U navigatore Chromium, u fiorente parent open-source di Google Chrome è u novu Microsoft Edge, hà ricivutu una attenzione negativa significativa per una funzione chì era pensata cù boni intenzioni: verifica se l'ISP di l'utilizatore "ruba" risultati di dumande di domini inesistenti. .
, chì crea falsi dumande per "duminii" aleatorii chì sò statisticamente improbabile d'esiste, hè rispunsevule per circa a mità di u trafficu tutale ricevutu da i servitori DNS root in u mondu sanu. L'ingegnere di Verisign Matt Thomas hà scrittu un longu nant'à u blog APNIC chì descrive u prublema è evaluendu a so scala.
Cumu a risoluzione DNS hè generalmente realizata
Questi servitori sò l'autorità più altu chì duvete cuntattà per risolve .com, .net, etc., cusì vi diceranu chì frglxrtmpuf ùn hè micca un duminiu di primu livellu (TLD).
DNS, o Domain Name System, hè un sistema per quale l'urdinatori ponu risolve nomi di domini memorable cum'è arstechnica.com in indirizzi IP assai menu amichevuli cum'è 3.128.236.93. Senza DNS, l'Internet ùn esisteria micca in una manera chì l'omu puderia utilizà, chì significa chì una carica inutile nantu à l'infrastruttura di livellu superiore hè un veru prublema.
Caricà una sola pagina web muderna pò esse bisognu di un numeru incredibile di ricerche DNS. Per esempiu, quandu avemu analizatu a homepage di ESPN, avemu cuntatu 93 nomi di duminiu separati, chì varienu da a.espncdn.com à z.motads.com. Tutti sò necessarii per a pagina per carica cumplettamente!
Per accodà stu tipu di carica di travagliu per un mutore di ricerca chì deve serve u mondu sanu, u DNS hè designatu cum'è una ghjerarchia multi-livellu. À a cima di sta piramide sò i servitori radicali - ogni duminiu di primu livellu, cum'è .com, hà a so famiglia di servitori chì sò a più alta autorità per ogni duminiu sottu à elli. Un passu avanti questi servitori sò i servitori ràdica stessi, da a.root-servers.net à m.root-servers.net.
Quantu spessu succede questu?
Grazie à a gerarchia di caching multi-livellu di l'infrastruttura DNS, un percentinu assai chjucu di e dumande DNS di u mondu ghjunghjenu à i servitori radicali. A maiò parte di a ghjente riceve a so infurmazione di risoluzione DNS direttamente da u so ISP. Quandu u dispositivu d'un utilizatore hà bisognu di sapè cumu ghjunghje à un situ web specificu, una dumanda hè prima mandata à un servitore DNS gestitu da quellu fornitore locale. Se u servitore DNS locale ùn cunnosci micca a risposta, trasmette a dumanda à i so propiu "forwarders" (se specificate).
Se nè u servitore DNS di u fornitore lucale nè i "servitori di inoltri" specificati in a so cunfigurazione ùn anu una risposta in cache, a dumanda hè risuscitata direttamente à u servitore di dominiu autoritariu. Lingua quellu chì vo circate di cunvertisce. Quandu домен.com questu significarà chì a dumanda hè mandata à i servitori autoritarii di u duminiu stessu com, chì si trovanu à gtld-servers.net.
sistemu gtld-servers, à quale a dumanda hè stata fatta, risponde cù una lista di servitori di nomi autoritarii per u duminiu domain.com, è ancu almenu un registru di ligame chì cuntene l'indirizzu IP di un tali servitore di nome. In seguitu, i risposti si movenu in a catena - ogni speditore passa queste risposte à u servitore chì l'hà dumandatu, finu à chì a risposta finalmente ghjunghje à u servitore di u fornitore locale è l'urdinatore di l'utilizatore. Tutti cache sta risposta per ùn disturbà inutilmente i sistemi di livellu più altu.
In a maiò parte di i casi, i registri di u servitore di nome duminiu.com sarà digià cached in unu di sti forwarders, cusì i servitori radicali ùn saranu micca disturbati. Tuttavia, per avà parlemu di u tipu d'URL chì avemu familiarizatu - quellu chì hè cunvertitu in un situ web regulare. E dumande di Chrome sò à livellu Lingua questu, nantu à u passu di i clusters stessi root-servers.net.
Chromium è NXDomain verificate u furtu
Chromium verifica "Stu servitore DNS mi inganna?" cuntene quasi a mità di tuttu u trafficu chì ghjunghje à u cluster di Verisign di servitori DNS root.
U navigatore Chromium, u prughjettu parentale di Google Chrome, u novu Microsoft Edge, è innumerevoli navigatori menu cunnisciuti, volenu furnisce l'utilizatori cù a facilità di ricerca in una sola casella, qualchì volta chjamata "Omnibox". In altri palori, l'utilizatore inserisce l'URL reale è e dumande di u mutore di ricerca in u stessu campu di testu in a cima di a finestra di u navigatore. Pigliendu un altru passu versu a simplificazione, ùn impone micca ancu l'utilizatori à inserisce una parte di l'URL cun http:// o https://.
Cum'è cunvene cusì, questu approcciu richiede chì u navigatore capisce ciò chì deve esse cunsideratu un URL è ciò chì deve esse cunsideratu una ricerca di ricerca. In a maiò parte di i casi, questu hè abbastanza ovvi - per esempiu, una stringa cù spazii ùn pò esse un URL. Ma e cose ponu esse più difficili quandu cunsiderà intranets-reti privati chì ponu ancu aduprà domini privati di primu livellu per risolve siti web veri.
