Центр операций, анализа и исследований DNS (DNS-OARC) был создан уже почти десятилетие назад в качестве признания того, что ключевое положение DNS в архитектуре интернета создает значительный риск того, что система может стать как жертвой, так и средством различных способов ненадлежащего использования. При этом вдохновением для создания DNS-OARC послужила идея о том, что сотрудничество в сочетании со сбором, обменом и анализом данных совместными усилиями операторских и исследовательских сообществ способны как защитить от подобного ненадлежащего использования, так и обеспечить более глубокое понимание операций DNS и интернета.
С момента основания OARC в 2004 году критичность этих вопросов не переставала расти, а организация развилась из проекта в рамках ISC, Консорциума интернетных систем, в независимую, нейтральную, некоммерческую организацию, основанную на членстве, с собственным персоналом и количеством членов, насчитывающим более 70 человек. Ее миссия — улучшение безопасности, стабильности и понимания инфраструктуры DNS интернета.
В дополнение к проведению семинаров дважды в год, обеспечению различных механизмов для общественности и платформ для сотрудничества между членами, OARC также поддерживает несколько инициатив по крупномасштабному сбору данных, в рамках которых осуществляется сбор данных из инфраструктуры членов центра. Одна из этих инициатив была начата в 2004 году по линии сотрудничества с CAIDA, Кооперативной ассоциациией анализа сетевых данных. Инициатива финансируется Национальным научным фондом (NSF) и называется “День в жизни интернета” (DITL). Минимум раз в год в ее рамках осуществляется сбор подробных наборов данных DNS-запросов, направленных операторам корневых DNS и DNS доменов верхнего уровня в течение 48-часов. Идея — создать архив базовых данных, которые могут сравниваться с аналогичным периодом предшествующего года. Сбор данных также осуществляется во время значительных изменений в глобальном DNS, таких как делегирование IPv6 и подпись корневой зоны DNSSEC. За последнее десятилетие OARC накопил набор данных размером более 40 Tбайт запросов DITL.
Критический компонент возможностей и вклада OARC — наличие необработанных операционных данных. Многие из принципов, лежащих в основе режима технической разработки и отказа интернет-трафика плохо поняты, и поэтому важно отметить, что не все угрозы надежной, безопасной эксплуатации интернета являются преднамеренными. Партнеры OARC, такие как CAIDA, провели исследования, продемонстрировавшие, что значительное количество нежелательного DNS-трафика и проблем эксплуатации вызваны неправильной конфигурацией DNS или зависящих от нее приложений. Единственный способ улучшить это положение дел — это применить научный метод к крупномасштабному изучению подобных явлений.
ICANN оказывает верную поддержку OARC со времени вступления в ряды центра в 2008 году. Корпорация работает с OARC в качестве оператора корневой зоны L, поставляющего данные DNS, поддерживает различные совместные мероприятия и служебную инфраструктуру, а недавно она предоставила одного члена правления.
В 2012 году SSAC, Комитету ICANN по безопасности и стабильности , стало очевидно потенциальное новое препятствие на пути к развертыванию новых доменов верхнего уровня ICANN. Был выявлен риск того, что некоторые из предлагаемых новых доменов верхнего уровня уже широко применялись компаниями для строго внутреннего пользования, и в кроме того, что SSL-сертификаты, которые предназначались только для подобного внутреннего пользования, уже были предоставлены этим организациям. Это могло привести к риску возникновения коллизий между дозволенным внутренним использованием этих доменов верхнего уровня и потенциальным злоумышленным ненадлежащим использованием этих сертификатов в глобальном интернете.
Очевидно, что проблема могла потенциально стать существенной и создать напряженность между интересами операторов новых доменов верхнего уровня, которые хотят как можно быстрее развернуть своих новые домены, и очень реальным риском ненадлежащей деятельности, или даже вызвать непредвиденные последствия, при чем и поодиночке и в совокупности они могли иметь глобальное воздействие.
При определении политики действий в подобных ситуациях важно иметь данные, на основании которых можно было бы потом действовать. Из-за сжатых сроков развертывания действий, работа по сбору новых данных с нуля могла быть трудоемкой и занять много времени. К счастью, было быстро определено, что набор данных DITL OARC может включать свидетельства, необходимые для помощи в определении реальности опасений SSAC на практике, и в случае их реальности, определения их степени. Журнал запросов к корневым серверам и к серверам доменов верхнего уровня содержит не только настоящие строки доменов верхнего уровня, но и “протекающие” строки, предназначенные исключительно для внутреннего пользования, но перебегающие в общий интернет из-за неправильной конфигурации. Именно такие виды непредусмотренных последствий могут привести к возникновению опасений, поднятых в исследовании, что делает собранные данные полезной выборкой того, что может пойти не в то русло или использоваться в ненадлежащих целях.
