Google Chrome və yeni Microsoft Edge-in inkişaf etməkdə olan açıq mənbəli valideyni olan Chromium brauzeri xoş niyyətlə nəzərdə tutulmuş xüsusiyyətə görə əhəmiyyətli mənfi diqqət çəkdi: o, istifadəçinin ISP-nin mövcud olmayan domen sorğusu nəticələrini “oğurlayıb-oğurlamadığını” yoxlayır. .
, statistik olaraq mövcud olma ehtimalı az olan təsadüfi "domenlər" üçün saxta sorğular yaradan dünya üzrə kök DNS serverləri tərəfindən qəbul edilən ümumi trafikin təxminən yarısına cavabdehdir. Verisign mühəndisi Matt Thomas uzun bir yazı yazdı problemi təsvir edən və onun miqyasını qiymətləndirən APNIC bloqunda.
DNS həlli adətən necə həyata keçirilir
Bu serverlər .com, .net və s. həll etmək üçün əlaqə saxlamalı olduğunuz ən yüksək orqandır ki, onlar sizə frglxrtmpuf-un yüksək səviyyəli domen (TLD) olmadığını bildirsinlər.
DNS və ya Domen Adı Sistemi kompüterlərin arstechnica.com kimi yaddaqalan domen adlarını 3.128.236.93 kimi daha az istifadəçi dostu IP ünvanlarına həll edə biləcəyi bir sistemdir. DNS olmasaydı, İnternet insanların istifadə edə biləcəyi şəkildə mövcud olmazdı, yəni yuxarı səviyyəli infrastrukturun lazımsız yüklənməsi əsl problemdir.
Tək müasir veb səhifəni yükləmək üçün inanılmaz sayda DNS axtarışı tələb oluna bilər. Məsələn, ESPN-in ana səhifəsini təhlil edərkən, a.espncdn.com-dan z.motads.com-a qədər 93 ayrı domen adını saydıq. Bütün bunlar səhifənin tam yüklənməsi üçün lazımdır!
Bütün dünyaya xidmət etməli olan bir axtarış mühərriki üçün bu növ iş yükünü yerləşdirmək üçün DNS çox səviyyəli iyerarxiya kimi tərtib edilmişdir. Bu piramidanın yuxarı hissəsində kök serverlər yerləşir - .com kimi hər bir yüksək səviyyəli domen, aşağıda göstərilən hər bir domen üçün ən yüksək səlahiyyətə malik olan öz server ailəsinə malikdir. Bir addım yuxarı bu serverlər kök serverlərin özləridir a.root-servers.net üzrə m.root-servers.net.
Bu nə qədər tez -tez baş verir?
DNS infrastrukturunun çoxsəviyyəli keş iyerarxiyası sayəsində dünyadakı DNS sorğularının çox kiçik bir hissəsi kök serverlərə çatır. Əksər insanlar DNS həlledici məlumatlarını birbaşa ISP-dən alırlar. İstifadəçinin cihazı konkret vebsayta necə daxil olmağı bilməlidirsə, sorğu əvvəlcə həmin yerli provayder tərəfindən idarə olunan DNS serverinə göndərilir. Yerli DNS server cavabı bilmirsə, sorğunu öz “ekspeditorlarına” (əgər göstərilibsə) yönləndirir.
Əgər nə yerli provayderin DNS serveri, nə də onun konfiqurasiyasında göstərilən “yönləndirmə serverləri” keşlənmiş cavaba malik deyilsə, sorğu birbaşa səlahiyyətli domen serverinə göndərilir. yuxarıda çevirməyə çalışdığınız. Nə vaxt домен.com bu, sorğunun domenin özünün nüfuzlu serverlərinə göndərilməsi demək olacaq com, ünvanında yerləşir gtld-servers.net.
