Hypertext Transfer Protocol (Secure) Domain Name System HTTP(S) & DNS Hypertext Transfer Protocol (Secure) Domain Name System Fach: Netzwerktechnik Lehrekraft: Herr U. Bücken Gruppe: Mario Brakhage und Oliver Bethke

Domain Name System (1) Einer der wichtigsten Dienste im Internet DNS ist eine verteilte Datenbank Verwaltet den Namensraum im Internet Standart Port: 53 Hauptaufgabe: Domainname  IP-Adrsse HTTP(S) & DNS

Domain Name System (2) Löste die hosts-Dateien ab! Zeichnet sich aus durch: dezentrale Verwaltung hierarchische Strukturierung des Namensraums in Baumform Eindeutigkeit der Namen Erweiterbarkeit Löste die hosts-Dateien ab! Host Datei wird neben bei wegen der Einfachheit weitergenutzt HTTP(S) & DNS

Forward Lookup Umsetzung von Domainname in IP-Adressen z.B. ita-04.de  193.201.54.82 DNS ermöglicht eine Entkopplung vom darunterliegenden Aufbau z. B. Änderung der IP-Adresse, ohne den Domainnamen ändern zu müssen Kunkel Willi 3168 Mozartstr. 31 Kuntz Petre & Gisela 95751 Heinikenalle 7a Kunz Hans 5689 -Schlossstr. 23 Kurat Christina 82547 -Eichelweg 1 Ita-04.de 193.201.54.82 Hypertrophic.de 217.195.36.30 www.bk-alsdorf.de 10.115.64.11 Google.de 216.239.59.104 Wikipedia.de 195.114.99.123 Gmx.de 213.165.64.215 Kika.de 193.22.36.176 HTTP(S) & DNS

Reserver Lookup Inverssuche Auflösung von IP-Adressen in Domainamen z.B. 193.201.54.82  ita-04.de HTTP(S) & DNS

Komponenten des DNS Der DNS besteht aus drei Hauptkomponenten Domain-Namensraum Namensservern Resolver HTTP(S) & DNS

Domain-Namensraum (1) Hat eine baumförmige Struktur Blätter und Knoten des Baumes werden als Labels bezeichnet Ein kompletter Domainname eines Objektes besteht aus der Verkettung aller Labels Label sind Zeichenketten mindestens ein Zeichen maximal 63 Zeichen werden durch Punkte voneinander getrennt Ein Domain Name wird mit einem Punkt abgeschlossen Ein korrekter, vollständiger Domain Name wird auch Fully Qualified Domain Name (FQDN) genannt z.B. forum.ita-04.de. (der letzte Punkt gehört zum Domain Name) als einziges Sonderzeichen ist '-' erlaubt der hinterste Punkt wird normalerweise weggelassen, gehört rein formal aber zu einem vollständigen Domain Namen dazu Ein korrekter, vollständiger Domain Name(auch Fully Qualified Domain Name (FQDN) genannt) lautet etwa www.wikipedia.de. (der letzte Punkt gehört zum Domain Name). HTTP(S) & DNS

Domain-Namensraum (2) Domain Namen dürfen inklusive aller Punkte maximal 255 Zeichen lang sein Domain Name werden immer von rechts nach links delegiert und aufgelöst Der Punkt am rechten Ende eines Domainnamens trennt das Label für die erste Hierarchieebene von der root Diese erste Ebene wird auch als Top Level Domain (TLD) bezeichnet. z.b. de, com, org, nl, net, eu Die DNS-Objekte einer Domäne werden als Satz von Resource Records gehalten. -Ein Domain Name wird immer von rechts nach links delegiert und aufgelöst, das heißt je weiter rechts ein Label steht, umso höher steht es im Baum. - Die DNS-Objekte einer Domäne (zum Beispiel die Rechnernamen) werden als Satz von Resource Records meist in einer Zonendatei gehalten. - Die DNS-Objekte einer Domäne werden als Satz von Resource Records meist in einer Zonendatei gehalten. HTTP(S) & DNS