Se un utilizatore nantu à l'intranet di a so cumpagnia tipa "marketing" è l'intranet di a cumpagnia hà un situ web internu cù u stessu nome, Chromium mostra una casella d'infurmazioni chì dumanda à l'utilizatore s'ellu vole cercà "marketing" o vai à https://marketing. Questu pò esse micca u casu, ma parechji ISP è fornituri publichi di Wi-Fi "hijack" ogni URL misspelled, redirigendu l'utilizatore à una pagina piena di banner.
Generazione casuale
I sviluppatori di Chromium ùn vulianu micca chì l'utilizatori nantu à e rete regulare vedanu una casella d'infurmazioni chì dumandanu ciò chì vulianu dì ogni volta chì anu cercatu una sola parolla, cusì anu implementatu una prova: Quandu lancianu un navigatore o cambianu rete, Chromium eseguisce ricerche DNS in trè. "duminii" generati aleatoriamente à u livellu superiore, da sette à quindici caratteri. Sì duie di sti dumande tornanu cù u listessu indirizzu IP, Chromium assume chì a reta lucale hè "jacking" l'errori. NXDOMAIN, chì deve riceve, cusì u navigatore cunsidereghja tutte e dumande di una sola parolla inserite per esse tentativi di ricerca finu à un altru avvisu.
Sfurtunatamente, in rete chì ùn arrubbanu i risultati di e dumande DNS, sti trè operazioni sò generalmente ghjunti à a cima, finu à i servitori di nomi di a radica stessi: u servitore lucale ùn sapi micca cumu risolve. qwajuixk, cusì trasmette sta dumanda à u so speditore, chì face u listessu, finu à a fine a.root-servers.net o unu di i so "fratelli" ùn serà micca obligatu à dì "Scusate, ma questu ùn hè micca un duminiu".
Siccomu ci sò circa 1,67 * 10 ^ 21 possibili nomi di duminiu falsi chì varienu da sette à quindici caratteri in lunghezza, u più cumuni. ognunu da sti testi realizati nantu à a reta "onesta", ghjunghje à u servore radicali. Questu hè quantu metà di a carica tutale nantu à a radica DNS, secondu statistiche da quella parte di i clusters root-servers.net, chì sò pussede da Verisign.
A storia si ripete
Questa ùn hè micca a prima volta chì un prughjettu hè creatu cù e migliori intenzioni o quasi inundatu una risorsa publica cù un trafficu innecessariu - questu ci hà immediatamente ricurdatu di a longa è trista storia di u servitore NTP (Network Time Protocol) di D-Link è Poul-Henning Kamp in a mità di l'anni 2000.
In u 2005, u sviluppatore FreeBSD Poul-Henning, chì hà ancu pussede l'unicu servitore di u protocolu di u tempu di a rete Stratum 1 di Danimarca, hà ricevutu una fattura inespettata è grande per u trafficu trasmessu. In corta, u mutivu era chì i sviluppatori di D-Link anu scrittu l'indirizzi di i servitori Stratum 1 NTP, cumpresu u servitore Kampa, in u firmware di a linea di switches, routers è punti d'accessu di a cumpagnia. Questu hà aumentatu istantaneamente u trafficu di u servitore di Kampa nove volte, facendu chì l'Internet Exchange danese (U Internet Exchange Point di Danimarca) cambia a so tarifa da "Free" à "$ 9 per annu".
U prublema ùn era micca chì ci era troppu router D-Link, ma chì eranu "fora di linea". Cum'è DNS, NTP deve operare in una forma gerarchica - i servitori Stratum 0 passanu l'infurmazioni à i servitori Stratum 1, chì passanu l'infurmazioni à i servitori Stratum 2, è cusì in a ghjerarchia. Un tipicu router di casa, switch, o puntu d'accessu cum'è quellu chì D-Link avia programatu cù l'indirizzi di u servitore NTP mandaria richieste à u servitore Stratum 2 o Stratum 3.
U prughjettu Chromium, prubabilmente cù u megliu di l'intenzioni, riplicò u prublema NTP in u prublema DNS, carchendu i servitori radichi di l'Internet cù e dumande chì ùn sò mai stati destinati à trattà.
Ci hè speranza per una suluzione rapida
U prughjettu Chromium hà una fonte aperta , chì richiede disattivà Intranet Redirect Detector per automaticamente per risolve stu prublema. Avemu da dà creditu à u prughjettu Chromium : u bug hè statu trovu nanzu à quècumu Matt Thomas di Verisign hà purtatu assai attenzione cù u so nant'à u blog APNIC. U bug hè statu scupertu in u ghjugnu, ma hè statu scurdatu finu à u postu di Thomas; Dopu à u digiunu, hà cuminciatu à esse sottu strettu surviglianza.
Hè spiratu chì u prublema serà prestu risoltu, è i servitori DNS root ùn anu più da risponde à i 60 miliardi di dumande falsi stimati ogni ghjornu.
I diritti di publicità
I servitori epici Is o Linux cù putenti processori di famiglia AMD EPYC è unità Intel NVMe assai veloci. Affrettatevi à l'ordine!
Source: www.habr.com