Hlavní navigace

Jak dobře jsou nastaveny české DNS servery?

 Autor: 29
Petr Šťastný 18. 5. 2007

Systém doménových jmen (DNS) je neoddělitelnou součástí sítě Internet. Poskytuje překlad mezi doménovými názvy a IP adresami a ostatní překlady pro nalezení cíle pro doručení pošty aj. Věnují však administrátoři DNS serverů adekvátní péči jejich nastavení?

Funkčnost Internetu a domén je na DNS systému zcela závislá, jelikož se při práci se zdroji v Internetu nepoužívají IP adresy, ale výhradně názvy. Pokud jsou DNS servery pro nějakou doménu nedostupné, přestává doména existovat. To by se také mělo odrazit v tom, jak administrátoři DNS serverů pečují o funkčnost, správnost nastavení a dostupnost příslušných serverů a domén, které jsou na nich evidovány.

Kořenové DNS servery a TLD

Nejdůležitější částí DNS systému jsou kořenové DNS servery (autoritativní DNS servery pro doménu nulté úrovně) a DNS servery domén první úrovně (TLD). Vzhledem ke své významnosti jsou tyto DNS systémy dobře promyšlené, výkonné, redundantní a udržované. Na této úrovni je dnes již standardem provozovat tzv. anycastová zrcadla DNS serverů, kdy je DNS server rozmístěn ve více kopiích na více místech po světě v různých autonomních systémech, všechny tyto kopie mají stejnou IP adresu a systém routování v síti Internet zajistí, že požadavky směřují na  nejbližší  z nich (nejbližší zde ve smyslu routovacích protokolů). Příkladem může být kopie F-ROOT serveru, který v Praze v rámci peeringového uzlu NIX provozuje sdružení CZ.NIC (viz AS112 – projekt DNS anycast).

Důležitost tohoto systému anycastových kopií kořenových DNS serverů se plně projevila v únoru tohoto roku, kdy došlo k masivnímu distribuovanému útoku na ně. Výrazně ovlivněny byly pouze ty, které zatím své anycastové kopie nemají. Ostatní z toho vyšly zcela bez úhony, jelikož se nával požadavků, pocházejících z útoku, rozložil mezi více serverů a některá zrcadla nebyla útokem dotčena vůbec (protože byla pro zdroje útoku nedosažitelná). Viz Útok na kořenové DNS servery 6.2.2007.

Domény nižších úrovní

U domén nižších úrovní, které vlastní koncoví zákazníci, už není situace tak přívětivá. Nejčastějším prohřeškem je umístění DNS serverů v jednom autonomním systému nebo pouze v jedné síti, občas se požadavek na minimální počet 2 DNS serverů u domény obchází tím, že se použije fyzický DNS server pouze jeden a přidělí se mu 2 doménové názvy nebo 2 IP adresy. Někteří lidé mají také ve zvyku si jeden nebo více DNS serverů dávat k sobě domů a mít je připojené přes domácí připojení (např. přes ADSL), které bývá výrazně méně spolehlivé, s vidinou toho, že mají server u sebe doma plně pod kontrolou. To všechno plyne z touhy co nejvíce ušetřit a z dojmu, že se přece nemůže nic stát. U domén osobního rázu, kde nefunkčnost nikomu příliš nevadí, se nedá k tomuto přístupu nic moc namítnout. Bohužel podobné tendence mají i firmy, které jsou na funkčnosti svých internetových prezentací, shopů, objednávkových systémů apod. závislé. Je možné, že se jim podaří na provozu DNS systému ušetřit několik tisíc korun měsíčně, ale při prvním větším výpadku své domény přijdou o zákazníky, kteří se u nich chystali utratit desetitisíce či statisíce. A jak víme, výpadky napájení ve velkých housingových centrech nejsou výjimkou.

Analýza CZ domén

Cílem projektu, který vznikl na KSI MFF UK (Katedra softwarového inženýrství, Matematicko-fyzikální fakulta, Univerzita Karlova) v rámci bakalářské práce za spolupráce sdružení CZ.NIC, bylo na základě nejrůznějších standardů, doporučení a zkušeností s provozem DNS sestavit metodiku pro analýzu dostupnosti, stavu a nastavení DNS serverů libovolné domény a tuto metodiku implementovat v podobě on-line webové aplikace. Tato metodika byla následně použita na analýzu všech domén druhé úrovně v doméně CZ.

Analýza proběhla v polovině dubna 2007. Účastnilo se jí 301921 domén, které byly v okamžiku zahájení analýzy přítomny v zóně domény CZ. Výsledkem je přehled o zdraví českých domén a všech DNS serverů, které tyto domény obsluhují.

Všechny možné negativní výsledky testů byly rozděleny do tří kategorií podle závažnosti situace, která nastane při jejich zjištění – chyba, varování a upozornění.

Nejzávažnější zjištěné problémy

Zřejmě největší zjištěné problémy jsou uvedeny v následujícím seznamu, který je setříděn dle závažnosti problému s přihlédnutím k počtu ovlivněných domén.

