Chromium браузері, Google Chrome және жаңа Microsoft Edge-тің дамып келе жатқан ашық бастапқы көзі, жақсы ниетпен жасалған мүмкіндікке айтарлықтай теріс назар аударды: ол пайдаланушының ISP жоқ домен сұрауының нәтижелерін «ұрлап жатқанын» тексереді. .
, статистикалық түрде болуы екіталай кездейсоқ «домендерге» жалған сұрауларды жасайды, бүкіл әлем бойынша түбірлік DNS серверлері қабылдайтын жалпы трафиктің шамамен жартысына жауап береді. Verisign инженері Мэтт Томас ұзақ жазды мәселені сипаттайтын және оның ауқымын бағалайтын APNIC блогында.
DNS ажыратымдылығы әдетте қалай орындалады
Бұл серверлер frglxrtmpuf жоғары деңгейлі домен (TLD) емес екенін айту үшін .com, .net, т.б. шешу үшін хабарласуыңыз керек ең жоғары орган болып табылады.
DNS немесе домендік атаулар жүйесі — компьютерлер arstechnica.com сияқты есте қалатын домен атауларын 3.128.236.93 сияқты пайдаланушыға ыңғайлы емес IP мекенжайларына шеше алатын жүйе. DNS болмаса, Интернет адамдар пайдалана алатындай болмас еді, яғни жоғарғы деңгейдегі инфрақұрылымға қажетсіз жүктеме нақты мәселе.
Бір заманауи веб-бетті жүктеу DNS іздеулерінің керемет санын қажет етуі мүмкін. Мысалы, ESPN басты бетін талдағанда, біз a.espncdn.com бастап z.motads.com дейінгі 93 бөлек домен атауларын санадық. Олардың барлығы беттің толық жүктелуі үшін қажет!
Бүкіл әлемге қызмет етуі қажет іздеу жүйесі үшін жұмыс жүктемесінің осы түрін орналастыру үшін DNS көп деңгейлі иерархия ретінде жасалған. Бұл пирамиданың жоғарғы жағында түбірлік серверлер орналасқан - .com сияқты әрбір жоғары деңгейлі доменде олардың астындағы әрбір домен үшін ең жоғары өкілеттік болып табылатын серверлердің жеке тобы бар. Бір қадам жоғары бұл серверлер түбірлік серверлердің өздері болып табылады a.root-servers.net қарай m.root-servers.net.
Бұл қаншалықты жиі болады?
DNS инфрақұрылымының көп деңгейлі кэштеу иерархиясының арқасында әлемдік DNS сұрауларының өте аз пайызы түбірлік серверлерге жетеді. Көптеген адамдар DNS шешуші туралы ақпаратты тікелей провайдерінен алады. Пайдаланушы құрылғысы белгілі бір веб-сайтқа қалай кіру керектігін білуі қажет болғанда, сұрау алдымен жергілікті провайдер басқаратын DNS серверіне жіберіледі. Жергілікті DNS сервері жауапты білмесе, ол сұрауды өзінің «экспедиторларына» (көрсетілген болса) жібереді.
Жергілікті провайдердің DNS серверінде де, оның конфигурациясында көрсетілген «қайта жіберу серверлерінің» де кэштелген жауабы болмаса, сұрау тікелей беделді домен серверіне жіберіледі. жоғары сіз түрлендіруге тырысып жатқан адам. Егер домен.com бұл сұрау доменнің беделді серверлеріне жіберілетінін білдіреді comмекен-жайында орналасқан gtld-servers.net.
жүйе gtld-serversСұраныс жасалған , domain.com доменіне арналған беделді атау серверлерінің тізімін, сондай-ақ осындай бір атау серверінің IP мекенжайын қамтитын кем дегенде бір сілтеме жазбасымен жауап береді. Әрі қарай, жауаптар тізбек бойынша төмен жылжиды - әрбір экспедитор бұл жауаптарды жергілікті провайдердің серверіне және пайдаланушының компьютеріне жеткенше, оларды сұраған серверге жібереді. Олардың барлығы жоғары деңгейлі жүйелерді қажетсіз бұзбау үшін бұл жауапты кэштейді.
