أنشئ مركز عمليات وتحليل وأبحاث DNS (DNS-OARC) قبل عقد من الزمان تقريبًا إقرارًا بأن الوضع الرئيسي لدى DNS في الهندسة المعمارية للإنترنت جعلتها في خطر كبير في أن تصبح كلا من ضحية ووسيلة للعديد من الأنواع المختلفة لسوء الاستخدام. ومع ذلك، فقد كانت DNS-OARC مستوحاة من رؤية التعاون، مع جمع البيانات وتبادلها وتحليلها بين المشغل والمجتمعات البحثية، التي يمكنها حمايتها ضد سوء الاستخدام هذا، وتؤدي إلى فهم أعمق لـ DNS وعمليات الإنترنت.
وحيث أن OARC قد تأسس في عام 2004، فقد أصبحت هذه القضايا أكثر أهمية فقط، ونمت المؤسسة من كونها مشروعًا داخل ISC إلى مؤسسة مستقلة، محايدة، وغير ربحية، وذات عضوية مع كادر عاملين متخصصين وأكثر من 70 عضو. وتتمثل مهمتها في تحسين الأمن والاستقرار، وفهم البنية التحتية لـ DNS.
بالإضافة إلى إدارة ورش عمل مرتين أسبوعيًا، وأدوات المنفعة العامة المختلفة، ومنصات التعاون فيما بين الأعضاء، تدير OARC عددًا من مبادرات جمع البيانات على نطاق واسع، والتي تجمع البيانات من البنية التحتية لأعضائها. أحد هذه المبادرات، بدأت في عام 2004 بالتعاون مع CAIDA وبتمويل من NSF، هي “يوم في حياة الإنترنت” (DITL). يجمع ذلك مجموعة بيانات مفصلة من إستعلامات DNS إلى جذر ومشغلي المستوى الأعلى لمدة 48 ساعة لمرة واحدة على الأقل في السنة. والفكرة هي أن يكون هناك أرشيف للبيانات الأساسية والتي يمكن مقارنتها عامًا بعد عام، وتم جمع المعلومات من خلال نقاط تغيير مهمة في DNS العالمي، مثل مفاوضات IPv6 وتوقيع جذور DNSSEC. على مدار العقد الماضي، جمعت OARC مجموعة من البيانات تزيد عن 40Tb من استفسارات DITL.
ثمة عنصر حاسم من قدرات ومساهمات OARC وهي توافر البيانات الشغيلية الخام. يوجد العديد من المبادئ الهندسية الأساسية وأنماط الإخفاق لحركة مرور الإنترنت غير مفهومة، ومن المهم ملاحظة أنه ليست جميع التهديدات موثوق بها، وبعض عمليات تأمين الإنترنت هي عمليات خبيثة. وقد أثبتت الدراسات التي أجريت من قبل شركاء OARC مثل CAIDA أن كمية كبيرة من حركة المرور DNS غير المرغوب بها والمشاكل التشغيلية سببها سوء تكوين DNS أو التطبيقات التي تعتمد على ذلك. الطريقة الوحيدة لتحسين هذا الوضع هو تطبيق المنهج العلمي لدراسة هذا على نطاق واسع.
وقد كانت ICANN داعمًا ملتزمًا لـ OARC منذ أن أصبحت عضوًا في عام 2008، وعملت مع OARC كمشغل للجذر- الأيسر الذي يورد بينات DNS، ويدعم العديد من ألأحداث وخدمات البنية التحتية المشتركة، ويوفر مؤخرًا عضو المجلس.
وخلال عام 2012، أصبح هناك عقبة جديدة محتملة على طريق توزيع نطاقات TLD الخاصة بICANN لدى ICANN SSAC اللجنة الاستشارية للأمن والاستقرار.) وقد تم تحديد الخطر بأن بعضًا من نطاقات TLD الجديدة المقترحة كانت بالفعل مستخدمة داخليًا على نطاق واسع داخل المؤسسات، وعلى رأس ذلك، شهادات SSL والتي قصد بها فقط مثل هذا الاستخدام الداخلي الذي سبق أن صدر لمثل هذه المنظمات. وقد يؤدي ذلك إلى خطر الاصطدام بين الاستخدام الداخلي ساري المفعول لهذه النطاقات العليا، وسوء الاستخدام المحتمل لهذه الشهادات على شبكة الإنترنت العالمية.
