Thursday, 11 September 2008
Tuesday, 9 September 2008
300 miliardów zapytań do DNS-u
Serwery DNS należące do NASK-u obsłużyły przez ostatnie 12 miesięcy ponad 300 miliardów zapytań o domeny .pl, co oznacza, że w każdej sekundzie obsługujemy ponad 10 000 zapytań o domeny .pl.
Co to jest DNS?
System nazw domen (Domain Name System) to w największym skrócie rozwiązanie zapewniające zamianę adresów internetowych (np. www.webhosting.pl) na adresy IP, dzięki którym komputery mogą się ze sobą komunikować. System DNS zorganizowany jest hierarchicznie: na samej górze znajduje się 13 serwerów centralnych (tzw. „root”), następnie mamy serwery dla domen globalnych (np. .com, .biz, .name, .mobi) oraz domen krajowych (.pl, .de, .fr, .ru).
W przypadku jeśli w naszej przeglądarce wpiszemy adres www.webhosting.pl, to najpierw zapytanie przez nasz serwer DNS zostanie skierowane do serwera centralnego, gdzie uzyskamy odpowiedź, gdzie znajdują się serwery obsługujące domenę .pl; następnie, jeśli skierujemy zapytanie do jednego z serwerów obsługujących domenę .pl, otrzymamy odpowiedź, gdzie znajdują się serwery obsługujące domenę webhosting.pl; dalej możemy uzyskać informację, jaki adres ma serwer obsługujący strony WWW.
Oczywiście przedstawiony algorytm jest znacznie uproszczony. Z dużym prawdopodobieństwem można założyć, że część lub nawet wszystkie potrzebne informacje będą się już znajdowały w pamięci cache DNS-u naszego dostawcy Internetu.
Przygotowania NASK-u do odparcia ataków
Pomimo tak dużej liczby zapytań (300 miliardów w ciągu roku) serwery DNS należące do NASK-u przygotowane są na obsłużenie wielokrotnie większej liczby zapytań. Dzięki inwestycjom NASK-u w infrastrukturę DNS-u moc obliczeniowa, którą obecnie dysponujemy, rozłożona jest na serwery w 23 lokalizacjach w Polsce i na świecie. Zainteresowani mogą zobaczyć (przybliżone) fizyczne lokalizacje serwerów DNS na tej mapie.
Powód tej całej nadmiarowości jest prosty: zabezpieczenie przed atakiem DDoS (Distributed Denial of Service). Celem ataków DDoS jest takie obciążenie serwerów i łączy, aby nie była możliwa dalsza obsługa „dobrego” ruchu, generowanego przez użytkowników DNS-u. Ataki DDoS kierowane są przeciwko np. serwerom obsługującym daną witrynę internetową albo właśnie przeciwko serwerom DNS.
Najczęściej spotykane są ataki przeciwko konkretnej witrynie internetowej. I tak w Polsce niektóre media elektroniczne czy firmy przeżywały już wcześniej ataki DDoS – nawet policja doświadczyła ataku przeciwko jej stronie: policja.pl. Na świecie najbardziej znane przykłady to pierwsza cyberwojna przeciwko Estonii (zaatakowane witryny rządu oraz banków) czy ostatnio przeciwko Internetowi w Gruzji (chociaż tutaj były stosowane nie tylko ataki DDoS). Najgroźniejsze są jednak ataki przeciwko systemowi DNS, ponieważ zakończony sukcesem atak wpływa na wszystkie strony internetowe czy też komunikację elektroniczną w danym kraju. DNS przeżywał liczne ataki DDoS, a najbardziej znane to pierwszy poważny i zakończony częściowym sukcesem atak na serwery root 21 października 2002 roku czy też ostatni atak 6 lutego 2007 roku, zakończony tylko niewielkim sukcesem cyberprzestępców (serwery G-root oraz L-root nie odpowiadały).
Obecnie w Polsce, dzięki nadmiarowi mocy obliczeniowej i przepustowości sieci, a także dzięki „dywersyfikacji” lokalizacji sieciowych, ewentualny atak DDoS na jeden lub kilka naszych serwerów nie spowoduje widocznych dla użytkowników zakłóceń w funkcjonowaniu DNS-u. Oczywiście nadmiarowość mocy przetwarzania danych i pojemność łączy to tylko jeden z elementów zabezpieczenia, aczkolwiek jeden z najważniejszych. Istotne jest chociażby stałe monitorowanie zachowania sieci, tak aby można było podjąć dodatkowe kroki (wycięcia ruchu), w przypadku kiedy atak się rozpoczyna.
