Bộ Thông tin và Truyền thông

Tổng quan về DNS

Tiêu chuẩn Domain Name System (DNS) - Giao thức Hệ thống tên miền là một tiêu chuẩn do Nhóm chuyên trách kỹ thuật Internet - Internet Engineering Task Force (IETF) phát hành.

Vào năm 1983, hai nhà khoa học máy tính người Mỹ là Jonathan Bruce Postel (Jon Postel), từ Đại học California, thành phố Los Angeles và Paul Mockapetris từ Đại học California, thành phố Irvine đã phát minh ra và đã viết những đặc tả đầu tiên cho hệ thống tên miền. Tiếp đó, tháng 11/1983, những đặc tả kỹ thuật DNS ban đầu được công bố bởi IETF trong RFC 882 để mô tả các định nghĩa và ứng dụng và RFC 883 để mô tả những đặc tả kỹ thuật và cài đặt giao thức. Sau đó những đặc tả này đã được IETF thay thế lần lượt bởi RFC 1034 và RFC 1035 vào tháng 11/1987. Đi kèm với RFC 1034 vàRFC 1035 là những RFC mô tả và định nghĩa giao thức DNS, ví dụ: RFC 920 ban hành tháng 10/1984 (Các yêu cầu tên miền – Các tên miền cấp cao gốc định sẵn); RFC 1591ban hành tháng 03/1994 (Đại diện và Cấu trúc hệ thống tên miền); RFC 1912 ban hành tháng 02/1996 (Các lỗi cấu hình và quản lý DNS phổ biến); RFC 1995 ban hành tháng 08/1996 (Cơ chế chuyển vùng tăng trưởng trong DNS)... Ngoài ra có một số RFC được đề xuất hỗ trợ cho DNS cũng được IETF xây dựng và phát hành như: Giới thiệu và yêu cầu an toàn cho DNS (RFC 4033 ban hành tháng 03/2005); Các bản ghi tài nguyên cho các mở rộng an toàn DNS (RFC 4034 ban hành tháng 03/2005); Giao thức sửa đổi cho các mở rộng an toàn DNS (RFC 4035 ban hành tháng 03/2005)...

Mục tiêu thiết kế chính của DNS là để tham chiếu đến các nguồn tài nguyên. Để tránh những vấn đề gây ra bởi việc mã hóa những ký tự đặc biệt, tên được yêu cầu không nên chứa định danh mạng, địa chỉ mạng, lộ trình hoặc thông tin tương tự liên quan đến tên. DNS là một hệ thống đặt tên phân tán có phân cấp cho các máy tính, dịch vụ hoặc bất kỳ tài nguyên nào kết nối với Internet hoặc mạng riêng. DNS liên kết đa dạng thông tin với tên miền được gán cho mỗi chủ thể tham gia. Một dịch vụ tên miền xử lý những truy vấn các tên miền thành các địa chỉ IP để xác định vị trí các thiết bị và các dịch vụ máy vi tính trên toàn cầu.

Thuật ngữ "tên miền" được sử dụng trong mô tả DNS ở đây để tham chiếu đến một tên có cấu trúc, các tên được phân cách bằng dấu chấm, ví dụ "ISI.EDU“. Mục đích của tên miền là cung cấp một cơ chế để đặt tên cho các tài nguyên sử dụng trong các máy chủ, các mạng máy tính, tập các giao thức và các tổ chức quản lý khác nhau. Một “miền“ được xác định bởi một tên miền. Một miền A là miền con của miền B nếu miền A thuộc miền B. Ví dụ A.B.C.D là một miền con của B.C.D, C.D, D.

DNS chủ yếu sử dụng giao thức UDP trên cổng số 53 để phục vụ các yêu cầu dịch vụ. Truy vấn DNS bao gồm một yêu cầu UDP duy nhất từ ​​các máy khách, theo sau là một UDP trả lời duy nhất từ máy chủ. Giao thức TCP được sử dụng khi kích thước dữ liệu phản hồi vượt quá 512 byte hoặc cho các tác vụ khác.

Các thành phần của DNS

 DNS có ba thành phần chính:

- Không gian tên miền (Domain Name Space) và Bản ghi tài nguyên (Resource Records): là các đặc tả cho một không gian các tên có dạng cây (gọi là cây không gian tên miền hay cây tên miền) và dữ liệu tương ứng với các tên, cụ thể mỗi nút và lá của cây không gian tên miền gồm tập các thông tin. Một truy vấn xác định tên của tên miền cần xử lý và mô tả thông tin tài nguyên mong muốn. Ví dụ: Internet sử dụng một vài tên miền của mình để xác định các máy chủ, các truy vấn tìm các tài nguyên địa chỉ trả lại địa chỉ IP máy chủ.

