Browser Chromium, indungna open-source Google Chrome sareng Microsoft Edge énggal, parantos nampi perhatian négatip anu signifikan pikeun fitur anu dimaksudkeun kalayan niat anu saé: éta pariksa naha ISP pangguna "maok" hasil query domain anu henteu aya. .
, nu nyiptakeun queries palsu pikeun acak "domain" nu statistik saperti teu mirip aya, tanggung jawab kira satengah tina total lalulintas ditampi ku root DNS server sakuliah dunya. Insinyur Verisign Matt Thomas nyerat panjang dina blog APNIC ngajéntrékeun masalah jeung assessing skala na.
Kumaha resolusi DNS biasana dipigawé
Server ieu mangrupikeun otoritas anu paling luhur anu anjeun kedah ngahubungi pikeun ngabéréskeun .com, .net, jsb supados aranjeunna nyarios yén frglxrtmpuf sanés domain tingkat luhur (TLD).
DNS, atanapi Domain Name System, mangrupikeun sistem dimana komputer tiasa ngabéréskeun nami domain anu teu émut sapertos arstechnica.com kana alamat IP anu kirang ramah-pamaké sapertos 3.128.236.93. Tanpa DNS, Internét moal aya dina cara anu tiasa dianggo ku manusa, hartosna beban anu teu perlu dina infrastruktur tingkat luhur mangrupikeun masalah anu nyata.
Ngamuat hiji halaman wéb modéren tiasa meryogikeun sajumlah panéangan DNS anu luar biasa. Contona, nalika urang nganalisa homepage ESPN urang, urang diitung 93 ngaran domain misah, mimitian ti a.espncdn.com mun z.motads.com. Sadayana dipikabutuh pikeun halaman pinuh dimuat!
Pikeun nampung jinis beban kerja ieu pikeun mesin pencari anu kedah ngalayanan sakumna dunya, DNS dirancang salaku hirarki multi-tingkat. Di luhureun piramida ieu aya server root - unggal domain tingkat luhur, kayaning .com, boga kulawarga server sorangan anu otoritas pangluhurna pikeun tiap domain handap aranjeunna. Hiji hambalan ieu server anu root server sorangan, ti a.root-servers.net ka m.root-servers.net.
Sabaraha sering ieu kajadian?
Hatur nuhun kana hirarki cache multi-tingkat tina infrastruktur DNS, perséntase leutik pisan tina pamundut DNS dunya ngahontal server root. Kalolobaan jalma meunang informasi DNS resolver maranéhanana langsung ti ISP maranéhanana. Nalika alat pangguna kedah terang kumaha carana dugi ka situs wéb khusus, pamundut dikirim ka server DNS anu diurus ku panyadia lokal éta. Upami pangladén DNS lokal henteu terang jawabanana, éta teraskeun pamundut ka "forwarders" sorangan (upami dieusian).
Upami server DNS panyadia lokal atanapi "server neraskeun" anu dieusian dina konfigurasina henteu gaduh réspon sindangan, pamundutna diangkat langsung ka server domain anu otoritatif. luhur hiji nu Anjeun nyobian pikeun ngarobah. Iraha домен.com ieu bakal hartosna yén pamundut ieu dikirim ka server otoritas tina domain sorangan com, anu perenahna di gtld-servers.net.
sistim gtld-servers, nu pamundut dijieun, responds kalawan daptar ngaran server otoritatif pikeun domain domain.com, kitu ogé sahanteuna hiji link catetan ngandung alamat IP tina hiji server ngaran misalna. Salajengna, réspon pindah ka handap ranté - unggal forwarder ngalirkeun réspon ieu handap ka server anu dipénta aranjeunna, nepi ka respon tungtungna ngahontal server panyadia lokal sarta komputer pamaké. Sadayana nyéépkeun réspon ieu supados henteu ngaganggu sistem tingkat anu langkung luhur.
Dina kalolobaan kasus, ngaran server rékaman pikeun domain.com tos di-cache dina salah sahiji forwarders ieu, ku kituna server root moal kaganggu. Nanging, ayeuna urang ngobrol ngeunaan jinis URL anu kami kenal - anu dirobih janten halaman wéb biasa. Paménta Chrome aya dina tingkat luhur ieu, dina hambalan tina klaster sorangan root-servers.net.
Cék maling Chromium sareng NXDomain
Chromium pariksa "naha server DNS ieu ngabobodo kuring?" akun pikeun ampir satengah tina sakabéh lalulintas ngahontal klaster Verisign urang root DNS server.
Browser Chromium, proyék indungna Google Chrome, Microsoft Edge anyar, sareng panyungsi anu teu kaétang anu langkung dikenal, hoyong nyayogikeun pangguna kalayan gampang milarian dina hiji kotak, sok disebut "Omnibox." Dina basa sejen, pamaké ngasupkeun duanana URL nyata jeung queries mesin pencari kana widang téks sarua di luhureun jandela browser. Nyandak léngkah séjén pikeun nyederhanakeun, éta ogé henteu maksa pangguna pikeun ngalebetkeun bagian tina URL http:// atawa https://.
Salaku merenah sakumaha ieu, pendekatan ieu merlukeun browser pikeun ngarti naon nu kudu dianggap URL na naon nu kudu dianggap query pilarian. Dina kalolobaan kasus ieu geulis atra - contona, hiji string kalawan spasi teu tiasa URL. Tapi hal-hal tiasa langkung rumit nalika anjeun nganggap intranét-jaringan pribadi anu ogé tiasa nganggo domain tingkat luhur swasta pikeun ngabéréskeun situs wéb anu nyata.