NASK planuje dalej inwestować w infrastrukturę DNS. Planujemy w najbliższych miesiącach dołączyć do naszej sieci kolejnych kilkanaście serwerów... Just in case...
Co to jest DNS?
System nazw domen (Domain Name System) to w największym skrócie rozwiązanie zapewniające zamianę adresów internetowych (np. www.webhosting.pl) na adresy IP, dzięki którym komputery mogą się ze sobą komunikować. System DNS zorganizowany jest hierarchicznie: na samej górze znajduje się 13 serwerów centralnych (tzw. „root”), następnie mamy serwery dla domen globalnych (np. .com, .biz, .name, .mobi) oraz domen krajowych (.pl, .de, .fr, .ru).
W przypadku jeśli w naszej przeglądarce wpiszemy adres www.webhosting.pl, to najpierw zapytanie przez nasz serwer DNS zostanie skierowane do serwera centralnego, gdzie uzyskamy odpowiedź, gdzie znajdują się serwery obsługujące domenę .pl; następnie, jeśli skierujemy zapytanie do jednego z serwerów obsługujących domenę .pl, otrzymamy odpowiedź, gdzie znajdują się serwery obsługujące domenę webhosting.pl; dalej możemy uzyskać informację, jaki adres ma serwer obsługujący strony WWW.
Oczywiście przedstawiony algorytm jest znacznie uproszczony. Z dużym prawdopodobieństwem można założyć, że część lub nawet wszystkie potrzebne informacje będą się już znajdowały w pamięci cache DNS-u naszego dostawcy Internetu.
Przygotowania NASK-u do odparcia ataków
Pomimo tak dużej liczby zapytań (300 miliardów w ciągu roku) serwery DNS należące do NASK-u przygotowane są na obsłużenie wielokrotnie większej liczby zapytań. Dzięki inwestycjom NASK-u w infrastrukturę DNS-u moc obliczeniowa, którą obecnie dysponujemy, rozłożona jest na serwery w 23 lokalizacjach w Polsce i na świecie. Zainteresowani mogą zobaczyć (przybliżone) fizyczne lokalizacje serwerów DNS na tej mapie.
Powód tej całej nadmiarowości jest prosty: zabezpieczenie przed atakiem DDoS (Distributed Denial of Service). Celem ataków DDoS jest takie obciążenie serwerów i łączy, aby nie była możliwa dalsza obsługa „dobrego” ruchu, generowanego przez użytkowników DNS-u. Ataki DDoS kierowane są przeciwko np. serwerom obsługującym daną witrynę internetową albo właśnie przeciwko serwerom DNS.
Najczęściej spotykane są ataki przeciwko konkretnej witrynie internetowej. I tak w Polsce niektóre media elektroniczne czy firmy przeżywały już wcześniej ataki DDoS – nawet policja doświadczyła ataku przeciwko jej stronie: policja.pl. Na świecie najbardziej znane przykłady to pierwsza cyberwojna przeciwko Estonii (zaatakowane witryny rządu oraz banków) czy ostatnio przeciwko Internetowi w Gruzji (chociaż tutaj były stosowane nie tylko ataki DDoS). Najgroźniejsze są jednak ataki przeciwko systemowi DNS, ponieważ zakończony sukcesem atak wpływa na wszystkie strony internetowe czy też komunikację elektroniczną w danym kraju. DNS przeżywał liczne ataki DDoS, a najbardziej znane to pierwszy poważny i zakończony częściowym sukcesem atak na serwery root 21 października 2002 roku czy też ostatni atak 6 lutego 2007 roku, zakończony tylko niewielkim sukcesem cyberprzestępców (serwery G-root oraz L-root nie odpowiadały).
Obecnie w Polsce, dzięki nadmiarowi mocy obliczeniowej i przepustowości sieci, a także dzięki „dywersyfikacji” lokalizacji sieciowych, ewentualny atak DDoS na jeden lub kilka naszych serwerów nie spowoduje widocznych dla użytkowników zakłóceń w funkcjonowaniu DNS-u. Oczywiście nadmiarowość mocy przetwarzania danych i pojemność łączy to tylko jeden z elementów zabezpieczenia, aczkolwiek jeden z najważniejszych. Istotne jest chociażby stałe monitorowanie zachowania sieci, tak aby można było podjąć dodatkowe kroki (wycięcia ruchu), w przypadku kiedy atak się rozpoczyna.
