IPv4 dochází i v Latinské Americe, IPv6 roste

V pondělí proběhla v latinskoamerickém regionu další obří alokace IPv4 adres. Brazilská společnosti Tim Celular S.A. dostala více než 1 milión adres a LACNIC se tak stal třetím registrem, který má méně než jeden blok /8 neboli méně než 16 miliónů adres. Znalci poměrů vědí, že toto znamenalo v Asii-Pacifiku i Evropě spuštění speciálního módu alokace, při které se přestaly adresy přiřazovat podle potřeby, ale každý člen příslušného registru měl nárok pouze na jeden blok adres velikosti /22 (1024). Jinými slovy bylo ohlášeno, že IPv4 adresy byly vyčerpány. Tato situace ale zatím v Latinské Americe nenastává. Vzhledem k tomu, že region je z pohledu alokací přeci jenom o poznání menší, byla zde zvolena jiná hranice. LACNIC začne odmítat velké alokace až při prolomení hranice /9 neboli mírně nad 8 miliónů volných adres. Nicméně IPv4 alokace v Latinské Americe nabraly neuvěřitelné tempo, takže se obávám, že i tato hranice bude prolomena velmi brzy.

Celý článek

Už více než 100 nových domén nejvyšší úrovně

Ačkoliv není v poslední době o projektu rozšiřování nových domén nejvyšší úrovně příliš slyšet, stále postupuje a nové domény přicházejí na svět. ICANN mohl dokonce nedávno hrdě ohlásit, že nových koncovek je již více než 100 a stále přibývají. Nebude to tedy dlouho trvat a generických domén bude více než národních. Připomínám, že počet žádostí se blížil téměr dvěma tisícovkám a bylo požádáno o přibližně 1300 různých koncovek.

Pokud se omezím pouze na latinkové domény, tak nejkratší domény mohou být trojpísmenné. V kořenové zóně je v současnosti 19 takových. V rámci této nové vlny přibyly .cab, .ceo, .kim, .onl, .red, .uno a .wed. Naopak nejdelší doména je .international a o jeden znak kratší je .construction. Své vlastní domény již získala dvě města, shodou okolností hlavní města našich německy mluvících sousedů – .berlin a .wien.

Některé z nových domén už je možné registrovat či předregistrovat, ale zatím se nikdo nepochlubil žádnými závratnými čísly. Nicméně to není překvapivé, na hodnocení je ještě příliš brzy. Osobně jsem poměrně skeptický o užitečnosti celé řady nových domén. Z první várky mě zaujala například .solar, ta by vlastně měla být v naší zemi celkem populární. Rozhodně budu zvědavý na čísla domén jako .ninja či .plumbing. Zajímavé bude pozorovat souboj domén .pics, .photo, .photos a .photography. Ale to vše se dozvíme až za pár měsíců.

Ondřej Filip

První čtyři nové generické domény dostaly zelenou!

Trvalo to dlouho, proces byl hodně bolestný, ale už máme první výsledky. Proces, který byl mnohými nazýván největší inovací Internetu poslední doby, se dostal do závěrečné fáze. V pondělí 21. 10. ICANN oznámil, že čtyři nové generické domény dostaly zelenou a velmi krátce poté, ve středu zhruba ve 21:00 našeho času, byly tyto domény delegovány. Vzhledem k tomu, že nelatinkové domény nakonec dostaly v tomto procesu přednost, nelze předpokládat, že zrovna tyto domény budou v našich končinách nějak mimořádně populární. Jde konkrétně o:

  • شبكة (xn--ngbc5azd) – arabské slovo pro „síť“
  • онлайн (xn--80asehdb) – rusky „on-line“
  • сайт (xn--80aswg) – rusky „webová stránka“
  • 游戏 (xn--unup4y) – čínsky „hra“

Kdy přesně bude možné v těchto doménách provádět další registrace zatím není jasné. Určitou technickou zajímavostí je, že všechny čtyři domény byly delegovány včetně DS záznamů, tedy včetně DNSSEC, protože to je už u těchto nových domén povinnost.