Набор данных DITL OARC был признан очень подходящим для этой конкретной потребности, но при этом важно понимать, что он представляет только один взгляд на DNS, далеко не полный и не окончательный: например, он включает только некоторые из запросов к операторам корневых серверов за короткий промежуток времени, и не включает запрос ко многим другим операторам доменов верхнего уровня, например, или к ISP, предоставляющим своим подписчикам услуги по разрешению DNS. Вероятно невозможно получить полное представление о DNS методом сбора трафика; значение разных подходов также не следует оставлять без внимания.
Определение проблемы и набора данных также может стать одним из решений, и теперь корпорация ICANN привлекла компанию Interisle, и RTFM, ее подрядчика, для выполнения данного анализа. В краткосрочной перспективе эти работы начались с предоставления во временное пользование вычислительных мощностей CAIDA, находящихся в OARC для подготовки первоначального отчета.
В ожидании результатов для дальнейшего анализа данных было необходимо удовлетворить некоторое количество требований:
- Данные DNS, передаваемые OARC из юрисдикцией всего мира, могут содержать конфиденциальную информацию; они хранятся OARC на доверительной основе при выполнении строгих условий сохранения конфиденциальности. Таким образом обеспечивается предоставление данных значительно большим количеством сторон, что в противном случае было бы возможно. При этом условиями запрещается копирование данных из архива OARC на системы третьих сторон.
- Системы, предоставляющие хостинг растущему набору данных OARC, постоянно обновляются, а обеспечивающие их инфраструктуры поддержки, включая вычислительные мощности для проведения анализа данных на месте членами организации и исследователями, напротив, не обновлялись со времени предоставления первоначального финансирования NSF десять лет назад и остро нуждались в модернизации.
- Многие новые операторы доменов верхнего уровня хотели стать членами OARC как для поддержания его миссии, так и для проведения собственного анализа наборов данных в OARC при помощи наборов данных DITL независимо от работы, финансирующейся ICANN и выполняемой компаниями Interisle/RTFM.
- Все это происходило в контексте сжатых сроков развертывания новых доменов верхнего уровня и выполнения работ по анализу и подаче комментариев ICANN.
К счастью, благодаря разработке плана нового развития Правлением OАRC ранее в 2013 году, работы по масштабному обновлению программного обеспечения уже начались, а ко времени определения требования по изучению коллизии строк Уильям Сотомайор (William Sotomayor), новый системный инженер OARC, был готов развернуть новые вычислительные мощности.
OARC смог быстро осуществить поставку и ввод в эксплуатацию значительного пожертвования от ICANN в виде четырех серверов Dell К820 в дополнение к другим подобным серверам, пожертвованным заинтересованными членами OARC. Это машины с очень мощными техническими характеристиками, 64-разрядными процессорами и как минимум 48 Гбайт оперативной памяти. Они переносят возможности анализа OARC в вычислительное настоящее и принесут огромную пользу не только ведущимся исследованиям коллизий, но и общим потребностям членов OARC и исследователям на многие годы вперед.
OARC занимался “Большими данными” в течение большинства своего существования, но значение подобного крупномасштабного сбора данных получило общепризнанное определение и признание только сейчас. Благодаря этому крупному вкладу, а также планируемым пожертвованиям оборудования и места для хостинга, OARC с радостью смотрит на перспективу участия в инновационной революции облачных вычислений и больших данных.
Способность OARC обеспечить решение проблемы, возникновение которой не предполагалось при основании центра подчеркивает значимость нейтрального сбора данных из DNS для общих целей в более широком контексте науки об интернете.
Список благодарностей
OARC хотела бы выразить благодарность щедрости ICANN за пожертвование оборудования. Мы с радостью смотрим на перспективу продолжения работы с ICANN, с нашими другими членами, партнерами и исследовательским сообществом в целях продолжения обеспечения этой потребности.
OARC благодарен целенаправленной помощи целого ряда сторон, которые помогли быстро выполнить эту задачу. В частности мы бы хотели поблагодарить Терри Мандерсона (Terry Manderson), нового директора ICANN по операциям DNS и его команду за приобретение серверов, CAIDA за предоставление вычислительных мощностей во временное пользование для обеспечения возможности компаниям Interisle/RTFM продвинуться в своей работе, и команду ISC по эксплуатации, провайдера хостинга для OARC, за быструю работу в удаленном режиме по введению в эксплуатацию наших серверов.
Кит Митчел (Keith Mitchell)
Президент, DNS-OARC