Funkce DNS, DHCP a ARP v síťové komunikaci
Proč DNS, DHCP a ARP patří k jádru IP komunikace
Moderní IP sítě stojí na trojici základních služeb: DNS (Domain Name System) překládá jmenné adresy na IP, DHCP (Dynamic Host Configuration Protocol) automatizuje přidělování síťové konfigurace koncovým stanicím a ARP (Address Resolution Protocol) mapuje IP adresy na linkové (MAC) adresy v rámci jedné přepínané domény. Společně zajišťují, že se zařízení ve vrstvě 3 OSI mohou navzájem nalézt a doručovat si data po vrstvě 2. Správné pochopení jejich funkcí, interakcí a bezpečnostních aspektů je klíčové pro návrh, provoz i troubleshooting sítí.
Referenční rámec: vrstvy a role protokolů
- ARP: funguje mezi vrstvou 2 (L2, Ethernet) a vrstvou 3 (L3, IP). Umožňuje odesílateli zjistit MAC adresu cíle podle známé IP v rámci stejného broadcast segmentu.
- DHCP: aplikační vrstva (UDP/67-68 pro IPv4, UDP/546-547 pro IPv6), zajišťuje automatickou konfiguraci IP, masky, brány, DNS, domény a dalších parametrů.
- DNS: aplikační vrstva (UDP/TCP 53, dále DoT 853, DoH 443). Slouží k hierarchickému a distribuovanému překladu jmen ↔ IP a dalších informací (SRV, TXT).
DNS: principy, záznamy a rozlišení rolí
- Hierarchie a delegace: kořenové servery → TLD (.com, .cz) → autoritativní servery domény. Resolver (rekurzivní) provádí dotazování, klient používá stub resolver.
- Typy záznamů:
- A/AAAA: IPv4/IPv6 adresa.
- CNAME: alias na jiné jméno.
- NS: delegace na autoritativní servery.
- MX: poštovní směrování.
- TXT: volitelná data (např. SPF, ověřování).
- SRV: služba a port (např. _sip._tcp).
- PTR: reverzní záznam (in-addr.arpa, ip6.arpa).
- SOA: počátek autority, TTL, serial, refresh.
- Rekurze vs. iterace: rekurzivní resolver vyřídí dotaz „end-to-end“ a cacheuje odpověď; iterativní odpovědi odkazují klienta na další autority.
- Cache a TTL: snižují latenci a zátěž, TTL určuje dobu platnosti. Negativní caching (SOA minimum/NXDOMAIN) urychluje reakci na neexistující jména.
- Rozšíření: EDNS(0) pro větší zprávy, ECS (Client Subnet) pro anycast/CDN optimalizaci, split-horizon DNS pro odlišné odpovědi interně/externě.
DNS bezpečnost a moderní přenosy
- DNSSEC: kryptografické podepisování zón (RRSIG, DNSKEY, DS, NSEC/NSEC3) chrání proti podvržení (cache poisoning). Vyžaduje validující resolver a správně nasazený řetězec důvěry.
- DoT/DoH: šifrování dotazů (TLS/853) a tunelování přes HTTPS (443) zvyšuje soukromí a odolnost proti MITM inspekci.
- Ochrana v praxi: omezení rekurze pro cizí klienty, rate limiting, QNAME minimization, Response Policy Zones (RPZ) pro blokování domén, oddělení autoritativních a rekurzivních rolí.
DHCPv4: proces DORA, opce a správa adres
- Životní cyklus (DORA): Discover (broadcast) → Offer → Request → Ack. Klient následně provádí ARP probe/announce (detekce konfliktu IP).
- Opce (RFC 2132): 1 maska, 3 default gateway, 6 DNS, 15 doménové jméno, 51 lease time, 66/67 TFTP/bootfile, 121 Classless Static Routes atd.
- Rezervace: statická vazba MAC → IP (pro servery, tiskárny, zařízení OT/IoT).
- Scopes a pools: logické rozsahy dle VLAN/subnetů, excludy pro statické adresy; řízení délky lease (mobilní klienti krátký lease, pevná zařízení delší).
- Relay agent (IP Helper): přeposílá broadcasty z VLAN do DHCP serveru (Option 82 pro identifikaci portu/VLAN).
DHCPv6 a interakce se SLAAC
- DHCPv6: oddělené porty (UDP 546/547), stavový režim (IA_NA) pro přidělení adresy, Prefix Delegation (IA_PD) pro routery/CPE.
- SLAAC: host si konstruuje adresu z prefixu v RA (Router Advertisement). Kombinace M/O bitů v RA určuje, zda má klient použít DHCPv6 pro adresu a/nebo další opce (DNS).
- Bez ARP: IPv6 používá NDP/Neighbor Discovery (ICMPv6) – viz níže.
DHCP bezpečnost a vysoká dostupnost
- Hrozby: rogue DHCP server, DHCP starvation (vyčerpání poolu), podvržené nabídky.
- Mitigace: DHCP snooping (switch označí důvěryhodné porty), Option-82 validace, IP Source Guard (zabraňuje spoofingu), privátní VLAN.
- HA: split scopes, failover protokol (hot-standby/load-balance), anycast pro relay, monitoring lease databáze.
ARP: mapování IP → MAC a práce cache
- Základ: pokud odesílatel zná IP v témže L2 segmentu, vyšle broadcast ARP Request „Kdo má IP X.X.X.X?“. Cíl odpoví unicastem ARP Reply se svou MAC.
- Cache: dynamické záznamy expirované po krátké době, statické (manuální) se nevyprší. Gratuitous ARP oznamuje vlastní IP-MAC vazbu (detekce konfliktů, aktualizace ARP tabulek).