- Máy chủ tên (Name Servers) là các chương trình máy chủ lưu trữ thông tin về cấu trúc cây không gian tên miền. Một máy chủ tên có thể lưu cấu trúc hay tập thông tin về bất kì phần nào của cây không gian tên miền.

- Bộ phân giải (Resolvers) là chương trình máy tính sẽ trích xuất thông tin từ các máy chủ tên phản hồi lại các yêu cầu của máy khách. Chương trình phân giải phải có khả năng truy cập vào ít nhất một máy chủ tên và sử dụng thông tin của máy chủ để trả lời một truy vấn trực tiếp hay điều chuyển truy vấn sang máy chủ tên khác.  

Ba thành phần trên tương ứng với ba lớp hoặc góc nhìn về hệ thống tên miền:

- Từ góc nhìn của người sử dụng, hệ thống tên miền được truy cập thông qua một tiến trình đơn giản hoặc lời gọi của hệ điều hành đến một bộ phân giải cục bộ. Không gian miền bao gồm một cây duy nhất và người dùng có thể yêu cầu thông tin từ bất kỳ phần nào của cây.

- Từ góc nhìn của bộ phân giải, các hệ thống tên miền được cấu thành từ nhiều máy chủ tên. Mỗi máy chủ tên có thể lưu trữ một phần hoặc toàn bộ dữ liệu của cây tên miền, nhưng bộ phân giải xem mỗi cơ sở dữ liệu này là riêng biệt.

- Từ góc nhìn của một máy chủ tên, hệ thống tên miền bao gồm các tập thông tin cục bộ riêng biệt gọi là các vùng. Máy chủ tên lưu những bản sao thông tin của một số vùng. Máy chủ tên phải định kỳ cập nhật các vùng của nó từ những bản sao dữ liệu chính lưu trên chính nó hoặc từ các máy chủ tên bên ngoài. Máy chủ tên phải xử lý đồng thời những truy vấn quá trình đến từ bộ phân giải.

Các tên miền cấp cao ban đầu

Các tên miền cấp cao ban đầu bao gồm:

- Tên miền tạm thời: ARPA = Các máy chủ chủ ARPA-Internet.

- Tên miền trong các lĩnh vực:

+ GOV = Dành cho cơ quan, tổ chức chính phủ.

+ EDU = Dành cho cơ quan, tổ chức giáo dục.

+ COM = Dành cho cơ quan, tổ chức liên quan đến thương mại.

+ MIL = Dành cho cơ quan, tổ chức quân sự.

+ ORG = Dành cho các tổ chức nói chung.

- Các loại tên miền phổ biến trên thế giới gồm có: GOV, EDU, COM, MIL, ORG, NET và INT. NET được thiết kế dành cho các tổ chức quản lý các nút mạng máy tính. Tên miền INT dành cho các tổ chức được thành lập bởi các tổ chức quốc tế hoặc cơ sở dữ liệu quốc tế.

- Một số loại tên miền khác ít phổ biến hơn như sau:

+ AC: Dành cho các tổ chức nghiên cứu và các cơ quan, tổ chức, doanh nghiệp có hoạt động liên quan tới lĩnh vực nghiên cứu.

+ PRO: Dành cho các tổ chức, cá nhân hoạt động trong những lĩnh vực có tính chuyên ngành cao.

+ INFO: Dành cho các tổ chức cung cấp các nguồn dữ liệu thông tin về các lĩnh vực kinh tế, chính trị, văn hóa, xã hội và các cơ quan, tổ chức, doanh nghiệp liên quan tới lĩnh vực cung cấp các nguồn dữ liệu thông tin và thông tin cá nhân.

+ HEALTH: Dành cho các tổ chức y tế, dược phẩm và các cơ quan, tổ chức, doanh nghiệp có hoạt động liên quan tới lĩnh vực y tế, dược phẩm.

+ NAME: Dành cho tên riêng của cá nhân tham gia hoạt động Internet.

Hiện nay, bất kỳ tổ chức, cá nhân đủ điều kiện đều có thể đăng ký sử dụng tên miền quốc tế COM, NET hay INFO. Dưới tên miền cấp cao, có thể có tên miền các cấp thấp hơn (cấp hai hoặc cấp ba).

- Các quốc gia: Mã gồm hai ký tự tiếng Anh xác định một quốc gia tuân theo tiêu chuẩn ISO 3166 về "Mã số thể hiện tên các quốc gia", ví dụ “US“, “VN“. Dưới tên miền quốc gia có thể có những tên miền cấp hai,  ví dụ AC, CO, GO, và RE.

- Một tổ chức có thể trở thành một tên miền cấp cao nếu tổ chức này lớn và bao gồm các tổ chức khác trong nó, đặc biệt nếu tổ chức này không thể xếp vào một trong các lĩnh vực và có quy mô quốc tế.