Nameserver Nameserver sind Programme, die Anfragen zum Domain-Namensraum beantworten. Man unterscheidet zwischen: autoritativen nicht-autoritativen HTTP(S) & DNS

Autoritativer Nameserver Ist verantwortlich für eine Zone Seine Informationen über diese Zone werden gesichert angesehen Für jede Zone existiert mindestens ein autoritativer Server der Primary Nameserver Dieser wird im SOA Resource Record aufgefürt Fast immer als Server-Cluster realisiert Die Synchronisation zwischen Primary und Secondary Nameservern erfolgt per Zonentransfer. Dieser wird im SOA Resource Record aufgefürt einer Zonendatei aufgeführt. - Aus Redundanz- und Lastverteilungsgründen werden autoritative Nameserver fast immer als Server-Cluster realisiert, wobei die Zonendaten identisch auf einem oder mehreren Secondary Nameservern liegen. HTTP(S) & DNS

Nicht-autoritativer Namensserver Bezieht seine Informationen über eine Zone von anderen Nameservern Seine Informationen werden als nicht gesichert angesehen Speichern die einmal von einem Resolver angefragten Informationen im lokalen RAM ab Jeder dieser Einträge besitzt ein eigenes Verfallsdatum (TTL time to live). Ein Spezialfall ist der caching only Nameserver Ist für keine Zone verantwortlich Muss alle eintreffenden Anfragen über weitere Nameserver auflösen Da sich DNS-Daten normalerweise nur sehr selten ändern, speichern nicht-autoritative Nameserver die einmal von einem Resolver angefragten Informationen im lokalen RAM ab, damit diese bei einer erneuten Anfrage schneller vorliegen. -Die TTL wird dabei durch einen autoritativen Nameserver für diesen Eintrag festgelegt und wird nach der Änderungswahrscheinlichkeit des Eintrages bestimmt (sich häufig ändernde DNS-Daten erhalten eine niedrige TTL). Das kann unter Umständen aber auch bedeuten, dass der Nameserver in dieser Zeit falsche Informationen liefern kann, wenn sich die Daten zwischenzeitlich geändert haben. HTTP(S) & DNS

Strategien (1) Delegierung Weiterleitung Teile des Namensraumes einer werden an Subdomains mit dann eigens zuständigen Nameservern ausgelagert Ein Nameserver einer Domäne kennt die zuständigen Nameserver für diese Subdomains aus seiner Zonendatei Delegiert Anfragen zu diesem untergeordneten Namensraum an einen dieser Nameserver Weiterleitung Falls der angefragte Namensraum außerhalb der eigenen Domäne lieg, wird die Anfrage an einen fest konfigurierten Nameserver weitergeleitet. Damit ein nicht-autoritativer Nameserver Informationen über andere Teile des Namensraumes finden kann, bedient er sich folgender Strategien. HTTP(S) & DNS

Strategien (2) Auflösung über die Root-Server Werden befragt wenn: kein Weiterleitungsserver konfiguriert wurde dieser nicht antwortet Dazu werden in Form einer statischen Datei die Namen und IP-Adressen der Root-Server hinterlegt Es gibt 13 Root-Server (Server A bis M) Die Root-Server beantworten ausschließlich iterative Anfragen DNS-Anfragen werden normalerweise auf Port 53 UDP beantwortet Falls die Antwort sehr umfangreich ausfällt (größer 512 Bytes), wird auf Port 53 TCP übermittelt Zonentransfers werden stets auf Port 53 TCP durchgeführt Die Root-Server beantworten ausschließlich iterative Anfragen. Sie wären sonst mit der Anzahl der Anfragen schlicht überlastet. HTTP(S) & DNS

