Chromium vafrinn, blómlegi opinn uppspretta foreldri Google Chrome og nýja Microsoft Edge, hefur fengið verulega neikvæða athygli fyrir eiginleika sem var ætlaður af góðum ásetningi: hann athugar hvort ISP notandans sé að „stela“ niðurstöðum lénsfyrirspurna sem ekki eru til. .
, sem býr til falsaðar fyrirspurnir fyrir tilviljunarkenndar „lén“ sem eru tölfræðilega ólíkleg til að vera til, er ábyrgur fyrir um það bil helmingi heildarumferðar sem berast DNS-rótþjónum um allan heim. Verisign verkfræðingur Matt Thomas skrifaði langan tíma á APNIC blogginu þar sem vandanum er lýst og umfang þess metið.
Hvernig DNS upplausn er venjulega framkvæmd
Þessir netþjónar eru æðsta yfirvaldið sem þú ættir að hafa samband við til að leysa .com, .net o.s.frv. svo að þeir segi þér að frglxrtmpuf sé ekki topplén (TLD).
DNS, eða Domain Name System, er kerfi þar sem tölvur geta leyst eftirminnileg lén eins og arstechnica.com í mun ónotendavænni IP tölur eins og 3.128.236.93. Án DNS væri internetið ekki til á þann hátt sem menn gætu notað, sem þýðir að óþarfa álag á efri stigi innviði er raunverulegt vandamál.
Að hlaða einni nútíma vefsíðu getur krafist ótrúlega fjölda DNS uppflettinga. Til dæmis, þegar við greindum heimasíðu ESPN, töldum við 93 aðskilin lén, allt frá a.espncdn.com til z.motads.com. Þau eru öll nauðsynleg til að síðan hleðst að fullu!
Til að koma til móts við þessa tegund af vinnuálagi fyrir leitarvél sem þarf að þjóna öllum heiminum er DNS hannað sem stigveldi á mörgum stigi. Efst í þessum pýramída eru rótarþjónarnir - hvert efstu lén, eins og .com, hefur sína eigin fjölskyldu netþjóna sem eru æðsta yfirvald hvers léns fyrir neðan þá. Eitt skref upp af þessum netþjónar eru rótarþjónarnir sjálfir, frá a.root-servers.net í m.root-servers.net.
Hversu oft gerist þetta?
Þökk sé fjölþrepa skyndiminni stigveldi DNS innviða, nær mjög lítið hlutfall af DNS fyrirspurnum heimsins til rótarþjónanna. Flestir fá DNS lausnarupplýsingarnar sínar beint frá ISP sínum. Þegar tæki notanda þarf að vita hvernig á að komast á tiltekna vefsíðu er beiðni fyrst send til DNS-þjóns sem stýrt er af viðkomandi staðbundinni þjónustuveitu. Ef staðbundi DNS-þjónninn veit ekki svarið, sendir hann beiðnina áfram til eigin „framsendingarmanna“ (ef tilgreint er).
Ef hvorki DNS-þjónn staðarveitunnar né „framsendingarþjónar“ sem tilgreindir eru í stillingum hans hafa svar í skyndiminni, er beiðnin send beint til viðurkennds lénsþjóns ofan sá sem þú ert að reyna að breyta. Hvenær домен.com þetta þýðir að beiðnin er send til opinberra netþjóna lénsins sjálfs com, sem eru staðsettar kl gtld-servers.net.
System gtld-servers, sem beiðnin var gerð við, svarar með lista yfir viðurkennda nafnaþjóna fyrir lénið domain.com, auk að minnsta kosti einni hlekkjaskrá sem inniheldur IP tölu eins slíks nafnaþjóns. Næst færast svörin neðar í keðjuna - hver framsendingaraðili sendir þessi svör niður á netþjóninn sem bað um þau, þar til svarið berst loksins til netþjóns staðbundins veitanda og tölvu notandans. Öll þau geyma þetta svar í skyndiminni til að trufla ekki kerfi á hærra stigi að óþörfu.
Í flestum tilfellum skráir nafnaþjónn fyrir domain.com verður nú þegar í skyndiminni á einum af þessum framsendingum, þannig að rótarþjónarnir verða ekki fyrir truflunum. Hins vegar í bili erum við að tala um tegund vefslóðar sem við þekkjum - þá sem er breytt í venjulega vefsíðu. Chrome beiðnir eru á stigi ofan þetta, á þrepi þyrpinganna sjálfra root-servers.net.
Chromium og NXDomain þjófnaðareftirlit
Chromium athugar „er þessi DNS-þjónn að blekkja mig? standa fyrir næstum helmingi allrar umferðar sem nær til þyrpingar Verisign af rót DNS netþjónum.
Chromium vafrinn, móðurverkefni Google Chrome, nýja Microsoft Edge, og óteljandi minna þekkta vafra, vill auðvelda notendum að leita í einum reit, stundum kallað "Omnibox". Með öðrum orðum, notandinn slær inn bæði raunverulegar vefslóðir og leitarvélafyrirspurnir í sama textareitinn efst í vafraglugganum. Að taka enn eitt skrefið í átt að einföldun, það neyðir heldur ekki notandann til að slá inn hluta af vefslóðinni með http:// eða https://.
