ru

Какие выводы помогает сделать ITHI о концентрации резолверов

27 октября 2020

Gabriella SchittekGabriella Schittek, Global Stakeholder Engagement Senior Manager – Nordic and Central EuropeAlain DurandAlain Durand, Principal Technologist, Office of the Chief Technology Officer (OCTO)

В июле 2020 года мы опубликовали статью в блоге, в которой представили исследовательские инициативы ICANN – проект по измерению индикаторов работоспособности технологий идентификаторов (ITHI) – с описанием значения ITHI для экосистемы интернета, а также целей привлечения новых участников к проекту и сбора дополнительных данных. Структура трафика и тенденции, которые мы наблюдаем, помогут всем, кто работает с ключевыми частями системы доменных имен (DNS) лучше выполнять свою работу и поддерживать отказоустойчивость интернета.

Мы бы хотели поделиться некоторыми результатами работы в рамках этой инициативы, чтобы пояснить, чем может быть полезен проект ITHI сообществу по обслуживанию DNS. Начнем с общего обзора того, что именно индикаторы работоспособности технологий идентификаторов продемонстрировали в отношении концентрации резолверов.

Что такое концентрация резолверов? Для того, чтобы ответить на этот вопрос, надо вспомнить что такое DNS-резолвер и в чем состоит его роль. Основная функция DNS-резолвера – преобразовывать доменные имена в IP-адреса. Если переход на тот или иной сайт выполняется по доменному имени, то вашему устройству сначала надо преобразовать доменное имя сайта в уникальный IP-адрес. Ваш запрос отправляется одному или более DNS-резолверов. Эти резолверы обращаются к другим DNS-серверам за адресом, который вы и получаете в ответ.

DNS-резолвер – это сервис, который обычно предоставляется вашим интернет-провайдером в качестве основной составляющей пакета интернет-услуг. По умолчанию схема действует согласно описанию выше, то есть запросы к DNS от ваших устройств передаются на DNS-резолверы, которые обслуживает ваш интернет-провайдер.

Есть и другие варианты – это так называемые «открытые DNS-резолверы», которые существуют и обслуживаются отдельно от интернет-провайдеров. Некоторые из них функционируют уже много лет, например, сервис OpenDNS, который теперь называется Cisco Umbrella (обслуживается компанией Cisco и принадлежит ей), а также сервис Public DNS компании Google по IP-адресу 8.8.8.8.

Другие сервисы открытого DNS возникли позднее, например от Cloudfare и Quad9. Вы можете так задать настройки в своем устройстве, чтобы вместо резолвера вашего интернет-провайдера оно использовало один из этих публичных резолверов.

Резолверы, которыми вы пользуетесь на своем устройстве, обычно можно поменять, просто изменив настройки в самом устройстве. Шлюз доступа вашей сети также можно настроить таким образом, чтобы сменить резолверы на всех устройствах вашей сети. Некоторые интернет-провайдеры, по разным причинам, решили сконфигурировать свой сервис разрешения DNS таким образом, чтобы использовать открытый DNS-резолвер.

Все эти действия могут привести к так называемой «концентрации резолверов», потому что все больше запросов конечных пользователей к DNS разрешаются при помощи небольшого количества сторон.

За последние два года эти вопросы были предметом множества дискуссий среди членов сообщества ICANN, а в апреле 2020 года офис технического директора ICANN (OCTO) опубликовал документ под названием «Последствия шифрования DNS для локальной и интернет политик». Вы, возможно, знакомы с терминами DoH (DNS по HTTPS, см. RFC8484) и DoT (DNS по TLS, см. RFC7858), которые относятся к методам шифрования и аутентификации DNS-трафика.

Без ответа оставался вопрос о том, не приведет ли развертывание подобных методов шифрования к дальнейшей концентрации рынка DNS-резолверов. Для того, чтобы измерить эту концентрацию, нам надо следить за объемом запросов к DNS и количеством используемых при этом резолверов, и наша команда решила, что в рамках проекта ITHI также будет измерять и концентрацию DNS-резолверов. В отличие от измерений, которые производятся с нашими партнерами, операторами доменов верхнего уровня (TLD) или крупными интернет-провайдерами, это измерение производилось совместно с Сетевым информационным центром стран Азии и Тихоокеанского региона (APNIC), региональной интернет-регистратурой Азиатско-Тихоокеанского региона.

Измерить количество запросов оказалось не так просто, как мы предполагали, так как стало понятно, что люди иногда используют более одного резолвера при отправке запросов, а это может привести к дублированию информации о запросах через разные резолверы. Мы определили ряд показателей, которые должны помочь нам изучить эту проблему с разных точек зрения, в итоге решив учитывать только первый запрос, поступающий от каждого пользователя, и привязывать каждого пользователя к первому DNS-резолверу, который обрабатывает его запрос к DNS. Затем мы сортируем этот список DNS-резолверов по количеству пользователей, обслуживаемых каждым резолвером, и продолжаем идти по списку, чтобы определить, сколько требуется резолверов, обрабатывающих запросы от 50 процентов всех интернет-пользователей. Мы также считаем, сколько резолверов необходимо для работы с 90 процентами всех пользователей.

Эти измерения начали выполняться в октябре 2019 года; результаты приведены ниже.

По состоянию на октябрь 2020 года, чтобы увидеть 50% всех интернет-пользователей необходимо 212 резолверов, и 2149 резолверов, чтобы увидеть 90%. За последние 12 месяцев эти цифры существенно не менялись. Для контекста поясним, что в мире миллионы резолверов.

Тем членам сообщества, у которых вызывает беспокойство концентрация резолверов, предлагаем следить за эволюцией эти цифр.

Сама по себе концентрация резолверов прямых последствий для отказоустойчивости интернета может и не иметь, но это важный фактор и о нем следует помнить; ICANN предоставляет данные по результатам своих наблюдений для дальнейшего изучения этого вопроса.

Нам все еще нужна ваша помощь! Если вы обслуживаете рекурсивный DNS-сервер или домен верхнего уровня, мы обращаемся к вам за помощью – предлагаем на партнерских условиях предоставлять данные, которые будут использоваться для выполнения измерений для дальнейшего повышения пользы от проекта ITHI для интернет-сообщества. Напоминаем, что данные, которые мы просим предоставлять, анонимизируются, обобщаются и не содержат никаких личных данных.

И, наконец, мы бы хотели выразить признательность APNIC и подчеркнуть критически важную роль этой региональной регистратуры в реализации этого проекта.

Дополнительные данные об измерениях ITHI доступны по адресу https://ithi.research.icann.org.

Узнать о ITHI и способах участия можно, обратившись к Габриэле Шитек (Gabriella Schittek) gabriella.schittek@icann.org или Алану Дурану (Alain Durand) alain.durand@icann.org, которые будут рады помочь.

Gabriella Schittek
Gabriella Schittek
Global Stakeholder Engagement Senior Manager – Nordic and Central Europe

Gabriella Schittek

Read biographyRead biography
Principal Technologist, Office of the Chief Technology Officer (OCTO)

Alain Durand

Read biographyRead biography