Resolver sind Ansammlungen von Bibliotheken die Informationen aus den Nameservern abrufen können Sie bilden die Schnittstelle zwischen Anwendung und Nameserver Der Resolver übernimmt die Anfrage einer Anwendung Arbeitet entweder iterativ oder rekursiv informiert den Nameserver über die verwendete Arbeitsweise Der Resolver übernimmt die Anfrage einer Anwendung, ergänzt sie falls notwendig zu einem FQDN und übermittelt sie an den fest konfigurierten Nameserver. Übliche Resolver von Clients arbeiten ausschließlich rekursiv, sie werden dann auch als Stub-Resolver bezeichnet. HTTP(S) & DNS

rekursive Anfragen Der Resolver schickt eine Anfrage an einen ihm bekannten Nameserver erwartet von ihm eine eindeutige Antwort Diese Antwort enthält entweder den gewünschten Resource Record „gibt es nicht“ Die so gewonnene Antwort übergibt der Resolver an das Programm, das die Daten angefordert hat Rekursiv arbeitende Resolver überlassen also die Arbeit zur vollständigen Auflösung anderen. HTTP(S) & DNS

Iterative Anfragen Der Resolver bekommt entweder den gewünschten Resource Record die Adresse eines weiteren Nameserver, den er als nächsten fragt Der Resolver hangelt sich so von Nameserver zu Nameserver bis er bei einem autoritativen Nameserver landet. Die so gewonnene Antwort übergibt der Resolver an das Programm, das die Daten angefordert hat HTTP(S) & DNS

Beispiel Die Adresse von A.root-servers.net (198.41.0.4) wird als bekannt vorausgesetzt $ dig +norecurse @198.41.0.4 www.example.net net. 172800 IN NS A.GTLD-SERVERS.net. A.GTLD-SERVERS.net. 172800 IN A 192.5.6.30 $ dig +norecurse @192.5.6.30 www.example.net example.net. 172800 IN NS a.iana-servers.net. a.iana-servers.net. 172800 IN A 192.0.34.43 $ dig +norecurse @192.0.34.43 www.example.net www.example.net. 172800 IN A 192.0.34.166 Die Ausgabe ist auf das Wesentliche gekürzt. HTTP(S) & DNS

Hypertext Transfer Protocol Hintergrund HTTP im TCP/IP-Protokollstapel Funktionsweise Protokollversion HTTP-Request-Methoden (Befehle) HTTP-Statuscodes HTTPS HTTP(S) & DNS

Hintergrund HTTP Protokoll erstellt: 1989 von Tim Berners-Lee zusammen mit URL & HTML Protokoll für Übertragungen im Internet (Webseiten, ...) idR von Webbrowsern verwendet HTTP(S) & DNS

Hintergrund HTTP ist zustandslos Verbindung wird nach Übertragung von Daten unterbrochen jede weitere Anfrage erfordert eine neue Verbindung HTTP(S) & DNS

HTTP im TCP/IP-Protokollstapel OSI-Model Schicht (OSI 5 - 7) Anwendung (OSI 7) Darstellung (OSI 6) Sitzung (OSI 5) Anwendung HTTP Transport TCP Netzwerk IP Netzzugang Ethernet Token Ring FDDI ... HTTP(S) & DNS

Funktionsweise Beispiel: http://www.ita-04.de/index.html Host: www.ita-04.de Datei: index.html Der Host wird jeder zuerst über DNS- einer IP-Adresse zugeordnet. HTTP(S) & DNS

Funktionsweise Anfrage: GET /index.html HTTP/1.1 Host: www.ita-04.de HTTP(S) & DNS

Funktionsweise Antwort: HTTP/1.1 200 OK Server: Apache/1.3.29 (Unix) PHP/4.3.4 Content-Length: (Größe von index.html in Byte) Content-Language: de Content-Type: text/html Connection: close (Inhalt von infotext.html) HTTP(S) & DNS