Система gtld-serverssorğunun edildiyi , domain.com domeni üçün səlahiyyətli ad serverlərinin siyahısı, həmçinin belə ad serverinin IP ünvanını ehtiva edən ən azı bir keçid qeydi ilə cavab verir. Sonra cavablar zəncirlə aşağıya doğru hərəkət edir - hər bir ekspeditor bu cavabları sorğu edən serverə ötürür, nəhayət cavab yerli provayderin serverinə və istifadəçinin kompüterinə çatana qədər. Daha yüksək səviyyəli sistemləri lazımsız yerə narahat etməmək üçün hamısı bu cavabı önbelleğe alır.
Əksər hallarda, ad server üçün qeydlər domain.com artıq bu ekspeditorlardan birində keşlənəcək, ona görə də kök serverlər narahat olmayacaq. Bununla belə, hələlik biz tanış olduğumuz URL növündən - adi veb-sayta çevriləndən danışırıq. Chrome sorğuları səviyyədədir yuxarıda bu, klasterlərin özlərinin addımında root-servers.net.
Chromium və NXDomain oğurluğunu yoxlayın
Chromium yoxlayır "bu DNS server məni aldadır?" Verisign-ın kök DNS serverləri klasterinə çatan bütün trafikin təxminən yarısını təşkil edir.
Google Chrome-un, yeni Microsoft Edge-in və saysız-hesabsız az tanınan brauzerlərin əsas layihəsi olan Chromium brauzeri istifadəçilərə bəzən "Omnibox" adlanan tək qutuda axtarış asanlığını təmin etmək istəyir. Başqa sözlə, istifadəçi həm real URL-ləri, həm də axtarış sistemlərinin sorğularını brauzer pəncərəsinin yuxarısındakı eyni mətn sahəsinə daxil edir. Sadələşdirmə istiqamətində daha bir addım ataraq, istifadəçini URL-nin bir hissəsini daxil etməyə məcbur etmir http:// və ya https://.
Nə qədər rahat olsa da, bu yanaşma brauzerdən nəyin URL və nəyin axtarış sorğusu hesab edilməli olduğunu başa düşməsini tələb edir. Əksər hallarda bu olduqca aydındır - məsələn, boşluqlu sətir URL ola bilməz. Ancaq intranetləri - real veb-saytları həll etmək üçün şəxsi yüksək səviyyəli domenlərdən də istifadə edə bilən şəxsi şəbəkələri nəzərdən keçirdikdə işlər daha da çətinləşə bilər.
Əgər öz şirkətinin intranetində istifadəçi "marketinq" növünə malikdirsə və şirkətin intranetində eyni adlı daxili veb-sayt varsa, o zaman Chromium istifadəçidən "marketinq" üçün axtarış etmək və ya bu ünvana getmək istədiklərini soruşan məlumat qutusu göstərir. https://marketing. Bu belə olmaya bilər, lakin bir çox internet provayderləri və ictimai Wi-Fi provayderləri hər səhv yazılmış URL-i “oğurlayır”, istifadəçini hansısa bannerlə dolu səhifəyə yönləndirir.
Təsadüfi nəsil
Chromium tərtibatçıları adi şəbəkələrdəki istifadəçilərin hər dəfə bir söz axtardıqda nə demək istədiklərini soruşan məlumat qutusunu görmələrini istəmədilər, buna görə də onlar bir test həyata keçirdilər: Brauzeri işə saldıqda və ya şəbəkələri dəyişdirdikdə, Chromium üçdə DNS axtarışlarını həyata keçirir. təsadüfi yaradılan "domenlər" yüksək səviyyəli, yeddi-on beş simvol uzunluğunda. Bu sorğulardan hər hansı ikisi eyni IP ünvanı ilə qayıdırsa, o zaman Chromium güman edir ki, yerli şəbəkə xətaları "oğurlayır" NXDOMAIN, onu qəbul etməlidir, ona görə də brauzer daxil edilmiş bütün bir sözdən ibarət sorğuları növbəti bildirişə qədər axtarış cəhdləri hesab edir.
