ru

Важность L-Root в мире DNS

11 сентября 2015

Terry Manderson, Sr. Director, Security and Network Engineering

В дополнение к языкам, использующимся в ООН, этот материал также доступен на

David Soltero (left) and Terry Manderson (right)

В наши дни многие люди сосредоточены на важности работы, связанной с переходом на управление IANA, и не зря! Сменим тему ненадолго, чтобы совершить краткое путешествие в невероятный мир интернет-технологий. Налейте себе чашку кофе, расслабьтесь, и давайте говорим о базовой инфраструктуре, которая поддерживает работу Интернета. Вы готовы? Замечательно!

Понимание L-Root

Мы так много слышали о том, что происходит в корневой зоне. Процессы, проблемы, успехи — однако иногда мы упускаем тот факт, что корневая зона обслуживается кучей серверов. Конечно, я легкомысленно говорю "куча серверов". По правде говоря, количество мест, из которых обслуживается корневая зона, потрясает. Если вы перейдете на сайт www.root-servers.org, то увидите, что несмотря на наличие 13 корневых серверов, фактически там больше 480 мест расположения корневых серверов! Двенадцать организаций, которые управляют 13 корневыми серверами, связаны строгими обязательствами с тем, что они делают, и с ICANN, и одна из них так же ответственно работает с "L-Root".

Я надеюсь, что вы смогли найти время и ознакомиться с этой невероятной сетью. Возможно, вы посмотрели пару презентаций по расширению L-Root, ранее прочитали о ней в блогах или слышали о сетях поблизости, в которых размещен экземпляр сервера L-Root. Возможно, один из них даже размещается в вашей организации. А если нет, может быть, ваша компания заинтересована в присоединении и размещении L-Root в вашей сети. Если это так, вам нужно только щелкнуть здесь.

Обеспечение работы L-Root: стабильность и надежность

Организация ICANN расширялась последние несколько лет, и мы понимаем, что добавление дополнительных экземпляров инфраструктуры L-Root по всему миру повышает стабильность и устойчивость Интернета, что позволяет получить преимущества всем. Зная это, мы распространили нашу работу на два других измерения глобальной стабильности и устойчивости Интернета: повышение надежности L-Root, снижение риска распределенных атак типа "отказ в обслуживании" (DDoS) и эксплойты нулевого дня, которые могут быть направлены на "L".

С учетом этого представим гипотетическую ситуацию. Что если на L-Root была направлена масштабная атака типа "отказ в обслуживании"? Скажем, что трафик в 50 раз больше текущего глобального трафика корневого DNS. Нам бы точно не хотелось останавливать обслуживание DNS из L-Root или позволить повлиять на трафик любого из 12 корневых серверов.

Рассмотрим самую плохую ситуацию. Представьте, что во время атак типа "отказ в обслуживании" какой-нибудь смышленый злоумышленник обнаруживает брешь в ПО DNS или даже эксплойт операционной системы.

Такая вероятность нас сильно беспокоит. Поэтому мы предпринимаем активные действия, чтобы такое никогда не произошло, а если бы произошло, мы были бы подготовлены.

В силу этого подход, выбранный для обеспечения надежности L-Root, является многоаспектным. Несколько дней назад компания ICANN развернула кластер серверов L-Root в Праге (который был любезно размещен CZ.NIC (http://www.nic.cz)). В этом кластере есть две ключевые функции, предназначенные для защиты от наихудшего сценария, описанного выше:

  1. Кластер может обработать нагрузку, в 700 раз превышающую нагрузку, которую мы наблюдаем во всей сети L-Root. Чтобы получить представление об этой емкости, просмотрите сайт hedgehog.dns.icann.org, где в общем доступе представлен объем видимого трафика DNS.
  2. Этот кластер создан с помощью двух разных баз кода DNS с высокой производительностью: "Knot" от CZ.NIC (http://www.nic.cz) и "NSD" от NLNetLabs (http://www.nlnetlabs.nl). Серверы в кластере созданы на основе двух полностью отличающихся операционных систем. Этот гетерогенный подход обеспечивает устойчивость к любым будущим проблемам с одним поставщиком.

Мы планируем развернуть по крайней мере еще две установки с высокой производительностью в Азии.

Мы бы хотели выразить благодарность сотрудникам CZ.NIC за следующее. Во-первых, за партнерство с нами с 2009 г. по первому внешнему развернутому экземпляру L-Root и определение приоритетов требований интернет-сообщества. Время и усилия, затраченные на размещение инфраструктуры, говорят многое об их заинтересованности в глобальных DNS. Во-вторых, компания CZ.NIC много сделала для создания другой базы кода DNS-сервера высокого качества, которая позволяет внедрять образцы гетерогенного подхода в L-Root. Поэтому благодарим вас, Ондржей Филип (Ondrej Filip), и вашу великолепную команду!

Sr. Director, Security and Network Engineering

Terry Manderson