Protokollversion Derzeit werden zwei Protokollversionen verwendet: HTTP/1.0 benötigt für jede neue Datei (z.B. Bilder in einer HTML) eine neue TCP-Verbindung HTTP/1.1 mehrer Anfragen und Antworten können durch eine TCP-Verbindung gesendet und empfangen werden ermöglicht es Daten zum Server zu senden bzw. Daten auf dem Server zu löschen (PUT-Methode) die Möglichkeit besteht, den Weg zum Webserver zu verfolgen HTTP(S) & DNS

HTTP-Request-Methoden GET Anforderung von Inhalten von Servern POST Anforderung von Inhalten von Servern Übermittlung von Name/Wert-Paaren aus Formularen HEAD Senden des HTTP-Headers, nicht des eigentlichen Dokumentinhalt (z.B. für die Prüfung der Gültigkeit einer Datei im Browsercache) PUT dient dazu, Dateien unter Angabe des Ziel-URIs auf einen Webserver hochzuladen DELETE löscht die angegebene Datei auf dem Server TRACE liefert die Anfrage so zurück, wie der Server sie empfangen hat OPTIONS liefert eine Liste der vom Server unterstützen Methoden und Features CONNECT wird von Proxy-Servern implementiert, die in der Lage sind, SSL-Tunnel zur Verfügung zu stellen. HTTP(S) & DNS

HTTP-Statuscodes (Auszug) 1xx Informationen (Die Bearbeitung der Anfrage dauert trotzdem an) 2xx Erfolgreiche Operation (Die Bearbeitung der Anfrage kann durchgeführt werden) 3xx Umleitung (Um eine erfolgreiche Bearbeitung der Anfrage sicherzustellen sind weitere Schritte seitens des Clients erforderlich) 4xx Client-Fehler (Nicht klar von den so genannten Server-Fehlern abzugrenzen. Die Ursache des Scheiterns der Anfrage liegt jedoch eher im Verantwortungsbereich des Clients) 5xx Server-Fehler (Nicht klar von den so genannten Client-Fehlern abzugrenzen. Die Ursache des Scheiterns der Anfrage liegt jedoch eher im Verantwortungsbereich des Servers) erweiterte Liste HTTP(S) & DNS

HTTPS (Hypertext Transfer Protocol Secure) ein Netzwerkprotokoll, das eine gesicherte HTTP-Verbindung zwischen Rechnern ermöglicht Daten werden über SSL/TLS (Verschlüsselungsprotokoll für Datenübertragungen, Transportschicht (OSI 4)) verschlüsselt HTTPS-Verbindungen laufen über TCP Port: 443 Verschlüsselung über digitale Zertifikate Protokoll ist ohne digitale Zertifikate sehr schnell verwundbar (Sicherheitslücke) HTTP(S) & DNS

Danke für die Aufmerksamkeit HTTP(S) & DNS

HTTP-Statuscodes (1/5) 1xx Informationen (Die Bearbeitung der Anfrage dauert trotzdem an) 100 Continue 101 Switching Protocols 102 Processing HTTP(S) & DNS

HTTP-Statuscodes (2/5) 2xx Erfolgreiche Operation (Die Bearbeitung der Anfrage kann durchgeführt werden) 200 OK 201 Created 202 Accepted 203 Non-Authoritative Information 204 No Content 205 Reset Content 206 Partial Content 207 Multi-Status HTTP(S) & DNS

HTTP-Statuscodes (3/5) 3xx Umleitung (Um eine erfolgreiche Bearbeitung der Anfrage sicherzustellen sind weitere Schritte seitens des Clients erforderlich) 300 Multiple Choices 301 Moved Permanently 302 Found303See Other 304 Not Modified 305 Use Proxy 307 Temporary Redirect HTTP(S) & DNS