Təəssüf ki, şəbəkələrdə heç bir DNS sorğularının nəticələrini oğurlamaq, bu üç əməliyyat adətən kök ad serverlərinə qədər yuxarı qalxır: yerli server necə həll edəcəyini bilmir qwajuixk, beləliklə, bu sorğunu nəhayət, eyni şeyi edən ekspeditoruna göndərir a.root-servers.net ya da onun “qardaşlarından” biri “Bağışlayın, amma bu domen deyil” deməyə məcbur olmayacaq.
Uzunluğu yeddi ilə on beş simvol arasında dəyişən təxminən 1,67*10^21 mümkün saxta domen adı olduğundan, ən çox yayılmış hər biri “dürüst” şəbəkədə aparılan bu testlərdən kök serverə keçir. Bu qədərdir yarım klasterlərin həmin hissəsinin statistikasına əsasən, kök DNS-dəki ümumi yükdən root-servers.net, Verisign şirkətinə məxsusdur.
Tarix təkrarlanır
Bu, ilk dəfə deyil ki, ən yaxşı niyyətlə yaradılan bir layihə və ya demək olar ki, ictimai resursu lazımsız trafiklə doldurdu - bu dərhal bizə 2000-ci illərin ortalarında D-Link və Poul-Henning Kampın NTP (Şəbəkə Vaxt Protokolu) serverinin uzun və kədərli tarixini xatırlatdı.
2005-ci ildə Danimarkanın yeganə Stratum 1 Network Time Protocol serverinə sahib olan FreeBSD developer Poul-Henning, ötürülən trafik üçün gözlənilməz və böyük hesab aldı. Bir sözlə, səbəb D-Link tərtibatçılarının Stratum 1 NTP serverlərinin, o cümlədən Kampa serverinin ünvanlarını şirkətin açarlar, marşrutlaşdırıcılar və giriş nöqtələri xəttinin proqram təminatına yazması idi. Bu, Kampanın server trafikini dərhal doqquz dəfə artırdı və Danimarka İnternet Mübadiləsi (Danimarkanın İnternet Mübadilə Nöqtəsi) öz tarifini “Pulsuz”dan “illik 9 dollara” dəyişməsinə səbəb oldu.
Problem D-Link marşrutlaşdırıcılarının çox olması deyil, onların “xətdən kənar” olması idi. DNS kimi, NTP də iyerarxik formada işləməlidir - Stratum 0 serverləri məlumatı Stratum 1 serverlərinə ötürür, onlar Stratum 2 serverlərinə məlumat ötürür və s. iyerarxiyadan aşağı. Tipik bir ev marşrutlaşdırıcısı, açarı və ya D-Link kimi NTP server ünvanları ilə proqramlaşdırdığı giriş nöqtəsi Stratum 2 və ya Stratum 3 serverinə sorğular göndərirdi.
Chromium layihəsi, yəqin ki, ən yaxşı niyyətlə, NTP problemini DNS problemində təkrarladı, İnternetin kök serverlərini heç vaxt idarə etmələri nəzərdə tutulmayan sorğularla yüklədi.
Tez həll olunacağına ümid var
Chromium layihəsi açıq mənbəyə malikdir , bu problemi həll etmək üçün defolt olaraq Intranet Yönləndirmə Detektorunun söndürülməsini tələb edir. Chromium layihəsinə kredit verməliyik: səhv tapıldı əvvəlVerisign'dan Matt Thomas öz işi ilə ona çox diqqət çəkdi APNIC bloqunda. Səhv iyun ayında aşkar edildi, lakin Tomasın yazısına qədər unudulmuş olaraq qaldı; Oruc tutduqdan sonra yaxından nəzarətdə olmağa başladı.
Problemin tezliklə həll ediləcəyi və kök DNS serverlərinin hər gün təxmin edilən 60 milyard saxta sorğuya cavab verməli olacağına ümid edilir.
Reklam Hüquqları haqqında
Epik serverlər - Mi və ya güclü AMD EPYC ailə prosessorları və çox sürətli Intel NVMe diskləri ilə Linux. Sifariş verməyə tələsin!
Mənbə: www.habr.com