Internet Assigned Numbers Authority (IANA) là cơ quan quản lý tổng thể về địa chỉ IP, tên miền, và các thông số khác được sử dụng trên Internet. Cơ quan quản lý đăng ký Internet (Registry Internet - IR) quốc gia và khu vực có trách nhiệm phân bổ địa chỉ IP, thứ tự hệ thống tự động và tên miền cấp cao nhất và tên miền cấp hai. Tại Việt Nam, Trung tâm Internet Việt Nam (VNNIC) là đơn vị trực thuộc Bộ Thông tin và Truyền thông thực hiện chức năng quản lý, phân bổ, giám sát và thúc đẩy việc sử dụng nguồn tài nguyên tên miền, địa chỉ, số hiệu mạng Internet ở Việt Nam; thông tin hướng dẫn, thống kê về mạng Internet; tham gia các hoạt động quốc tế về Internet.

Hình dưới đây cho thấy một phần của không gian tên miền hiện tại. Lưu ý rằng các cây là tập hợp con rất nhỏ của không gian tên thực tế.

Hỗ trợ trao đổi thư điện tử

Hệ thống tên miền xác định một tiêu chuẩn để ánh xạ các hộp thư vào các tên miền. Công việc này được thực hiện bằng cách lấy thông tin định tuyến thư điện tử từ thông tin hộp thư. Có hai phương pháp lấy thông tin định tuyến thư điện tử như sau:

- Phương pháp liên kết trao đổi thư sử dụng đặc tả phần tên miền thư của một hộp thư để xác định nơi thư được gửi đi. Phương pháp này được khuyến nghị sử dụng để định tuyến thư trên Internet.

- Phương pháp liên kết hộp thư sử dụng toàn bộ đặc tả của phần thư cần gửi để tạo ra một tên miền. Phương pháp này vẫn trong quá trình thử nghiệm và ít được sử dụng.

Vấn đề an toàn

Trong thiết kế ban đầu của DNS, phản hồi DNS không được ký mã hóa dẫn đến nhiều khả năng bị tấn công, do vậy mở rộng an ninh cho hệ thống tên miền (Domain Name System Security Extensions - DNSSEC) sửa đổi DNS để hỗ trợ thêm cho phản hồi ký mã hóa. Ngoài ra, một số phần mở rộng cũng được đưa ra để đảm bảo việc chuyển vùng DNS trong các RFC sau: Giới thiệu và yêu cầu an toàn DNS (RFC 4033 ban hành tháng 03/2005); Các bản ghi tài nguyên cho các mở rộng an toàn DNS (RFC 4034 ban hành tháng 03/2005); Giao thức sửa đổi cho các mở rộng an toàn DNS (RFC 4035 ban hành tháng 03/2005); Sử dụng thuật toán SHA-256 trong các bản ghi tài nguyên ký thay trong mở rộng an ninh cho hệ thống tên miền (RFC 4509 ban hành tháng 05/2006); Bản ghi an toàn tiếp theo NSEC bao phủ tối thiểu và ký mở rộng an ninh cho hệ thống tên miền trực tuyến (RFC 4470 ban hành tháng 04/2006); Cập nhật tự động thẻ đánh dấu tin cậy mở rộng an ninh cho hệ thống tên miền (RFC 5011 ban hành tháng 09/2007); Hàm băm chứng thực từ chối mở rộng an ninh cho hệ thống tên miền (RFC 5155 ban hành tháng 03/2008); Sử dụng thuật toán SHA-2 với RSA trong các bản ghi tài nguyên DNSKEY và RRSIG cho mở rộng an ninh cho hệ thống tên miền (RFC 5702 ban hành tháng 10/2009); Ánh xạ mở rộng an ninh cho hệ thống tên miền cho giao thức lưu trữ mở rộng (Extensible Provisioning Protocol - EPP) (RFC 5910 ban hành tháng 05/2010); Sử dụng thuật toán chữ ký số GOST trong các bản ghi tài nguyên DNSKEY và RRSIG cho mở rộng an ninh cho hệ thống tên miền DNSSEC (RFC 5933 ban hành tháng 07/2010).

Ứng dụng

DNS được cài đặt trong những máy chủ DNS để phục vụ cho việc ánh xạ, phân giải tên miền. Trong Thông tư 01/2011/TT-BTTTT ngày 04/01/2011 của Bộ trưởng Bộ Thông tin và Truyền thông Công bố Danh mục tiêu chuẩn kỹ thuật về ứng dụng công nghệ thông tin trong cơ quan nhà nước quy định Bắt buộc áp dụng tiêu chuẩn DNS và được xếp vào nhóm Tiêu chuẩn về kết nối.

Viết tắt/Thuật ngữ