Viena no Chromium funkcijām rada milzīgu slodzi saknes DNS serveriem

Pārlūks Chromium, plaukstošais Google Chrome un jaunā Microsoft Edge atvērtā pirmkoda vecākais, ir saņēmis ievērojamu negatīvu uzmanību funkcijai, kas bija paredzēta ar labiem nodomiem: tā pārbauda, ​​vai lietotāja interneta pakalpojumu sniedzējs "zog" neeksistējošus domēna vaicājumu rezultātus. .

Intraneta novirzīšanas detektors, kas rada viltus vaicājumus nejaušiem "domēniem", kas statistiski maz ticams, ir atbildīgs par aptuveni pusi no kopējās trafika, ko saņem saknes DNS serveri visā pasaulē. Verisign inženieris Mets Tomass uzrakstīja garu rakstu post APNIC emuārā, aprakstot problēmu un novērtējot tās mērogu.

Kā parasti tiek veikta DNS atrisināšana

Šie serveri ir augstākā iestāde, ar kuru jums jāsazinās, lai atrisinātu .com, .net u.c., lai viņi jums paziņotu, ka frglxrtmpuf nav augstākā līmeņa domēns (TLD).

DNS jeb domēna nosaukumu sistēma ir sistēma, ar kuras palīdzību datori var pārveidot tādus neaizmirstamus domēna nosaukumus kā arstechnica.com par daudz mazāk lietotājam draudzīgām IP adresēm, piemēram, 3.128.236.93. Bez DNS internets nepastāvētu tā, kā to varētu izmantot cilvēki, kas nozīmē, ka nevajadzīga augšējā līmeņa infrastruktūras slodze ir reāla problēma.

Lai ielādētu vienu modernu tīmekļa lapu, var būt nepieciešams neticami daudz DNS meklējumu. Piemēram, analizējot ESPN mājaslapu, mēs saskaitījām 93 atsevišķus domēna nosaukumus, sākot no a.espncdn.com līdz z.motads.com. Tie visi ir nepieciešami, lai lapa pilnībā ielādētu!

Lai pielāgotu šāda veida darba slodzi meklētājprogrammai, kurai ir jāapkalpo visa pasaule, DNS ir veidota kā daudzlīmeņu hierarhija. Šīs piramīdas augšpusē atrodas saknes serveri – katram augstākā līmeņa domēnam, piemēram, .com, ir sava serveru saime, kas ir augstākā autoritāte katram domēnam zem tiem. Viens solis uz augšu šis serveri ir paši saknes serveri, no a.root-servers.net līdz m.root-servers.net.

Cik bieži tas notiek?

Pateicoties DNS infrastruktūras daudzlīmeņu kešatmiņas hierarhijai, ļoti neliela daļa pasaules DNS vaicājumu sasniedz saknes serverus. Lielākā daļa cilvēku informāciju par DNS atrisinātāju iegūst tieši no sava ISP. Kad lietotāja ierīcei ir jāzina, kā piekļūt konkrētai vietnei, vispirms tiek nosūtīts pieprasījums DNS serverim, ko pārvalda šis vietējais pakalpojumu sniedzējs. Ja vietējais DNS serveris nezina atbildi, tas pārsūta pieprasījumu saviem "pārsūtītājiem" (ja norādīts).

Ja ne lokālā pakalpojumu sniedzēja DNS serverim, ne tā konfigurācijā norādītajiem “pārsūtīšanas serveriem” nav atbildes kešatmiņā, pieprasījums tiek nosūtīts tieši uz autoritatīvu domēna serveri. iepriekš tas, kuru mēģināt pārvērst. Kad домен.com tas nozīmēs, ka pieprasījums tiek nosūtīts uz paša domēna autoritatīviem serveriem com, kas atrodas plkst gtld-servers.net.