- Proxy ARP: router odpovídá za hosty v jiných segmentech, umožní L2 doručování bez správného maskování (použití omezeně).
- Bezpečnost: ARP spoofing/poisoning (MITM). Obrana: Dynamic ARP Inspection (DAI) na switchích, vazba na DHCP snooping databázi, port security, 802.1X.
IPv6: NDP a rozdíly oproti ARP
- NDP (Neighbor Discovery): ICMPv6 zprávy Neighbor Solicitation/Neighbor Advertisement nahrazují ARP; využívají multicast místo broadcastu.
- Doplňky: DAD (Duplicate Address Detection), MLD (multicast management), RA Guard pro ochranu proti rogue RA, SEND (Secure NDP) s kryptografií.
Jak spolu DNS, DHCP a ARP spolupracují v praxi
- Připojení klienta: klient vyšle DHCP Discover → získá IP, masku, gateway a adresy DNS (DHCP Ack).
- Detekce konfliktu: klient provede ARP probe/announce, aby ověřil, že nově přidělená IP není používána.
- První komunikace: při přístupu na
www.example.comklient dotazuje DNS. Rekurzivní resolver vrátí A/AAAA. - Doručení v L2: pokud je cílový server ve stejném segmentu, klient vyřeší MAC přes ARP; jinak ARP použije na MAC default gateway a paket se směruje dále.
Integrační témata: DNS-DHCP-IPAM (DDI) a dynamické aktualizace
- DDI: sjednocená správa DNS, DHCP a IP adres (IPAM) zabraňuje konfliktům, auditně sleduje využití rozsahů a automatizuje rezervace.
- Dynamic DNS: DHCP server po přidělení adresy aktualizuje A/PTR záznamy (secure updates), což usnadňuje správu jmenného prostoru.
Varianty jmenného rozlišení mimo klasické DNS
- mDNS (
.local): lokální multicast rozlišení v malých sítích (IoT, domácnosti). - LLMNR/NBNS: starší mechanizmy (Windows/NBNS) – doporučeno omezit kvůli bezpečnosti a preferovat standardní DNS.
Diagnostika a troubleshooting: postupy a nástroje
- DNS:
dig/drill/nslookup(A/AAAA, NS, SOA, +trace), kontrola TTL a authoritative vs. recursive odpovědí, validace DNSSEC. - DHCP:
ipconfig /allnebonmcli/dhclient -v, kontrola lease,show ip dhcp bindingna serverech, logy relay (Option 82). - ARP/NDP:
arp -a,ip neigh, sledování rámců (tcpdump/Wiresharkfiltryarp,icmp6,bootp,dhcpv6,dns), ověření DAI a snoopingu na přepínačích. - Postup: 1) ověř link (L1/L2), 2) přidělení IP (DHCP), 3) reachability ke gateway (ARP/NDP), 4) DNS dotazy a latence, 5) trasa (
traceroute), 6) aplikační test.
Výkon a dostupnost: doporučené postupy
- DNS: více geograficky distribuovaných rekurzivních resolverů (anycast), správně nastavené TTL (krátké pro dynamické záznamy; delší pro statické), cache hit-rate monitoring.
- DHCP: redundantní páry, oddělené databáze lease, dostatečné pooly s rezervou, relay s vysokou dostupností.
- ARP: omezit broadcast domény segmentací (VLAN), sledovat ARP traffic a anomálie, vypnout proxy ARP tam, kde není potřeba.
Bezpečnostní shrnutí a typické útoky
| Oblast | Útok | Mitigace |
|---|---|---|
| DNS | Cache poisoning, typosquatting | DNSSEC validace, oddělení rolí, RPZ, DoT/DoH |
| DHCP | Rogue server, starvation | DHCP snooping, port security, 802.1X, Option 82 |
| ARP | ARP spoofing (MITM) | DAI, IP Source Guard, statické vazby na kritických hostech |
| IPv6 | Rogue RA, NDP spoofing | RA Guard, SEND, segmentace, ACL |
Provozní checklist pro správce
- Má síť minimálně dva rekurzivní DNS resolvery s anycastem a monitoringem?
- Je DHCP redundantní (failover/load-balance) a jsou relay agenty správně směrovány?
- Je na přepínačích aktivní DHCP snooping, DAI a IP Source Guard na přístupových portech?
- Jsou VLAN a L3 segmentace navrženy tak, aby omezily broadcast a ARP/NDP šum?
- Je definována politika TTL a správa DNS zón (serial, ZSK/KSK rotace u DNSSEC)?
- Jsou logy (DNS queries, DHCP leases, ARP anomálie) centralizované a vyhodnocované?
Případová studie: náhlé výpadky jmenného rozlišení
Po migraci firewallu si uživatelé stěžovali na „náhodné“ selhání webů. Analýza ukázala zahozené fragmentované DNS odpovědi nad 512 B. Řešení: povolit EDNS(0) a velikost UDP payload 1232 B, případně fallback na TCP/53; na klientských VLAN aktivovat MTU discovery. Po úpravě došlo k poklesu chyb NXDOMAIN/timeout o 95 % a zlepšení latence o 30 % díky vyšší cache hit-rate.
Závěr
DNS, DHCP a ARP tvoří neoddělitelný základ IP konektivity: jména převádějí na adresy, adresy se přidělují automatizovaně a rámce se doručují díky mapování na MAC. Jejich správná integrace, bezpečnostní opatření (DNSSEC, snooping, DAI), segmentace a dohled zaručují spolehlivost i odolnost moderních sítí. V praxi rozhoduje detail – od TTL a délky lease přes nastavení relay až po filtraci ARP – protože právě na těchto místech se rodí většina provozních problémů.