ومن الواضح أن هذا كان يشكل مشكلة كبيرة محتملة، مع توتر بين مصالح المشغلين لنطاقات TLD الجديدة الذين يرغبون في مشاهدة نطاقاتهم الجديدة تنتقل بأسرع وقت ممكن، في مقابل بعض المخاطر الحقيقية من الأنشطة المسيئة، أو حتى بعض العواقب غير المقصودة، أو أي منهما أو كلاهما والتي قد يكون لها تأثير عالمي.
عند تحديد السياسات بشأن كيفية المضي قدمًا في مثل هذه الحالات، فمن المهم أن يكون بيانات لتكوين قاعدة بناء على ذلك. وبالنظر إلى الجداول الزمنية الضيقة للنشر، فإن جمع البيانات الجديد من الصفر هي عملية كبيرة وتستغرق وقتًا طويلا. ولحسن الحظ، تم التعرف بسرعة على أنمجموعة بيانات DITL الخاصة بـOARC يمكن أن تحتوي على الأدلة اللازمة للمساعدة في تحديد ا إذا كانت مخاوف SSAC حقيقية في الممارسة العملية، وإذا كان الأمر كذلك، فما مدى شدتها. لا يحتوي سجل الاستعلامات للجذر وخوادم TLD سلاسل نطاق المستوى الأعلى السارية فقط، ولكن يجتوي أيضًا على سلاسل “مسربة” مخصصة للاستخدام الداخلي فقط ولكن تمر إلى الإنترنت الأوسع بسبب عدد من سوء التكوينات. إنه بالضبط ذلك النوع من العواقب غير المقصودة والتي يمكن أن تؤدي إلى المخاوف التي أعرب عنها في هذه الدراسة، مما يجعل البيانات التي تم جمعها نموذجًا جيدًا لما قد يحدث أم يتم استغلاله.
في حين تم الاعتراف بمجموعة بيانات DITL الخاصة بـOARC بأنها ذات صلة كبرى لهذه الاحتياجات الخاصة، فمن المهم أن نفهم أن هذه رؤية واحدة وفقط لـ DNS، وليست بأي حال رؤية نهائية أو كاملة: على سبيل المثال فهي تشمل بعض الاستفسارات عن بعض مشغليالجذور لمدة قصيرة، وليست على سبيل المثال للعديد من مشغلي TLD الآخرين أو مقدمي خدمات الإنترنت الذين يقدمون خدمات حلول DNS لمشتركيهم. وقد يكون من المستحيل الحصول على رؤية كاملة لـ DNS من خلال تقنية جمع حركة المرور، كما لا ينبغي إغفال قيمة المناهج المختلفة المتعددة.
ومع تحديد المشكلة، ومجموعة البيانات التي قد تكون حلا، اجتمعت ICANN مع Interisle والمتعاقدين معها من الباطن RTFM لأداء التحليل. على المدى القصير، بدأ هذا العمل عن طريق إعارة قدرة الحوسبة لدى CAIDA التي تقع في OARC لتقديم التقرير الأولي.
وفي الوقت الحالي، مع ذلك، يوجد عدد من المتطلبات المطلوب معالجتها لتنفيذ تحليل إَافي لهذه البيانات.
- قد تكون بيانات DNS التي قدمتها OARC من الولايات القضائية حول العالم حساسة، وتعقد بثقة من قبل OARC بشروط سرية تامة. هذا يسمح بتقديم البيانات بواسطة مجتمع أكثر سعة من غيره. ومع ذلك، تمنع هذه الشروط نسخ البيانات من أرشيف OARC لنظم الطرف الثالث.
