Jak dobře jsou nastaveny české DNS servery?

Systém doménových jmen (DNS) je neoddělitelnou součástí sítě Internet. Poskytuje překlad mezi doménovými názvy a IP adresami a ostatní překlady pro nalezení cíle pro doručení pošty aj. Věnují však administrátoři DNS serverů adekvátní péči jejich nastavení?

Funkčnost Internetu a domén je na DNS systému zcela závislá, jelikož se při práci se zdroji v Internetu nepoužívají IP adresy, ale výhradně názvy. Pokud jsou DNS servery pro nějakou doménu nedostupné, přestává doména existovat. To by se také mělo odrazit v tom, jak administrátoři DNS serverů pečují o funkčnost, správnost nastavení a dostupnost příslušných serverů a domén, které jsou na nich evidovány.

Kořenové DNS servery a TLD

Nejdůležitější částí DNS systému jsou kořenové DNS servery (autoritativní DNS servery pro doménu nulté úrovně) a DNS servery domén první úrovně (TLD). Vzhledem ke své významnosti jsou tyto DNS systémy dobře promyšlené, výkonné, redundantní a udržované. Na této úrovni je dnes již standardem provozovat tzv. anycastová zrcadla DNS serverů, kdy je DNS server rozmístěn ve více kopiích na více místech po světě v různých autonomních systémech, všechny tyto kopie mají stejnou IP adresu a systém routování v síti Internet zajistí, že požadavky směřují na  nejbližší  z nich (nejbližší zde ve smyslu routovacích protokolů). Příkladem může být kopie F-ROOT serveru, který v Praze v rámci peeringového uzlu NIX provozuje sdružení CZ.NIC (viz AS112 – projekt DNS anycast).

Důležitost tohoto systému anycastových kopií kořenových DNS serverů se plně projevila v únoru tohoto roku, kdy došlo k masivnímu distribuovanému útoku na ně. Výrazně ovlivněny byly pouze ty, které zatím své anycastové kopie nemají. Ostatní z toho vyšly zcela bez úhony, jelikož se nával požadavků, pocházejících z útoku, rozložil mezi více serverů a některá zrcadla nebyla útokem dotčena vůbec (protože byla pro zdroje útoku nedosažitelná). Viz Útok na kořenové DNS servery 6.2.2007.

Domény nižších úrovní

U domén nižších úrovní, které vlastní koncoví zákazníci, už není situace tak přívětivá. Nejčastějším prohřeškem je umístění DNS serverů v jednom autonomním systému nebo pouze v jedné síti, občas se požadavek na minimální počet 2 DNS serverů u domény obchází tím, že se použije fyzický DNS server pouze jeden a přidělí se mu 2 doménové názvy nebo 2 IP adresy. Někteří lidé mají také ve zvyku si jeden nebo více DNS serverů dávat k sobě domů a mít je připojené přes domácí připojení (např. přes ADSL), které bývá výrazně méně spolehlivé, s vidinou toho, že mají server u sebe doma plně pod kontrolou. To všechno plyne z touhy co nejvíce ušetřit a z dojmu, že se přece nemůže nic stát. U domén osobního rázu, kde nefunkčnost nikomu příliš nevadí, se nedá k tomuto přístupu nic moc namítnout. Bohužel podobné tendence mají i firmy, které jsou na funkčnosti svých internetových prezentací, shopů, objednávkových systémů apod. závislé. Je možné, že se jim podaří na provozu DNS systému ušetřit několik tisíc korun měsíčně, ale při prvním větším výpadku své domény přijdou o zákazníky, kteří se u nich chystali utratit desetitisíce či statisíce. A jak víme, výpadky napájení ve velkých housingových centrech nejsou výjimkou.

Analýza CZ domén

Cílem projektu, který vznikl na KSI MFF UK (Katedra softwarového inženýrství, Matematicko-fyzikální fakulta, Univerzita Karlova) v rámci bakalářské práce za spolupráce sdružení CZ.NIC, bylo na základě nejrůznějších standardů, doporučení a zkušeností s provozem DNS sestavit metodiku pro analýzu dostupnosti, stavu a nastavení DNS serverů libovolné domény a tuto metodiku implementovat v podobě on-line webové aplikace. Tato metodika byla následně použita na analýzu všech domén druhé úrovně v doméně CZ.

Analýza proběhla v polovině dubna 2007. Účastnilo se jí 301921 domén, které byly v okamžiku zahájení analýzy přítomny v zóně domény CZ. Výsledkem je přehled o zdraví českých domén a všech DNS serverů, které tyto domény obsluhují.

Všechny možné negativní výsledky testů byly rozděleny do tří kategorií podle závažnosti situace, která nastane při jejich zjištění – chyba, varování a upozornění.

