es

A importância do L-Root no Mundo DNS

11 de septiembre de 2015

Terry Manderson, Sr. Director, Security and Network Engineering

Además de estar disponible en los seis idiomas de las Naciones Unidas, este contenido también está disponible en

David Soltero (left) and Terry Manderson (right)

Agora, muitas pessoas têm voltado a atenção para o importante trabalho relacionado à Transição da Supervisão da IANA, e com razão! Bem, vamos mudar de rota brevemente para fazer uma curta viagem ao mundo excitante da tecnologia de Internet. Na verdade, por que não pegar um café, relaxar as pernas e me acompanhar na análise de algumas das infraestruturas subjacentes que mantêm a Internet em operação? Pronto? Excelente!

Entendendo a L-Root

Ouvimos de tudo sobre o que acontece na zona-raiz. Processos, dúvidas, sucessos - porém, às vezes, esquecemos que a zona-raiz usa um monte de servidores. É claro que estou brincando quando digo "um monte de servidores". Na verdade, o número de locais utilizados pela zona-raiz é bem impressionante. Se você visitar as páginas do www.root-servers.org, vai observar que, embora haja apenas 13 servidores-raiz, existem mais de 480 locais de servidores-raiz! As doze organizações que operam os 13 servidores-raiz estão totalmente comprometidas com o que fazem, e a ICANN, como uma dessas 12, leva a sério sua obrigação de operar o "L-Root".

Tenho esperança de que, regularmente, você dedique algum tempo a aprender sobre essa rede incrível. Talvez você tenha assistido a uma ou duas apresentações sobre os trabalhos de expansão do L-Root, lido uma postagem de blog ou ouvido que redes próximas estão hospedando uma instância de servidor de L-Root. Talvez sua própria empresa hospede um deles. Caso não, talvez sua empresa esteja interessada em participar da comunidade e hospedar um L-Root na sua rede. Caso seja isso, só demoraum clique.

Mantenha o L-Root em atividade: Estabilidade e resiliência

A ICANN já está na trilha da expansão há alguns anos, caminhando com a compreensão de que criar mais instâncias da infraestrutura do L-Root pelo mundo melhora a estabilidade e a resiliência da Internet - algo que pode trazer vantagens a todos. Com isso em mente, progredimos em nosso trabalho nas outras duas dimensões da resiliência e estabilidade globais da Internet: o aumento da robustez do L-Root e a mitigação de ataques distribuídos de negação de serviço (DDoS) e ataques de dia zero orientados potencialmente a "L".

Dessa forma, permita que eu proponha uma hipótese: E se o L-Root fosse alvo de um ataque massivo de negação de serviço? Digamos que o tráfego seja 50 vezes maior que o número global atual para o tráfego do DNS raiz. Certamente, nós não desejaríamos parar de servir o DNS a partir do L-Root nem ver esse tráfego afetar outro dos 12 servidores.

Agora, vamos imaginar a tempestade perfeita. Imagine que durante o ataque de negação de serviço algum hacker sagaz descubra uma falha no software do DNS ou mesmo uma abertura do sistema de operação.

Essa possibilidade nos preocupa muito. É por isso que estamos adotando ativamente medidas para garantir que algo dessa natureza nunca aconteça, mas que, caso ocorra, estejamos preparados.

Para isso, a abordagem adotada para fazer do L-Root o mais resiliente possível é multifacetada. Alguns dias atrás, a ICAN instalou um cluster de servidores de L-Root em Praga (felizmente agora hospedado por CZ.NIC (http://www.nic.cz)). Há dois recursos essenciais neste cluster, que se destinam a protegê-lo contra o cenário da tempestade perfeita descrito acima:

  1. O cluster é capaz de administrar até o máximo de 700 vezes a carga observada na rede inteira de L-Root. Para imaginar essa capacidade, fique à vontade para espiar em hedgehog.dns.icann.org, onde apresentamos para o público o tráfego do DNS que observamos.
  2. O cluster é montado com dois códigos-base de DNS, diferentes e de alta performance. "Knot" do CZ.NIC (http://www.nic.cz) e "NSD" do NLNetLabs (http://www.nlnetlabs.nl). Os servidores do cluster foram construídos em dois sistemas de operação completamente diferentes. Essa abordagem heterogênea indica que somos resilientes em relação a qualquer problema futuro com um fornecedor.

Nosso plano é instalar, pelo menos, mais duas dessas estruturas de alta performance, sendo a Ásia a próxima região de instalação.

Queremos agradecer imensamente ao pessoal do CZ.NIC por várias coisas. Em primeiro lugar, pela parceria conosco desde 2009, ano da nossa primeira instância L-Root hospedada em ambiente externo, e por priorizar as necessidades da comunidade da Internet. Seu tempo e dedicação para hospedar nossa infraestrutura são uma grande declaração do seu compromisso com o DNS global. Em segundo lugar, o CZ.NIC teve que se esforçar bastante para criar outro código-base de alta qualidade para o servidor de DNS que nos permite consolidar ideais de heterogeneidade no L-Root. Então, um grande obrigado para Ondrej Filip e sua maravilhosa equipe!

Sr. Director, Security and Network Engineering

Terry Manderson