- وفي حين أنه يتم تحديث استضافة مجموعة البيانات المتنامية OARC بانتظام على مر السنين، فإن الكثير من البنية التحتية الداعمة لها، بما في ذلك موارد الحوسبة للقيام بتحليل البيانات في الموقع من قبل الأعضاء والباحثين، لم يتم ترقيتها منذ التمهيد الأولي لـ NSF والتي تم تمويلها منذ عقد سابق من الزمان، وكانت بحاجة ماسة للتحديث.
- يريد العديد من مشغلي TLD أن يصبحوا أعضاءً لدى OARC ليتم دعم كل من مهمتها وتنفيذ التحليل الخاص بهم لمجموعة بيانات DITL لدى OARC، بصرف النظر عن العمل الذي ترعاه ICANN الذي قامت بتنفيذه Interisle/RTFM.
- كان كل هذا يحدث في سياق الضغط على فترات زمنية لنشر طاقات TLD الجديدة وجدول تحليل وتعليقات ICANN.
ولحسن الحظ، ونتيجة لخطة إعادة التطوير التي التزم بها مجلس إدارة OARC سابقًا في عام 2013، أجري بالفعل تحديث للبرامج والأجهزة الكبرى، وفي وقت تحديد متطلبات دراسة السلاسل المتصادمة، كان مهندس النظم الجديدة لدى OARC، ويليام سوتومايور، مستعدًا لنشر موارد الحساب الجديدة اللازمة.
ومن ثم كانت OARC قادرة بسرعة على تسليم، وتقديم البرامج الجارية بالفعل، التبرع بمعدات مهمة من خوادم 4 x Dell r820 من ICANN، بالإضافة إلىبعض الخوادم الأخرى المماثلة التي يتبرع بها أعضاء OARC المهتمين. هذه آلات موصفات عالية جدًا، مع معالجات 64 – أساسية وعلى الأقل 48 جيجا بايت رام. وقد أخذوا القدرة على تحليل OARC بقوة في الوقت الحاضر، وسوف تكون ذات قيمة هائلةليس فقط لدراسات التصادم المستمر، ولكن لتلبية احتياجات الأغراض العامة لأعضاء OARC والباحثين لبعض السنوات في المستقبل.
وقد كانت OARC في العمل لـ”البيانات الكبرى” لتواجدها، ولكن لم يتم تحديد قيمة هذا النطاق لجمع البيانات بشكل كبير والاعتراف به على نطاق موسع. مع هذا الإسهام الكبير، والمزيد من التبرعات بالمعدات والمساحات، تتطلع OARC دائمًا إلى المشاركة في ابتكار ثورة للحوسبة السحابية والبيانات الكبيرة.
تظهر قدرة OARC على توفير الحلول للمشكلات التي لم يتم توخيها عند تأسيسها قيمة البيانات للأغراض العامة المحايدة التي تجمعها DNS بسياق أوسع من “علوم الإنترنت”.
الإقرارات
تتوجه OARC بالشكر والتقدير والامتنان لـ ICANN للتبرع بهذه المعدات، ونتطلع دائمًا لاستمرار العمل مع ICANN، والأعضاء والشركاء الآخرين، ومجتمع الأبحاث للاستمرار في تلبية هذه الاحتياجات.
ولتحقيق ذلك بسرعة قمنا بالاستعانة بمساعدة دد من الأطراف الذين تتوجه OARC بالشكر لهم جميعًا. نتوجه بالشكر خاصة لتيري ماندرسون، المدير الجديد لعمليات NS وفريقه لشراء الخوادم، CAIDA لإعارتها القدرة الحسابية للسماح لـ Interisle/RTFM بالـٌ>م في أعمالهم في الوقت الحالي، وفرق العمليات لدى مزود استضافة ISC، OARC، لجهود الحصول على خوادمنا لتشغيلها.
كيث ميتشل
الرئيس، DNS-OARC