Nejzávažnější zjištěné problémy

Zřejmě největší zjištěné problémy jsou uvedeny v následujícím seznamu, který je setříděn dle závažnosti problému s přihlédnutím k počtu ovlivněných domén.

  1. 41793 (14 %) domén má všechny své DNS servery v jedné podsíti, tudíž jsou velmi náchylné k nefunkčnosti při jakékoliv poruše napájení, konektivity, hardware, chybě správce apod.
      
  2. 123545 (41 %) domén má všechny své DNS servery v jednom autonomním systému.
      
  3. 209 (1,6 %) DNS serverů má chybně uvedené glue.
      
  4. 4746 (48 %) DNS serverů nabízí rekurzivní služby, jedná se tedy o kombinaci autoritativního a cachovacího serveru.
      
  5. U 2721 (0,9 %) domén se vyskytují DNS servery se stejnou IP adresou.
      
  6. U 1050 domén nelze přeložit některý název DNS serveru na IP adresu.
      
  7. U 159 domén se nelze spojit s žádným DNS serverem (nedostupným DNS serverů byla dána druhá šance 24 hodin po dokončení testů, aby se vyloučil náhodný problém na síti apod.).
      
  8. Pro 1915 (0,6 %) domén není žádný DNS server (u nich uvedený) autoritativní.
      
  9. U 54362 (18 %) domén lze z alespoň jednoho serveru získat obsah celé zóny prostřednictvím AXFR.
      
  10. 1504 (15 %) DNS serverů má problém se svým reverzním záznamem (záznam nemá nebo nesouhlasí).
      

Zajímavosti

Následuje heslovitě několik zajímavých zjištěných skutečností.

 – v průběhu analýzy bylo zjištěno (tj. domény CZ obsluhuje):

  • 13153 různých DNS serverů dle názvu
  • 9913 DNS serverů s různou IP adresou
  • 1369 autonomních systémů
  • 5821 různých podsíti

  • pouze 27 DNS serverů má IPv6 adresu, tyto servery obsluhují 687 domén
     
  • celkem bylo zjištěno 72976 chyb, 537627 varování a 434224 upozornění
     
  • 82 % domén má 2 autoritativní DNS servery
     
  • cca 78 % DNS serverů je dostupných s odezvou pod 100 ms – měřeno ze 4 různých sítí v ČR
     
  • nejčastěji používaným software DNS serveru jsou BIND (70,4 %), TinyDNS (4,1 %), MS Windows DNS (4,1 %), PowerDNS (3,7 %), MyDNS (1,7 %)
     

Závěr

Přísnými kritérii prošlo pouze 9579 domén – u nich se nevyskytla žádná chyba, varování ani upozornění. Nutno však podotknout, že negativní výsledky označené jako upozornění nejsou závadou, jen se dané parametry vymykají z doporučovaných hodnot. Často to může být úmyslné speciální nastavení. Relevantnější tedy bude nejspíš číslo 17108, které udává počet domén bez chyb a varování, a dále 237942 domén (79%) nemá žádný negativní výsledek označený jako chyba. Avšak plných 63979 domén (21 %) u sebe nějakou chybu má!

Z uvedeného se zdá, že převážně čeští správci DNS serverů se příliš nezajímají o to, aby byly jejich domény a domény jejich zákazníků dostupné i v kritických situacích (výpadky napájení, poruchy konektivity apod.), protože DNS servery domén soustředí do společných lokalit, sítí či autonomních systémů a většinou používají pouze 2 DNS servery. Tím sice, jak již bylo naznačeno, nejspíš ušetří náklady na provoz dalších DNS serverů, jejich správu, umístění do jiných lokalit atd., ale předpokládám, že při prvním větším výpadku služeb budou vzniklé škody mnohem vyšší.

CIF16

Stejně závažný se mi jeví fakt, že polovina DNS serverů slouží současně jako cachovací, což sice opět vede k ušetření několika málo peněz na provoz dalšího serveru, ale je to špatná volba. Míchání autoritativních a cachovaných dat na jednom stroji může zapříčit problémy, o kterých se nikomu ani nezdálo.

Další informace k této analýze lze nalézt na stránce o metodice analýzy DNS a popisu prováděných testů, k dispozici jsou také úplné výsledky této analýzy CZ domén.

Anketa

A co vaše doména, prošla by analýzou úspěšně?

52 názorů Vstoupit do diskuse
poslední názor přidán 26. 5. 2007 15:55

Školení: Online Public Relations aneb PR sociálního věku

  •  
    Jak se liší digitální PR oproti klasickému PR.
  • Jak tvořit tiskové zprávy.
  • Jak monitorovat a vyhodnocovat PR.

Detailní informace o školení »