Sistēma gtld-servers, kuram tika izteikts pieprasījums, atbild ar domēna domain.com autoritatīvu nosaukumu serveru sarakstu, kā arī vismaz vienu saites ierakstu, kurā ir viena šāda vārdu servera IP adrese. Tālāk atbildes virzās pa ķēdi uz leju – katrs ekspeditors šīs atbildes nosūta serverim, kas tās pieprasījis, līdz atbilde beidzot sasniedz vietējā pakalpojumu sniedzēja serveri un lietotāja datoru. Visi no tiem saglabā šo atbildi kešatmiņā, lai nevajadzīgi netraucētu augstāka līmeņa sistēmas.

Vairumā gadījumu nosaukumu serveris ieraksta par domēns.com jau būs kešatmiņā vienā no šiem ekspeditoriem, tāpēc saknes serveri netiks traucēti. Tomēr šobrīd mēs runājam par mums zināmo URL veidu — to, kas tiek pārveidots par parastu vietni. Chrome pieprasījumi ir vienā līmenī iepriekš tas notiek pašu klasteru līmenī root-servers.net.

Chromium un NXDomain zādzību pārbaude

Chromium pārbauda, ​​vai šis DNS serveris mani maldina? veido gandrīz pusi no visas trafika, kas sasniedz Verisign saknes DNS serveru kopu.

Pārlūkprogramma Chromium, Google Chrome vecākprojekts, jaunā Microsoft Edge un neskaitāmas mazāk zināmas pārlūkprogrammas, vēlas nodrošināt lietotājiem vieglu meklēšanu vienā lodziņā, ko dažreiz sauc par universālo lodziņu. Citiem vārdiem sakot, lietotājs ievada gan reālos URL, gan meklētājprogrammas vaicājumus vienā un tajā pašā teksta laukā pārlūkprogrammas loga augšdaļā. Veicot vēl vienu soli uz vienkāršošanu, tas arī neliek lietotājam ievadīt daļu URL ar http:// vai https://.

Lai cik ērta šī pieeja būtu, pārlūkprogrammai ir jāsaprot, kas ir jāuzskata par URL un kas par meklēšanas vaicājumu. Vairumā gadījumu tas ir diezgan acīmredzams — piemēram, virkne ar atstarpēm nevar būt URL. Taču lietas var kļūt sarežģītākas, ja ņemat vērā iekštīklus — privātos tīklus, kas var izmantot arī privātus augstākā līmeņa domēnus, lai atrisinātu patiesas vietnes.

Ja lietotājs sava uzņēmuma iekštīklā ieraksta vārdu “mārketings” un uzņēmuma iekštīklā ir iekšēja vietne ar tādu pašu nosaukumu, Chromium parāda informācijas lodziņu, kurā tiek jautāts, vai viņš vēlas meklēt “mārketings” vai doties uz https://marketing. Iespējams, tas tā nav, taču daudzi interneta pakalpojumu sniedzēji un publiskie Wi-Fi pakalpojumu sniedzēji “nolaupa” katru nepareizi uzrakstīto URL, novirzot lietotāju uz kādu lapu, kas piepildīta ar reklāmkarogu.

Izlases paaudze

Chromium izstrādātāji nevēlējās, lai lietotāji parastajos tīklos redzētu informācijas lodziņu, kurā jautāts, ko viņi domāja ikreiz, kad viņi meklēja vienu vārdu, tāpēc viņi ieviesa testu: kad viņi palaiž pārlūkprogrammu vai maina tīklus, Chromium veic DNS meklēšanu trīs. nejauši ģenerēti "domēni" augšējā līmenī, septiņas līdz piecpadsmit rakstzīmes gari. Ja kādi divi no šiem pieprasījumiem atgriežas ar vienu un to pašu IP adresi, Chromium pieņem, ka vietējais tīkls "nolaupa" kļūdas. NXDOMAIN, kas tai būtu jāsaņem, tāpēc pārlūkprogramma visus ievadītos viena vārda vaicājumus uzskata par meklēšanas mēģinājumiem līdz turpmākam paziņojumam.