Көп жағдайда атау сервері үшін жазбалар domain.com осы экспедиторлардың бірінде кэштелген болады, сондықтан түбірлік серверлер бұзылмайды. Дегенмен, әзірге біз әдеттегі веб-сайтқа түрлендірілетін URL мекенжайының түрі туралы айтып отырмыз. Chrome сұраулары өз деңгейінде жоғары бұл кластерлердің қадамында root-servers.net.
Chromium және NXDomain ұрлығын тексеру
Chromium «бұл DNS сервері мені алдап жатыр ма?» тексереді. Verisign компаниясының түбірлік DNS серверлерінің кластеріне келетін барлық трафиктің жартысына жуығын құрайды.
Chromium шолғышы, Google Chrome-ның негізгі жобасы, жаңа Microsoft Edge және сансыз аз танымал браузерлер пайдаланушыларға кейде «Omnibox» деп аталатын бір жолақта іздеудің оңайлығын қамтамасыз етуді қалайды. Басқаша айтқанда, пайдаланушы браузер терезесінің жоғарғы жағындағы бір мәтіндік өріске нақты URL мекенжайларын да, іздеу жүйесінің сұрауларын да енгізеді. Жеңілдетуге тағы бір қадам жасай отырып, ол пайдаланушыны URL мекенжайының бір бөлігін енгізуге мәжбүрлемейді http:// немесе https://.
Қаншалықты ыңғайлы болса да, бұл тәсіл браузерден URL мекенжайы нені және іздеу сұрауы ретінде нені қарастыру керектігін түсінуін талап етеді. Көп жағдайда бұл өте анық - мысалы, бос орындар бар жол URL мекенжайы бола алмайды. Бірақ интранеттерді — нақты веб-сайттарды шешу үшін жеке жоғары деңгейлі домендерді де пайдалана алатын жеке желілерді қарастырғанда, бәрі қиындай түсуі мүмкін.
Егер компанияның интранет желісіндегі пайдаланушы «маркетинг» түрін енгізсе және компанияның интранетінде бірдей атаумен ішкі веб-сайт болса, онда Chromium пайдаланушыдан «маркетинг» іздеуді қалайтынын немесе өткісі келетінін сұрайтын ақпарат терезесін көрсетеді. https://marketing. Бұлай болмауы мүмкін, бірақ көптеген Интернет провайдерлері мен жалпыға қолжетімді Wi-Fi провайдерлері қате жазылған әрбір URL мекенжайын «ұрлап», пайдаланушыны баннермен толтырылған бетке қайта бағыттайды.
Кездейсоқ ұрпақ
Chromium әзірлеушілері кәдімгі желілердегі пайдаланушылардың бір сөзді іздеген сайын нені білдіретінін сұрайтын ақпарат терезесін көргісі келмеді, сондықтан олар сынақ жүргізді: Олар браузерді іске қосқанда немесе желілерді өзгерткенде, Chromium DNS іздеуін үш жерде орындайды. ұзындығы жетіден он бес таңбаға дейінгі жоғарғы деңгейлі кездейсоқ құрылған «домендер». Осы сұраулардың кез келген екеуі бірдей IP мекенжайымен қайтарылса, Chromium жергілікті желі қателерді «ұрлап жатыр» деп есептейді. NXDOMAIN, ол қабылдауы керек, сондықтан браузер келесі ескертуге дейін енгізілген барлық бір сөзді сұрауларды іздеу әрекеттері деп санайды.
