Skip to main content

Diez Millones de Resoluciones del DNS en Internet

Las Resoluciones son servidores en Internet que utilizan el protocolo del Sistema de Nombres de Dominio (DNS) [TXT, 120 KB] para recuperar información de servidores autorizados y enviar respuestas a solicitudes de usuarios finales. Se suelen encontrar en redes de empresas y Proveedores de Servicios de Internet (ISPs), y existe una cantidad de servicios de resolución pública que brindan empresas como Google y OpenDNS. También es posible configurar su propia computadora para que sea una resolución, o para que despliegue su propia resolución en su red personal utilizando un software gratuito, como por ejemplo ISC BIND9 y NLNet Labs’ unbound.

Entonces, considerando esto, ¿cuántas resoluciones existen? Dado que cualquier persona puede ejecutar una, parece ser algo difícil de medir. Resulta, sin embargo, que todas las resoluciones que se comunican directamente con servidores autorizados en Internet dejan un rastro, y entonces, recopilando algunos datos, podemos llegar a una cantidad.

En el año 2010, la ICANN, VeriSign y la Administración Nacional de Telecomunicaciones e Información (NTIA) finalizaron una colaboración positiva que tenía como objetivo desplegar las Extensiones de Seguridad para el Sistema de Nombres de Dominio (DNSSEC) [TXT, 52 KB] en la zona raíz del DNS. Como parte de ese proyecto, los Operadores de Servidores Raíz recopilaron solicitudes al DNS que fueron entregados a sus infraestructuras individuales de Servidores Raíz, y depositaron los datos resultantes al Centro de Investigación y Análisis de Operaciones del DNS (DNS-OARC) para ser analizados.

El objetivo de este ejercicio de recolección de datos era intentar identificar cualquier posible problema que pueda surgir para los clientes del DNS como consecuencia del despliegue de las DNSSEC. El resultado de este ejercicio, sin embargo, es un conjunto de datos que brinda un entendimiento profundo acerca del tráfico del DNS entre un conjunto muy representativo de resoluciones del DNS y servidores autorizados del mismo sistema (casi todas las resoluciones se comunican con un servidor raíz de vez en cuando).

Uno de los ejercicios de recolección de datos que se llevó a cabo tuvo una base de tiempos especialmente larga. La recolección se denomina “LTQC” (Recolección de Consultas A Largo Plazo [Long-Term Query Collection]), y se encargó de consultas principales, es decir, las consultas iniciales que todas las resoluciones envían a un servidor raíz cuando se inicia para obtener una recopilación actualizada de nombres de servidores raíz del DNS. Once de los trece servidores raíz proporcionaron datos a esta recolección, incluyendo el servidor de raíz L, el servidor raíz operado por la ICANN. Se recolectaron datos entre noviembre de 2009 y julio de 2010.

Entonces, esta es nuestra metodología: observamos a todas las solicitudes contenidas en la captura de paquetes de la LTQC y contamos la cantidad de direcciones únicas de origen de IPv4 e IPv6.

Durante el período de recolección, observamos 9.945.017 direcciones únicas de origen, de las cuales 59.489 (0.60%) eran de IPv6 y 9.885.528 (99.40%) de IPv4.

Entonces, ¿cuáles son las resoluciones que no podremos ver?

No podremos ver resoluciones internas que no envíen consultas a servidores autorizados directamente a través de Internet y que, en cambio, las estén enviando a través de otras resoluciones intermedias. Entre este tipo de resoluciones se incluyen aquellas que se encuentran ocultas detrás de dispositivos intermedios (middleboxes) que redirigen consultas del DNS hacia un caché central, o que, de lo contrario, cambian el comportamiento normal principal.

No necesariamente observaremos resoluciones internas que son desplegadas detrás de un Traductor de Dirección de Redes (NAT). Al menos, en ciertas situaciones, quizás veamos una sola de ellas.

No veremos resoluciones que comenzaron (y se prepararon) antes que se iniciara el período de recolección de datos, y que nunca se prepararon nuevamente antes que finalizara dicho período.

Obviamente tampoco veremos ninguna resolución que haya sido puesta en funcionamiento una vez finalizado el período de recolección, y suponemos que la cantidad de resoluciones está aumentando probablemente debido al crecimiento general de Internet.

Cualquier resolución que haya sido numerado nuevamente durante el período de recolección (y se haya preparado antes y después de que haya ocurrido el cambio de numeración), será contado dos veces. Intuitivamente, esto parece ser un efecto menor; pensamos que la mayoría de las resoluciones están cambiando de numeración con poca frecuencia, ya que generalmente se los denomina utilizando direcciones en lugar de nombres.

Dado que se esperan errores en la cantidad de resoluciones que medimos debido a los efectos descritos anteriormente, parece conveniente redondear la respuesta a una única cifra significativa; al menos esto nos brinda un orden de magnitud de estimación mínima.

¿Con qué nos quedamos? Con que en la actualidad existen al menos 10 millones de resoluciones del DNS en Internet.

Comments

    Domain Name System
    Internationalized Domain Name ,IDN,"IDNs are domain names that include characters used in the local representation of languages that are not written with the twenty-six letters of the basic Latin alphabet ""a-z"". An IDN can contain Latin letters with diacritical marks, as required by many European languages, or may consist of characters from non-Latin scripts such as Arabic or Chinese. Many languages also use other types of digits than the European ""0-9"". The basic Latin alphabet together with the European-Arabic digits are, for the purpose of domain names, termed ""ASCII characters"" (ASCII = American Standard Code for Information Interchange). These are also included in the broader range of ""Unicode characters"" that provides the basis for IDNs. The ""hostname rule"" requires that all domain names of the type under consideration here are stored in the DNS using only the ASCII characters listed above, with the one further addition of the hyphen ""-"". The Unicode form of an IDN therefore requires special encoding before it is entered into the DNS. The following terminology is used when distinguishing between these forms: A domain name consists of a series of ""labels"" (separated by ""dots""). The ASCII form of an IDN label is termed an ""A-label"". All operations defined in the DNS protocol use A-labels exclusively. The Unicode form, which a user expects to be displayed, is termed a ""U-label"". The difference may be illustrated with the Hindi word for ""test"" — परीका — appearing here as a U-label would (in the Devanagari script). A special form of ""ASCII compatible encoding"" (abbreviated ACE) is applied to this to produce the corresponding A-label: xn--11b5bs1di. A domain name that only includes ASCII letters, digits, and hyphens is termed an ""LDH label"". Although the definitions of A-labels and LDH-labels overlap, a name consisting exclusively of LDH labels, such as""icann.org"" is not an IDN."