Wzmocnienie serwerów głównych DNS

W rok po masowych atakach DDoS, główne serwery Internetu są lepiej przygotowane na odpieranie działań hakerskich dzięki wdrożeniu, pozostającej trochę w cieniu, techniki rutowania znanej jako Anycast

Anycast zapewnia operatorom serwerów głównych DNS podwojoną liczbę farm serwerów dostępnych do obsługi kwerend DNS najwyższego poziomu. Ta technika rutowania zwiększa elastyczność systemu serwerów głównych, pomnażając liczbę serwerów z tym samym adresem IP i rozkładając obciążenia na geograficznie rozproszone grono serwerów.

Operatorzy serwerów głównych zaczęli wdrażać Anycast po ubiegłorocznych atakach, którym nie udało się, co prawda, załamać serwerów DNS, ale zdołały jednak zablokować niektóre z nich dla legalnych kwerend. Według ekspertów, wdrożenie Anycast czyni system serwerów głównych bardziej odpornym na załamanie.

Zobacz również:

DNS nadal jednak nie jest usługa tak bezpieczną, jaką być powinna. Pomimo używania takich technik, jak Anycast, żadna technologia nie zapewnia stuprocentowego bezpieczeństwa przed atakami. Pojawienie się nowych ataków lub wykrycie luk jest tylko kwestią czasu.

Chociaż ataki DDoS zdarzają się od lat, w październikowym ataku na trzynaście serwerów - na których pracuje główny katalog przeszukiwań, przyporządkowujący nazwom domen odpowiadające im adresy IP – wykorzystano nieszczelności zawarte w rozproszonym projekcie DNS. Poniżej serwerów głównych są serwery, które obsługujące główne domeny, takie jak .com, .net i .org, a poniżej serwerów domen najwyższego poziomu jest ogromna liczba ośrodków webowych.

Podczas ataku DDoS , haker używa opanowanych przez siebie maszyn, rozproszonych w Internecie, do wysyłania masowych żądań do wybranych serwerów powodując ich przeciążanie, aż do całkowitego załamania.

W październiku ubiegłego roku serwery główne były przedmiotem ataku DDoS przez około godzinę, co spowodowało blokadę niektórych z nich dla normalnego ruchu w Internecie. Jednak pozostałe serwery główne przetrzymały atak i ogólna wydajność Internetu nie uległa degradacji. Pomimo tego był to najpoważniejszy atak w tym obszarze infrastruktury Internetu.

Bez serwerów głównych Internet nie może funkcjonować. Serwery główne, oznaczone literami alfabetu - od A do M, są zarządzane przez agencje rządowe Stanów Zjednoczonych, Uniwersytety i organizacje niedochodowe, takie jak VeriSign. Z trzynastu oryginalnych serwerów głównych, dziesięć zlokalizowanych jest w Stanach Zjednoczonych jeden w Azji i dwa w Europie.

Wprowadzenie Anycast pozwoliło operatorom na replikacje tych serwerów w całym świecie. Czterech operatorów serwerów głównych – w tym Internet Software Consortium i VerSign – utworzyło lustrzane kopie swoich serwerów. Dzisiaj istnieją już 34 lokalizacje, rozproszone po całym świecie, zawierające serwery główne lub ich repliki.

Wdrażanie serwerów głównych używających Anycast powoduje, że system uzyskuje dodatkowe możliwości obrony przed atakami DDoS. Eksperci od DNS uważają, że system serwerów głównych jest teraz dużo lepiej przygotowany do odpierania tego typu ataków niż rok temu, głównie dzięki Anycast i zwielokrotnieniu sprzętu oraz uaktualnieniu oprogramowania.

Anycast jest techniką rutowania, która pozwala na komunikowanie się z najbliższym, dostępnym ruterem w grupie. Technika ma już dziesięć lat i jest wbudowana w IPv6, ale jest to jej pierwsze zastosowanie w DNS.

Oprócz zapewnienia odporności na ataki DDoS, Anycast ma wiele innych pożytecznych cech. Zapewnia również szybszy czas odpowiedzi dla serwerów głównych ISP, ponieważ serwery główne Internetu są teraz dostępne w bliższej lokalizacji.