên từng router, bạn có thể vào trang portforward.com để tìm đúng router đang có. Trang web này luôn cập nhật danh sách router mới nhất của nhiều hãng.

Một điều cần lưu ý trước khi mở port là bạn nên kiểm tra lại hệ thống đã mở sẵn cổng này chưa bằng cách vào trang www.grc.com (nhớ tắt firewall trên Windows) hoặc dùng lệnh netstat -an để biết máy của bạn đang sử dụng và "lắng nghe" những port nào.

Danh sách các port thông dụng

20	TCP	File Transfer - FTP data
21	TCP	File Transfer - FTP control
22	TCP/UDP	SSH Remote Login Protocol/ pcAnywhere
23	TCP	Telnet
25	TCP	Simple Mail Transfer Protocol (SMTP)
38	TCP UDP	Route Access Protocol (RAP)
42	UDP	Host Name Server - Microsoft WINS
45	TCP	Message Processing Module (receive)
46	TCP	Message Processing Module (send)
50	TCP UDP	Remote Mail Checking Protocol (RMCP)
66	TCP UDP	Oracle SQL*NET
69	TCP UDP	Trivial File Transfer Protocol (TFTP)
88	TCP UDP	Kerberos Network Authentication Service
101	TCP UDP	Network Information Center (NIC) Hostname Server
110	TCP UDP	Post Office Protocol (POP) Version 3
118	TCP UDP	SQL Services
119	TCP UDP	Network News Transfer Protocol
130	TCP UDP	Cisco FNATIVE
143	TCP UDP	Internet Message Access Protocol (IMAP) Mail Server
161	TCP UDP	SNMP
211	TCP UDP	Texas Instruments 914C/G Terminal
280	TCP UDP	http-mgmt
314	TCP UDP	Opalis Robot
333	TCP UDP	Texar Security Port
742	TCP UDP	Network Revision Control System
747	TCP UDP	Fujitsu Device Control
749	TCP UDP	Kerberos Administration
767	TCP UDP	Phonebook
777	TCP UDP	Multiling HTTP
800	TCP UDP	MDBS Daemon, Remotely Possible (Remote Control)
989	TCP UDP	FTP Data Over TLS/SSL
990	TCP UDP	FTP Control Over TLS/SSL
991	TCP UDP	Netnews Administration System
992	TCP UDP	Secure Telnet (over TLS/SSL)
993	TCP UDP	Secure IMAP4 (over TLS/SSL)
994	TCP UDP	Secure IRC (over TLS/SSL)
995	TCP UDP	Secure POP3 (over TLS/SSL)
996	TCP	Vsinet / Central Point Software Xtree License Server

Cổng đăng ký (Registered port: 1024–49151)

Các cổng TCP và UDP có số từ 1024 đến 49151 được gọi là các cổng đăng ký (registered ports). IANA quản lý danh sách các dịch vụ sử dụng các port trong tầm số này để giảm thiểu việc sử dụng trùng nhau. Không giống nhu các port có số thấp hơn (0-1023), những nhà phát triển dịch vụ TCP/UDP mới có thể chọn một số mới để đăng ký với IANA thay vì dùng trùng số đã đăng ký.

Cổng động/Cổng riêng (Dynamic/ Private Port: 49152–65535)

Các cổng TCP và UDP có số bắt đầu từ 49152 đến 65535 được gọi là port động (dynamic port), port riêng (private port) hay port tạm (ephemeral port). IANA không quản lý Dynamic port cũng như không giới hạn việc sử dụng của người dùng. Các dịch vụ có thể chọn một hoặc vài port ngẫu nhiên miễn phí trong tầm số này khi cần truyền trên nhiều socket.

Ứng dụng

Hãy tưởng tượng, chiếc máy tính giống như ngôi nhà của bạn và port sẽ giống như các cửa ra vào. Bạn muốn mời một người nào đó vào nhà, nghĩa là phải chỉ cho họ biết lối vào (địa chỉ nhà) và mở sẵn cửa đón khách. Tương tự với máy tính, bạn phải cho biết server đang lắng nghe (listening) ở port nào để client biết và gửi yêu cầu. Router trong mô hình bên dưới giữ vai trò như một người gác cổng. Nó sẽ mở các port dịch vụ trong mạng.

Đức Thịnh
Tham khảo: iana.org; compnetworking.about.com; wikipedia.org

Đọc tiếp ...