|
Nun kann hosts aber mehr, und zwar auch rückwärts: IP in Namen
"auflösen". Das nennt man
reverse-lookups. Um nicht ein neues
Schema (neben Domains und Zones) zu benötigen, hat man einfach
die Zones benutzt, das Konzept ist ja flexibel - schließlich kann
man nicht alle Domains durchfragen, bis man die Adresse gefunden
hat!
Diese Art der Auflösung wird vor allem bei
sicherheitsempfindlichen Diensten verwendet. Das Tool
nslookup
(siehe auch Abschnitt "Testen der Konfigurationen")
beispielsweise prüft, ob die IP-Adresse zu einem DNS-Server
existiert (macht also ein Reverse Lookup), und auch NFS-Server
lösen Client-IP-Adressen rückwärts auf. Der Sinn darin ist, DNS
Spoof-Angriffe zu erschweren.
Bei diesen Angriffen werden
DNS-Namen gefälscht, beispielsweise durch einen Eindringling auf
einem DNS-Server. Da häufig für Vorwärts- und Rückwärtsauflösung
verschiedene Server und vor allem verschiedene Delegationen
verwendet werden, muß ein Angreifer häufig die Kontrolle über
zwei DNS-Server erlangen, hat also etwas schlechtere Chancen.
Dafür gibt es einen neuen Domain-Namensraum, der nicht Namen
als Domains benutzt, sondern IP-Adressen. Dieser ist ziemlich
unabhängig vom "normalen" Namensraum! Diese Domain
hat man "arpa" genannt (eben aus historischen Gründen).
Da es für alle Klassen (z.B. Internet) eigene Adressen gibt,
ist auch diese Teil des Namens. Internet-Adressen sind
in-addr, also heißt die Domain
"in-addr.arpa.". Dieser Baum enthält dann letztlich
alle IP-Adressen. Diese muß man natürlich delegieren können!
Dabei gibt es eine Besonderheit: die allgemeineren, die
Netzwerknamen (Domainnamen) stehen ja hinten,
z.B. ist "www" ein Host im Netzwerk
"selflinux.de.". Bei IP-Adressen steht das Netzwerk
aber vorn, der Hostanteil hinten! Bei der
Delegation wird ein bestimmter Teil (etwas
"Allgemeineres", z.B. eine Domain) delegiert.
Wenn man das jetzt mit IP-Adressen macht, kann man nicht den
ersten Teil einer IP-Adresse delegieren, denn dann hätte man
ein "Loch" - den Hostanteil - das erst in einer
tieferen Instanz gefüllt werden könnte! Also muß man die
IP-Adresse byteweise umdrehen, so wird aus
"192.168.1.2" "2.1.168.192".
Nun steht der Netzwerkanteil hinten, und man kann einen Teil
delegieren, wie auch bei Domainnamen.
Das kann
man wie bei Namen an jedem "." machen. Die Zone
"in-addr.arpa." enthält also 255 Zonen, eine davon ist
"192.in-addr.arpa.", diese enthält wiederum 255 Zonen
usw. Rebecca liegt also in Zone
"1.168.192.in-addr.arpa.". Diese benötigt erst einmal
einen SOA Record. Namensserver und EMail seien wie oben.
|
SelfLinux 