NASK planuje dalej inwestować w infrastrukturę DNS. Planujemy w najbliższych miesiącach dołączyć do naszej sieci kolejnych kilkanaście serwerów... Just in case...
Monday, 8 September 2008
300 billion (300 000 000 000) queries handled by .PL DNS servers
.PL DNS servers handled more than 300 billion queries in last 12 months (September 2007 - August 2008).
Despite the high number of handled queries, .PL servers are ready to handle much higher load than average today. Unfortunately, for security reasons I can not disclose information of the maximum capacity of the DNS servers.
It's important to add that thanks to .PL Registry investments in the DNS infrastructure, our "computing resurces" are spread across 23 geographic locations in Poland and abroad. If you are interested in the details, please take a look at the map of the (approximated) existing locations of our Secondary Names Servers.
The main reason NASK invests in the infrastructure is the protection against Distributed Denial of Service attacks. For more about DDoS attack, please take a look here. Increasing the computational resources (bandwidth, "processor time" etc.) is the easiest and most efficient method to counteract DDoS.
Thanks to the excess of the computing power and available bandwidth plus geographical disperse of the servers, hipothetical DDoS attack against one or few .PL DNS servers do not cause the overall failure of the DNS and queries still can be handled uninterrupted.
Polish version of the blog is here.
Despite the high number of handled queries, .PL servers are ready to handle much higher load than average today. Unfortunately, for security reasons I can not disclose information of the maximum capacity of the DNS servers.
It's important to add that thanks to .PL Registry investments in the DNS infrastructure, our "computing resurces" are spread across 23 geographic locations in Poland and abroad. If you are interested in the details, please take a look at the map of the (approximated) existing locations of our Secondary Names Servers.
The main reason NASK invests in the infrastructure is the protection against Distributed Denial of Service attacks. For more about DDoS attack, please take a look here. Increasing the computational resources (bandwidth, "processor time" etc.) is the easiest and most efficient method to counteract DDoS.
Thanks to the excess of the computing power and available bandwidth plus geographical disperse of the servers, hipothetical DDoS attack against one or few .PL DNS servers do not cause the overall failure of the DNS and queries still can be handled uninterrupted.
Polish version of the blog is here.
Sunday, 7 September 2008
VeriSign: double digit growth of .PL
It's a pleasure to inform that VeriSign published recently the The Domain Name Industry Brief (September 2008) mentioning .PL domain as one of the fastes growing ccTLD regardless of the fact that domain market delicned in Q2 2008.
VeriSign says: "The number of new domain name registrations across all TLDs in the second quarter of 2008 was 11.7 million. This represented a decline of new registrations by 18 percent from a very strong first quarter and eight percent from second quarter 2007, driven largely by a decline in ccTLD growth. The number of new domain name registrations reflects seasonal slowing historically seen in the second quarter."
Despite this general slow down, "In addition to .au and .br, the overall ccTLD growth was also driven by double digit growth quarter over quarter for .ru (Russian Federation) and .pl (Poland)"
It's also important to remind that .PL was mentioned in previous VeriSign Industry Brief (June 2008): "few ccTLDs that experienced remarkable double digit growth quarter over quarter, including .pl (Poland), .cn, .es (Spain), .ru (Russian Federation) and .fr (France)."
[1]VeriSign Q1 report can be dowloaded here.
[2]VeriSign Q2 (recent) report can be dowloaded here.
VeriSign says: "The number of new domain name registrations across all TLDs in the second quarter of 2008 was 11.7 million. This represented a decline of new registrations by 18 percent from a very strong first quarter and eight percent from second quarter 2007, driven largely by a decline in ccTLD growth. The number of new domain name registrations reflects seasonal slowing historically seen in the second quarter."
Despite this general slow down, "In addition to .au and .br, the overall ccTLD growth was also driven by double digit growth quarter over quarter for .ru (Russian Federation) and .pl (Poland)"
It's also important to remind that .PL was mentioned in previous VeriSign Industry Brief (June 2008): "few ccTLDs that experienced remarkable double digit growth quarter over quarter, including .pl (Poland), .cn, .es (Spain), .ru (Russian Federation) and .fr (France)."
[1]VeriSign Q1 report can be dowloaded here.
[2]VeriSign Q2 (recent) report can be dowloaded here.
Subscribe to:
Posts (Atom)