Tuesday, 9 September 2008

300 miliardów zapytań do DNS-u

Serwery DNS należące do NASK-u obsłużyły przez ostatnie 12 miesięcy ponad 300 miliardów zapytań o domeny .pl, co oznacza, że w każdej sekundzie obsługujemy ponad 10 000 zapytań o domeny .pl.

Co to jest DNS?

System nazw domen (Domain Name System) to w największym skrócie rozwiązanie zapewniające zamianę adresów internetowych (np. www.webhosting.pl) na adresy IP, dzięki którym komputery mogą się ze sobą komunikować. System DNS zorganizowany jest hierarchicznie: na samej górze znajduje się 13 serwerów centralnych (tzw. „root”), następnie mamy serwery dla domen globalnych (np. .com, .biz, .name, .mobi) oraz domen krajowych (.pl, .de, .fr, .ru).

W przypadku jeśli w naszej przeglądarce wpiszemy adres www.webhosting.pl, to najpierw zapytanie przez nasz serwer DNS zostanie skierowane do serwera centralnego, gdzie uzyskamy odpowiedź, gdzie znajdują się serwery obsługujące domenę .pl; następnie, jeśli skierujemy zapytanie do jednego z serwerów obsługujących domenę .pl, otrzymamy odpowiedź, gdzie znajdują się serwery obsługujące domenę webhosting.pl; dalej możemy uzyskać informację, jaki adres ma serwer obsługujący strony WWW.

Oczywiście przedstawiony algorytm jest znacznie uproszczony. Z dużym prawdopodobieństwem można założyć, że część lub nawet wszystkie potrzebne informacje będą się już znajdowały w pamięci cache DNS-u naszego dostawcy Internetu.

Przygotowania NASK-u do odparcia ataków

Pomimo tak dużej liczby zapytań (300 miliardów w ciągu roku) serwery DNS należące do NASK-u przygotowane są na obsłużenie wielokrotnie większej liczby zapytań. Dzięki inwestycjom NASK-u w infrastrukturę DNS-u moc obliczeniowa, którą obecnie dysponujemy, rozłożona jest na serwery w 23 lokalizacjach w Polsce i na świecie. Zainteresowani mogą zobaczyć (przybliżone) fizyczne lokalizacje serwerów DNS na tej mapie.

Powód tej całej nadmiarowości jest prosty: zabezpieczenie przed atakiem DDoS (Distributed Denial of Service). Celem ataków DDoS jest takie obciążenie serwerów i łączy, aby nie była możliwa dalsza obsługa „dobrego” ruchu, generowanego przez użytkowników DNS-u. Ataki DDoS kierowane są przeciwko np. serwerom obsługującym daną witrynę internetową albo właśnie przeciwko serwerom DNS.

Najczęściej spotykane są ataki przeciwko konkretnej witrynie internetowej. I tak w Polsce niektóre media elektroniczne czy firmy przeżywały już wcześniej ataki DDoS – nawet policja doświadczyła ataku przeciwko jej stronie: policja.pl. Na świecie najbardziej znane przykłady to pierwsza cyberwojna przeciwko Estonii (zaatakowane witryny rządu oraz banków) czy ostatnio przeciwko Internetowi w Gruzji (chociaż tutaj były stosowane nie tylko ataki DDoS). Najgroźniejsze są jednak ataki przeciwko systemowi DNS, ponieważ zakończony sukcesem atak wpływa na wszystkie strony internetowe czy też komunikację elektroniczną w danym kraju. DNS przeżywał liczne ataki DDoS, a najbardziej znane to pierwszy poważny i zakończony częściowym sukcesem atak na serwery root 21 października 2002 roku czy też ostatni atak 6 lutego 2007 roku, zakończony tylko niewielkim sukcesem cyberprzestępców (serwery G-root oraz L-root nie odpowiadały).

Obecnie w Polsce, dzięki nadmiarowi mocy obliczeniowej i przepustowości sieci, a także dzięki „dywersyfikacji” lokalizacji sieciowych, ewentualny atak DDoS na jeden lub kilka naszych serwerów nie spowoduje widocznych dla użytkowników zakłóceń w funkcjonowaniu DNS-u. Oczywiście nadmiarowość mocy przetwarzania danych i pojemność łączy to tylko jeden z elementów zabezpieczenia, aczkolwiek jeden z najważniejszych. Istotne jest chociażby stałe monitorowanie zachowania sieci, tak aby można było podjąć dodatkowe kroki (wycięcia ruchu), w przypadku kiedy atak się rozpoczyna.

NASK planuje dalej inwestować w infrastrukturę DNS. Planujemy w najbliższych miesiącach dołączyć do naszej sieci kolejnych kilkanaście serwerów... Just in case...