Upami pangguna dina intranet perusahaanna jinis "marketing" sareng intranet perusahaan gaduh halaman wéb internal kalayan nami anu sami, Chromium ningalikeun kotak inpormasi anu naroskeun ka pangguna naha aranjeunna hoyong milarian "marketing" atanapi angkat ka https://marketing. Ieu bisa jadi teu jadi masalahna, tapi loba ISP jeung panyadia Wi-Fi umum "ngabajag" unggal URL misspelled, alihan pamaké ka sababaraha kaca spanduk-kaeusi.
Generasi acak
Pamekar Chromium henteu hoyong pangguna dina jaringan biasa ningali kotak inpormasi anu naroskeun naon hartosna unggal waktos milarian kecap tunggal, janten aranjeunna ngalaksanakeun tés: Nalika aranjeunna ngaluncurkeun browser atanapi ngarobih jaringan, Chromium ngalaksanakeun pamariksaan DNS dina tilu "domain" dihasilkeun sacara acak tingkat luhur, panjangna tujuh nepi ka lima belas karakter. Upami aya dua pamundut ieu balik sareng alamat IP anu sami, maka Chromium nganggap yén jaringan lokal "ngabajak" kasalahan. NXDOMAIN, anu sakuduna ditampi, ku kituna browser nganggap sadaya patarosan kecap tunggal anu diasupkeun janten usaha milarian dugi ka aya bewara salajengna.
Hanjakal, dina jaringan éta teu maok hasil queries DNS, tilu operasi ieu biasana naek ka luhur pisan, sagala jalan ka server ngaran root sorangan: server lokal teu nyaho kumaha carana ngabéréskeun. qwajuixk, jadi teruskeun pamundut ieu ka forwarder na, nu ngalakukeun hal nu sarua, nepi ka tungtungna a.root-servers.net atawa salah sahiji "lanceukna" na moal kapaksa ngomong "Hampura, tapi ieu lain domain a."
Kusabab aya kira-kira 1,67*10^21 kamungkinan ngaran domain palsu mimitian ti tujuh nepi ka lima belas karakter panjangna, nu paling umum unggal ti tés ieu dipigawé dina jaringan "jujur", nya meunang ka server root. Ieu jumlahna saloba satengah tina total beban dina root DNS, nurutkeun statistik tina éta bagian tina klaster root-servers.net, nu dipiboga ku Verisign.
Sajarah repeats sorangan
Ieu sanés pertama kalina yén proyék didamel kalayan niat anu pangsaéna atawa ampir banjir sumberdaya publik kalawan lalulintas teu perlu - ieu geuwat ngingetkeun urang tina sajarah panjang tur hanjelu tina D-Link na Poul-Henning Kamp urang NTP (Network Time Protocol) server dina pertengahan 2000s.
Taun 2005, pamekar FreeBSD Poul-Henning, anu ogé gaduh hiji-hijina server Stratum 1 Network Time Protocol Denmark, nampi tagihan anu teu kaduga sareng ageung pikeun lalu lintas anu dikirimkeun. Pondokna, alesan éta yén pamekar D-Link nulis alamat tina server Stratum 1 NTP, kaasup server Kampa, kana firmware garis parusahaan saklar, routers sarta titik aksés. Ieu langsung ngaronjat lalulintas server Kampa urang salapan kali lipat, ngabalukarkeun Denmark Internet Exchange (Denmark urang Internet Exchange Point) ngarobah tarif na tina "Gratis" kana "$9 per taun."
Masalahna sanés seueur teuing router D-Link, tapi aranjeunna "kaluar tina garis". Sapertos DNS, NTP kedah beroperasi dina bentuk hirarki - server Stratum 0 ngirimkeun inpormasi ka server Stratum 1, anu ngirimkeun inpormasi ka server Stratum 2, sareng saterasna ka handap hirarki. Router imah, saklar, atanapi titik aksés sapertos anu diprogram ku D-Link sareng alamat server NTP bakal ngirim pamundut ka server Stratum 2 atanapi Stratum 3.
Proyék Chromium, sigana kalayan niat anu saé, ngaréplikasi masalah NTP dina masalah DNS, ngamuat pangladén akar Internét kalayan pamundut anu henteu pernah dimaksudkeun pikeun ditangani.
Aya harepan pikeun solusi gancang
Proyék Chromium ngagaduhan sumber terbuka , anu merlukeun nganonaktipkeun Intranet Redirect Detector sacara standar pikeun ngabéréskeun masalah ieu. Urang kedah masihan kiridit ka proyék Chromium: bug ieu kapanggih sateuacan étakumaha Verisign urang Matt Thomas dibawa anjeunna loba perhatian kalawan na dina blog APNIC. bug ieu kapanggih dina Juni, tapi tetep poho dugi pos Thomas urang; Saatos puasa, anjeunna mimiti aya dina pangawasan anu caket.
Dipiharep yén masalahna bakal gancang direngsekeun, sareng server DNS akar moal deui kedah ngabales kana perkiraan 60 milyar patarosan palsu unggal dinten.
salaku iklan
server epik - eta atanapi Linux kalayan prosesor kulawarga AMD EPYC anu kuat sareng drive Intel NVMe anu gancang pisan. Buru-buru mesen!
sumber: www.habr.com