  1. 41793 (14 %) domén má všechny své DNS servery v jedné podsíti, tudíž jsou velmi náchylné k nefunkčnosti při jakékoliv poruše napájení, konektivity, hardware, chybě správce apod.
      
  2. 123545 (41 %) domén má všechny své DNS servery v jednom autonomním systému.
      
  3. 209 (1,6 %) DNS serverů má chybně uvedené glue.
      
  4. 4746 (48 %) DNS serverů nabízí rekurzivní služby, jedná se tedy o kombinaci autoritativního a cachovacího serveru.
      
  5. U 2721 (0,9 %) domén se vyskytují DNS servery se stejnou IP adresou.
      
  6. U 1050 domén nelze přeložit některý název DNS serveru na IP adresu.
      
  7. U 159 domén se nelze spojit s žádným DNS serverem (nedostupným DNS serverů byla dána druhá šance 24 hodin po dokončení testů, aby se vyloučil náhodný problém na síti apod.).
      
  8. Pro 1915 (0,6 %) domén není žádný DNS server (u nich uvedený) autoritativní.
      
  9. U 54362 (18 %) domén lze z alespoň jednoho serveru získat obsah celé zóny prostřednictvím AXFR.
      
  10. 1504 (15 %) DNS serverů má problém se svým reverzním záznamem (záznam nemá nebo nesouhlasí).
      

Zajímavosti

Následuje heslovitě několik zajímavých zjištěných skutečností.

 – v průběhu analýzy bylo zjištěno (tj. domény CZ obsluhuje):

  • 13153 různých DNS serverů dle názvu
  • 9913 DNS serverů s různou IP adresou
  • 1369 autonomních systémů
  • 5821 různých podsíti

  • pouze 27 DNS serverů má IPv6 adresu, tyto servery obsluhují 687 domén
     
  • celkem bylo zjištěno 72976 chyb, 537627 varování a 434224 upozornění
     
  • 82 % domén má 2 autoritativní DNS servery
     
  • cca 78 % DNS serverů je dostupných s odezvou pod 100 ms – měřeno ze 4 různých sítí v ČR
     
  • nejčastěji používaným software DNS serveru jsou BIND (70,4 %), TinyDNS (4,1 %), MS Windows DNS (4,1 %), PowerDNS (3,7 %), MyDNS (1,7 %)
     

Závěr

Přísnými kritérii prošlo pouze 9579 domén – u nich se nevyskytla žádná chyba, varování ani upozornění. Nutno však podotknout, že negativní výsledky označené jako upozornění nejsou závadou, jen se dané parametry vymykají z doporučovaných hodnot. Často to může být úmyslné speciální nastavení. Relevantnější tedy bude nejspíš číslo 17108, které udává počet domén bez chyb a varování, a dále 237942 domén (79%) nemá žádný negativní výsledek označený jako chyba. Avšak plných 63979 domén (21 %) u sebe nějakou chybu má!

Z uvedeného se zdá, že převážně čeští správci DNS serverů se příliš nezajímají o to, aby byly jejich domény a domény jejich zákazníků dostupné i v kritických situacích (výpadky napájení, poruchy konektivity apod.), protože DNS servery domén soustředí do společných lokalit, sítí či autonomních systémů a většinou používají pouze 2 DNS servery. Tím sice, jak již bylo naznačeno, nejspíš ušetří náklady na provoz dalších DNS serverů, jejich správu, umístění do jiných lokalit atd., ale předpokládám, že při prvním větším výpadku služeb budou vzniklé škody mnohem vyšší.

Stejně závažný se mi jeví fakt, že polovina DNS serverů slouží současně jako cachovací, což sice opět vede k ušetření několika málo peněz na provoz dalšího serveru, ale je to špatná volba. Míchání autoritativních a cachovaných dat na jednom stroji může zapříčit problémy, o kterých se nikomu ani nezdálo.

Další informace k této analýze lze nalézt na stránce o metodice analýzy DNS a popisu prováděných testů, k dispozici jsou také úplné výsledky této analýzy CZ domén.

Anketa

A co vaše doména, prošla by analýzou úspěšně?

Našli jste v článku chybu?

26. 5. 2007 15:55

Máte snad pocit, že TLD a root servery jdou měřit stejným metrem jako domény vyšší úrovně?

23. 5. 2007 9:25

  • E-mail je sluzba davkova.
  • System dorucovani posty se chova jinak v pripade, ze cilovy MTA je nedostupny a zaznam v DNS existuje a jinak v pripade, ze cilovy MTA je nedostupny a DNS zaznam neexistuje.

V prvnim pripade to odesle na zalozni MTA nebo uschova u sebe ve fronte (pokud neni dostupny zadny MTA) a v druhem pripade neprodlene vrati uzivateli zpravu, ze zasilku nelze dorucit.
Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Podnikatel.cz: Pozor, pojišťovny mění čísla účtů

Pozor, pojišťovny mění čísla účtů

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Podnikatel.cz: Změny v daních z příjmů u zaměstnávání

Změny v daních z příjmů u zaměstnávání