Eins þægilegt og þetta er þá krefst þessi aðferð að vafrinn skilji hvað ætti að teljast slóð og hvað ætti að teljast leitarfyrirspurn. Í flestum tilfellum er þetta nokkuð augljóst - til dæmis getur strengur með bilum ekki verið vefslóð. En hlutirnir geta orðið erfiðari þegar þú skoðar innra net – einkanet sem geta líka notað einka efstu lén til að leysa raunverulegar vefsíður.
Ef notandi á innra neti fyrirtækis síns skrifar "markaðssetningu" og innra net fyrirtækisins er með innri vefsíðu með sama nafni, þá birtir Chromium upplýsingareit sem spyr notandann hvort hann vilji leita að "markaðssetningu" eða fara á https://marketing. Þetta er kannski ekki raunin, en margir ISP og opinberir Wi-Fi veitendur „ræna“ hverri rangstafsettri vefslóð og vísa notandanum á einhverja borðafyllta síðu.
Tilviljunarkennd kynslóð
Chromium verktaki vildu ekki að notendur á venjulegum netkerfum myndu sjá upplýsingakassa þar sem þeir spurðu hvað þeir meintu í hvert skipti sem þeir leituðu að einu orði, svo þeir innleiddu próf: Þegar þeir ræsa vafra eða skipta um net, framkvæmir Chromium DNS leit á þremur af handahófi myndað "lén" efsta stig, sjö til fimmtán stafir að lengd. Ef einhverjar tvær af þessum beiðnum skila sér með sömu IP tölu, þá gerir Chromium ráð fyrir að staðarnetið sé að „ræna“ villunum NXDOMAIN, sem það ætti að fá, þannig að vafrinn telur allar eins orðs fyrirspurnir sem slegnar eru inn vera leitartilraunir þar til annað verður tilkynnt.
Því miður, í netkerfum sem ekki stela niðurstöðum DNS fyrirspurna, þessar þrjár aðgerðir rísa venjulega á toppinn, alla leið að rótarnafnaþjónunum sjálfum: staðbundinn netþjónn veit ekki hvernig á að leysa qwajuixk, svo framsendur þessa beiðni til framsendingar sinnar, sem gerir slíkt hið sama, þar til að lokum a.root-servers.net eða einn af „bræðrum“ hans verður ekki neyddur til að segja „Því miður, en þetta er ekki lén“.
Þar sem það eru um það bil 1,67*10^21 möguleg fölsuð lénsnöfn á bilinu sjö til fimmtán stafir að lengd, er algengasta hver frá þessum prófum sem gerðar eru á „heiðarlegu“ neti kemst það á rótarþjóninn. Þetta nemur jafnmiklu helmingur af heildarálagi á rót DNS, samkvæmt tölfræði frá þeim hluta klasanna root-servers.net, sem eru í eigu Verisign.
Sagan endurtekur sig
Þetta er ekki í fyrsta skipti sem verkefni skapast með bestu ásetningi eða næstum flæddi yfir opinbera auðlind með óþarfa umferð - þetta minnti okkur strax á langa og sorglega sögu D-Link og Poul-Henning Kamp NTP (Network Time Protocol) netþjónsins um miðjan 2000.
Árið 2005 fékk Poul-Henning, þróunaraðili FreeBSD, sem einnig átti eina Stratum 1 Network Time Protocol netþjón Danmerkur, óvæntan og stóran reikning fyrir senda umferð. Í stuttu máli var ástæðan sú að D-Link verktaki skrifuðu heimilisföng Stratum 1 NTP netþjóna, þar á meðal Kampa netþjóninn, inn í vélbúnaðarlínu fyrirtækisins af rofum, beinum og aðgangsstöðum. Þetta jók samstundis níföldun á netþjónaumferð Kampa, sem varð til þess að danska Internet Exchange (Danmark Internet Exchange Point) breytti gjaldskrá sinni úr „ókeypis“ í „$9 á ári.
Vandamálið var ekki að það væru of margir D-Link beinar, heldur að þeir væru „úr línu“. Líkt og DNS verður NTP að starfa í stigveldisformi - Stratum 0 netþjónar senda upplýsingar til Stratum 1 netþjóna, sem senda upplýsingar til Stratum 2 netþjóna, og svo framvegis niður stigveldið. Dæmigerður heimabeini, rofi eða aðgangsstaður eins og sá sem D-Link hafði forritað með NTP miðlara vistföng myndi senda beiðnir til Stratum 2 eða Stratum 3 netþjónsins.
Chromium verkefnið, líklega með bestu ásetningi, endurtók NTP vandamálið í DNS vandamálinu, hlaðið rótarþjónum internetsins með beiðnum sem þeim var aldrei ætlað að sinna.
Von er á skjótri lausn
Chromium verkefnið er með opinn uppspretta , sem krefst þess að sjálfgefið sé að slökkva á Intranet Redirect Detector til að leysa þetta mál. Við verðum að þakka Chromium verkefninu: villan fannst fyrir þaðhvernig Matt Thomas hjá Verisign vakti mikla athygli með sínum á APNIC blogginu. Pöddan uppgötvaðist í júní, en var gleymd þar til Thomas var sett inn; Eftir föstu fór hann að vera undir nánu eftirliti.
Vonast er til að vandamálið leysist fljótlega og rót DNS netþjónar þurfa ekki lengur að svara áætlaðum 60 milljörðum falsa fyrirspurna á hverjum degi.
Um réttindi auglýsinga
Epískir netþjónar - Er eða Linux með öflugum AMD EPYC fjölskyldu örgjörvum og mjög hröðum Intel NVMe drifum. Drífðu þig að panta!
Heimild: www.habr.com