fr

L’importance de la racine L dans le monde du DNS

11 septembre 2015

Terry Manderson, Sr. Director, Security and Network Engineering

En plus des six langues des Nations Unies, ce contenu est aussi disponible en

David Soltero (left) and Terry Manderson (right)

En ce moment, de nombreuses personnes sont focalisées sur l'important travail lié au transfert de la supervision de l'IANA, et à juste titre ! Nous allons cependant nous écarter de ce sujet un moment pour entreprendre un court voyage dans le monde fascinant des technologies de l'Internet. Je vous propose de vous servir un café et de vous installer confortablement pour réfléchir ensemble à certaines des infrastructures sous-jacentes qui permettent le fonctionnement d'Internet. Prêt ? Allons-y !

Comprendre la racine L

On entend beaucoup parler de ce qui va dans la zone racine. Les processus, les inquiétudes, les réussites... Pourtant, nous oublions parfois que la zone racine est servie par un tas de serveurs. Et quand je dis « un tas de serveur », il s'agit bien sûr d'un euphémisme. En réalité, le nombre d'emplacements depuis lesquels est servie la zone racine est complètement ahurissant. Si vous allez faire un tour sur www.root-servers.org, vous découvrirez que les 13 serveurs que compte la racine disposent en réalité de plus de 480 emplacements de serveur racine ! Les douze organisations qui gèrent les 13 serveurs racines sont profondément engagées dans leurs actions. Parmi celles-ci, l'ICANN prend ses obligations vis-à-vis de la racine L très à cœur.

J'espère que vous avez pris le temps à l'occasion de vous informer sur cet incroyable réseau. Vous avez peut-être regardé une ou deux présentations sur le travail d'expansion de la racine L, lu l'un des précédents blogs à ce propos, ou entendu parler d'un réseau à proximité utilisé pour héberger une instance du serveur racine L. Peut-être même que votre entreprise en héberge une. Autrement, votre entreprise souhaite peut-être rejoindre la communauté et héberger une racine L sur son réseau. Dans ce cas, il suffit d'un simple clic.

Garantir le bon fonctionnement de la racine L : stabilité et résilience

L'ICANN s'est engagée sur la voie de l'expansion depuis déjà quelques années. Nous savons en effet que l'ajout de nouvelles instances à l'infrastructure de la racine L à travers le monde améliore la stabilité et la résilience de l'Internet, ce dont chacun peut bénéficier. C'est avec cet objectif en tête que nous progressons sur deux autres dimensions de la stabilité et résilience globale de l'Internet : augmenter la robustesse de la racine L, et atténuer les attaques par déni de service distribué (DDoS) et les attaques zero-day potentiellement dirigées contre la racine L.

Ces considérations me conduisent à énoncer l'hypothèse suivante : Et si la racine L était la cible d'une attache par déni de service massive ? Si, par exemple, le trafic atteignait 50 fois la somme globale actuelle de trafic DNS sur la racine ? Nous ne voudrions certainement pas interrompre le service du DNS depuis la racine L, ni voir ce trafic impacter les 12 autres serveurs.

Envisageons maintenant le pire des cas. Imaginons que pendant cette attaque par déni de service, un hacker intelligent découvre une faille dans le logiciel du DNS, voire dans son système d'exploitation.

Cette possibilité nous inquiète énormément. C'est pourquoi nous sommes en train de prendre des mesures actives pour éviter que ce genre d'événement ne se produise, ou tout au moins pour y être préparés.

Dans ce but, notre approche pour rendre la racine L aussi résiliente que possible a de multiples facettes. Il y a quelques jours, l'ICANN a déployé un cluster de serveurs de racine L à Prague (aimablement hébergé par CZ.NIC (http://www.nic.cz)). Ce cluster dispose de deux fonctionnalités essentielles qui ont été conçues pour le protéger contre le scénario catastrophe que j'ai décrit précédemment.

  1. Le cluster est capable de supporter une charge 700 fois plus importante que celle du réseau de la racine L tout entier. Pour vous faire une idée de sa puissance, n'hésitez pas à faire un tour sur le site hedgehog.dns.icann.org, où nous mettons à la disposition du public le volume de trafic DNS que nous constatons.
  2. Ce cluster est construit à l'aide de deux code base pour DNS différents et extrêmement performants. « Knot » de CZ.NIC (http://www.nic.cz), et « NSD » de NLNetLabs (http://www.nlnetlabs.nl). Les serveurs du cluster disposent de deux systèmes d'exploitation complètement différents. Cette approche hétérogène permet de garantir notre résilience en cas de problème futur avec un fournisseur.

Notre plan consiste à déployer au moins deux installations extrêmement performantes de ce type. Le prochain déploiement aura lieu en Asie.

Nous souhaitons exprimer notre profonde gratitude envers les membres de CZ.NIC pour plusieurs raisons. Tout d'abord, pour avoir établi un partenariat avec nous en 2009 pour notre première instance de racine L hébergée en externe, et pour déterminer les besoins prioritaires de la communauté Internet. Le temps et les efforts qu'ils ont consacrés à héberger notre infrastructure est une preuve indéniable de leur engagement envers le DNS global. De plus, CZ.NIC a effectué un travail remarquable pour créer un nouveau code base de grande qualité pour serveur DNS qui nous permet de faire avancer nos idéaux d'hétérogénéité au sein de la racine L. Je remercie donc chaleureusement Ondrej Filip et son équipe de choc !

Sr. Director, Security and Network Engineering

Terry Manderson