Diemžēl tīklos, kas nē nozagt DNS vaicājumu rezultātus, šīs trīs darbības parasti paceļas pašā augšā, līdz pašiem saknes vārdu serveriem: vietējais serveris nezina, kā atrisināt qwajuixk, tāpēc pārsūta šo pieprasījumu savam ekspeditoram, kas dara to pašu, līdz beidzot a.root-servers.net vai kāds no viņa "brāļiem" nebūs spiests teikt: "Atvainojiet, bet tas nav domēns."

Tā kā ir aptuveni 1,67*10^21 iespējami viltoti domēna vārdi, kuru garums ir no septiņām līdz piecpadsmit rakstzīmēm, visizplatītākais katrs no šiem testiem, kas veikti "godīgajā" tīklā, tas nokļūst saknes serverī. Tas ir tikpat daudz puse no kopējās slodzes saknes DNS, saskaņā ar statistiku no šīs klasteru daļas root-servers.net, kas pieder Verisign.

Vēsture atkārtojas

Šī nav pirmā reize, kad projekts tiek veidots ar vislabākajiem nodomiem neizdevās vai gandrīz pārpludināja publisko resursu ar nevajadzīgu trafiku – tas uzreiz atgādināja D-Link un Poul-Henning Kamp NTP (Network Time Protocol) servera ilgo un skumjo vēsturi 2000. gadu vidū.

2005. gadā FreeBSD izstrādātājs Poul-Henning, kuram piederēja arī Dānijas vienīgais Stratum 1 Network Time Protocol serveris, saņēma negaidītu un lielu rēķinu par pārraidīto trafiku. Īsāk sakot, iemesls bija tas, ka D-Link izstrādātāji ierakstīja Stratum 1 NTP serveru, tostarp Kampa servera, adreses uzņēmuma slēdžu, maršrutētāju un piekļuves punktu līnijas programmaparatūrā. Tas uzreiz palielināja Kampa servera trafiku deviņkārtīgi, liekot Dānijas interneta apmaiņai (Dānijas interneta apmaiņas punktam) mainīt tarifu no "bezmaksas" uz "9 USD gadā".

Problēma nebija tā, ka bija pārāk daudz D-Link maršrutētāju, bet gan tajā, ka tie bija "ārpus rindas". Līdzīgi kā DNS, NTP jādarbojas hierarhiskā formā – Stratum 0 serveri nodod informāciju Stratum 1 serveriem, kas nodod informāciju Stratum 2 serveriem un tā tālāk pa hierarhiju. Tipisks mājas maršrutētājs, slēdzis vai piekļuves punkts, piemēram, tas, kuru D-Link bija ieprogrammējis ar NTP servera adresēm, sūtītu pieprasījumus Stratum 2 vai Stratum 3 serverim.

Chromium projekts, iespējams, ar vislabākajiem nodomiem, atkārtoja NTP problēmu DNS problēmā, ielādējot interneta saknes serverus ar pieprasījumiem, kurus tiem nekad nebija paredzēts apstrādāt.

Ir cerība uz ātru risinājumu

Chromium projektam ir atvērts avots kļūda, kam pēc noklusējuma ir jāatspējo iekštīkla novirzīšanas detektors, lai atrisinātu šo problēmu. Mums ir jāatzīst Chromium projekts: kļūda tika atrasta pirms tamkā Verisign's Mets Tomass ar savu uzmanību pievērsa viņam lielu uzmanību badošanās APNIC emuārā. Kļūda tika atklāta jūnijā, bet palika aizmirsta līdz Tomasa ierakstam; Pēc badošanās viņš sāka būt stingrā uzraudzībā.

Cerams, ka problēma drīzumā tiks atrisināta, un saknes DNS serveriem vairs nebūs katru dienu jāatbild uz aptuveni 60 miljardiem viltus vaicājumu.

Par reklāmas tiesībām

Episkie serveri -Šo VPS operētājsistēmā Windows vai Linux ar jaudīgiem AMD EPYC saimes procesoriem un ļoti ātriem Intel NVMe diskdziņiem. Steidzieties pasūtīt!

Avots: www.habr.com