HTTP-Statuscodes (4/5) 4xx Client-Fehler (Nicht klar von den sogenannten Server-Fehlern abzugrenzen. Die Ursache des Scheiterns der Anfrage liegt jedoch eher im Verantwortungsbereich des Clients) 400Bad Request 401 Unauthorized 402 Payment Required 403 Forbidden 404 Not Found 405 Method Not Allowed 406 Not Acceptable 407 Proxy Authentication Required 408 Request Time-out 409 Conflict 410 Gone 411 Length Required 412 Precondition Failed 413 Request Entity Too Large 414 Request-URI Too Long 415 Unsupported Media Type 416 Requested range not satisfiable 417 Expectation Failed 422 Unprocessable Entity 423 Locked 424 Failed Dependency HTTP(S) & DNS

HTTP-Statuscodes (5/5) 5xx Server-Fehler (Nicht klar von den sogenannten Client- Fehlern abzugrenzen. Die Ursache des Scheiterns der Anfrage liegt jedoch eher im Verantwortungsbereich des Servers) 500 Internal Server Error 501 Not Implemented 502 Bad Gateway 503 Service Unavailable 504 Gateway Time-out 505 HTTP Version not supported 507 Insufficient Storage 509 Bandwidth Limit Exceeded Zurück HTTP(S) & DNS

Signature Algorithm: md5WithRSAEncryption Certificate: Data: Version: 3 (0x2) Serial Number: 1 (0x1) Signature Algorithm: md5WithRSAEncryption Issuer: C=XY, ST=Austria, L=Graz, O=TrustMe Ltd, OU=Certificate Authority, CN=CA/Email=ca@trustme.dom Validity Not Before: Oct 29 17:39:10 2000 GMT Not After : Oct 29 17:39:10 2001 GMT Subject: C=DE, ST=Austria, L=Vienna, O=Home, OU=Web Lab, CN=anywhere.com/Email=xyz@anywhere.com Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (1024 bit) Modulus (1024 bit): 00:c4:40:4c:6e:14:1b:61:36:84:24:b2:61:c0:b5: d7:e4:7a:a5:4b:94:ef:d9:5e:43:7f:c1:64:80:fd: 9f:50:41:6b:70:73:80:48:90:f3:58:bf:f0:4c:b9: 90:32:81:59:18:16:3f:19:f4:5f:11:68:36:85:f6: 1c:a9:af:fa:a9:a8:7b:44:85:79:b5:f1:20:d3:25: 7d:1c:de:68:15:0c:b6:bc:59:46:0a:d8:99:4e:07: 50:0a:5d:83:61:d4:db:c9:7d:c3:2e:eb:0a:8f:62: 8f:7e:00:e1:37:67:3f:36:d5:04:38:44:44:77:e9: f0:b4:95:f5:f9:34:9f:f8:43 Exponent: 65537 (0x10001) HTTP(S) & DNS

X509v3 Subject Alternative Name: X509v3 extensions: X509v3 Subject Alternative Name: email:xyz@anywhere.com Netscape Comment: mod_ssl generated test server certificate Netscape Cert Type: SSL Server Signature Algorithm: md5WithRSAEncryption 12:ed:f7:b3:5e:a0:93:3f:a0:1d:60:cb:47:19:7d:15:59:9b: 3b:2c:a8:a3:6a:03:43:d0:85:d3:86:86:2f:e3:aa:79:39:e7: 82:20:ed:f4:11:85:a3:41:5e:5c:8d:36:a2:71:b6:6a:08:f9: cc:1e:da:c4:78:05:75:8f:9b:10:f0:15:f0:9e:67:a0:4e:a1: 4d:3f:16:4c:9b:19:56:6a:f2:af:89:54:52:4a:06:34:42:0d: d5:40:25:6b:b0:c0:a2:03:18:cd:d1:07:20:b6:e5:c5:1e:21: 44:e7:c5:09:d2:d5:94:9d:6c:13:07:2f:3b:7c:4c:64:90:bf: Zurück HTTP(S) & DNS