Өкінішке орай, желілерде бұл емес DNS сұрауларының нәтижелерін ұрлау, бұл үш операция әдетте түбірлік атау серверлерінің өздеріне дейін ең жоғарғы деңгейге көтеріледі: жергілікті сервер шешуді білмейді qwajuixk, осылайша бұл сұрауды өзінің экспедиторына жібереді, ол дәл солай жасайды, соңына дейін a.root-servers.net немесе оның «ағаларының» бірі «Кешіріңіз, бірақ бұл домен емес» деп айтуға мәжбүр болмайды.
Ұзындығы жетіден он бес таңбаға дейінгі шамамен 1,67*10^21 мүмкін жалған домендік атаулар болғандықтан, ең көп таралған әрқайсысы «адал» желіде орындалған осы сынақтардан ол түбірлік серверге түседі. Бұл соншалықты құрайды жартысы кластерлердің сол бөлігінің статистикасына сәйкес DNS түбіріндегі жалпы жүктемеден root-servers.net, олар Verisign компаниясына тиесілі.
Тарих қайталанады
Бұл жақсы ниетпен жасалған жоба бірінші рет емес немесе қоғамдық ресурсты қажетсіз трафикпен толтыра жаздады - бұл 2000-шы жылдардың ортасында D-Link және Poul-Henning Kamp серверінің NTP (Network Time Protocol) серверінің ұзақ және қайғылы тарихын бірден еске түсірді.
2005 жылы Данияның жалғыз Stratum 1 Network Time Protocol серверіне ие болған FreeBSD әзірлеушісі Поул-Хеннинг жіберілген трафик үшін күтпеген және үлкен шот алды. Бір сөзбен айтқанда, D-Link әзірлеушілері компанияның коммутаторлар, маршрутизаторлар мен кіру нүктелерінің микробағдарламасына Stratum 1 NTP серверлерінің, соның ішінде Kampa серверінің мекенжайларын жазуы себеп болды. Бұл Кампа серверінің трафигін бірден тоғыз есе арттырды, бұл Данияның Интернет алмасу нүктесінің (Данияның Интернет алмасу нүктесі) тарифін «Тегін»ден «жылына 9 000 долларға» өзгертуіне себеп болды.
Мәселе D-Link маршрутизаторларының тым көптігінде емес, олардың «сызығынан тыс» болуында болды. DNS сияқты, NTP иерархиялық пішінде жұмыс істеуі керек - Stratum 0 серверлері ақпаратты Stratum 1 серверлеріне жібереді, олар ақпаратты Stratum 2 серверлеріне жібереді және т.с.с. иерархияның төменгі жағында. NTP сервер мекенжайларымен бағдарламаланған D-Link сияқты әдеттегі үй маршрутизаторы, коммутаторы немесе кіру нүктесі Stratum 2 немесе Stratum 3 серверіне сұраулар жібереді.
Chromium жобасы, бәлкім, ең жақсы ниетпен, NTP мәселесін DNS мәселесінде қайталады, Интернеттің түбірлік серверлерін олар ешқашан өңдеуге арналмаған сұраулармен жүктейді.
Тез арада шешімін табады деген үміт бар
Chromium жобасында ашық бастапқы дереккөз бар , бұл мәселені шешу үшін әдепкі бойынша Intranet Redirect Detector қолданбасын өшіруді талап етеді. Біз Chromium жобасына несие беруіміз керек: қате табылды бұрынVerisign компаниясының Мэтт Томас оған қалай көп көңіл бөлді APNIC блогында. Қате маусым айында табылды, бірақ Томастың жазбасына дейін ұмытылды; Оразадан кейін ол жіті бақылауда бола бастады.
Мәселе жақын арада шешіледі деп үміттенеміз және түбірлік DNS серверлері бұдан былай күн сайын болжамды 60 миллиард жалған сұрауларға жауап беруге мәжбүр болмайды.
Жарнама құқықтары туралы
Эпикалық серверлер Мүмкін немесе қуатты AMD EPYC отбасылық процессорлары және өте жылдам Intel NVMe дискілері бар Linux. Тапсырыс беруге асығыңыз!
Ақпарат көзі: www.habr.com