Osobně jsem nikdy nebyl velkým příznivcem tohoto procesu a pořád nejsem příliš přesvědčen, že splní to, co se od něj očekávalo, tedy konkurenci zavedené superdoméně .com. Spíše se bojím, že nové domény přinesou chaos běžným uživatelům. Nicméně, pokud mi už nějaké z těchto domén dávaly smysl, tak to byly právě tyto nelatinkové varianty. Přeji tedy našim arabsky, rusky a čínsky mluvícím síťoobčanům, ať jim nové domény slouží.

Ondřej Filip

Za rok přibylo v ČR více než 100 tisíc uživatelů IPv6

V nedávném příspěvku na téma DNSSEC jsem se odkazoval na prezentaci Geoffa Hustona na RIPE 67. Dovolím si tento úspěšný koncept využít ještě jednou a krátce okomentovat jeho další prezentaci, tentokrát o IPv6. Geoff se pokusil ověřit závěr Google, že podíl IPv6 se za poslední rok zdvojnásobil. Ačkoliv se v absolutních číslech liší, což je poněkud paradoxní, protože opět využívá reklamní síť právě od Googlu, v hrubých rysech se jeho závěry shodují. Dle jeho měření stoupl podíl IPv6 z 0,45 % na 1,29 %, což je již výrazný nárůst.

Poměrně překvapivé je, že hlavním motorem tohoto růstu je Evropa a to konkrétně Evropa severní a Evropa východní (do které jsme řazeni i my). Osobně bych spíše očekával, že nejvyšší nárůst bude v regionu Asie-Pacifik, protože ten byl nedostatkem IPv4 adres zasažen jako první. Leč neděje se tak.

Podle metodiky Geoffa přibylo v České republice za rok více než 100 tisíc uživatelů IPv6, což je vzhledem k naší velikosti poměrně slušné číslo. Celosvětově jsme v penetraci IPv6 na desátém místě a podle všeho se o to nejvíce zasloužili tito tři poskytovatelé Internetu: CESNET, který zvýšil podíl IPv6 uživatelů z 20 % na 27 %, Telefónica CR (0 % -> 3 %) a Internethome (0 % -> 2 %). Veliká gratulace a doufejme, že obdobná statistika příští rok dopadne ještě lépe.

Ondřej Filip

Třetina uživatelů validuje DNSSEC, jsme šestí na světě

Geoff Huston z APNICu nedávno prezentoval v rámci konference RIPE 67 poměrně zajímavá čísla z jeho výzkumu validace DNSSEC. Geoff si nakoupil od Google reklamní prostor a do flash kódu implementoval dotazy na tři různá URL. DNS prvního bylo jako referenční bez DNSSEC podpisu, druhé bylo s korektním DNSSEC podpisem a třetí bylo se schválně špatným DNSSEC podpisem. Toto měření mělo mnoho různých cílů, ale z počtu úspěšných transakcí na URL se špatným DNSSEC podpisem lze ukázat, kolik procent DNS resolverů validuje. Samozřejmě jde trochu diskutovat o reprezentativnosti vzorku sbíraného pomoci reklam Google, ale rozhodně následující čísla o něčem hovoří. (Zdroj čísel je ve zmíněné prezentaci na slide 11.)

  1. Švédsko: 78 %
  2. Slovinsko: 59 %
  3. Lucembursko: 44 %
  4. Vietnam: 38 %
  5. Finsko: 37 %
  6. Česká republika: 31 %

Mezi TOP 25 (slide 18) sítí, které validaci podporují, se dostali dva čeští ISP a to Telefónica Czech Republic a GTS Czech. Děkujeme.

Z určitého pohledu to není špatný výsledek. Na prvních šesti místech jsou země, u kterých se to více méně očekávalo. Snad jen trochu překvapivý je Vietnam, ale zde je vysvětlením velká popularita resolverů Googlu, které DNSSEC validují. Na druhou stranu jsem přeci jenom trochu doufal, že země s nejvyšším podílem podepsaných domén v národní doméně bude alespoň na bedně. Inu ještě máme co zlepšovat. Musíme si uvědomit, že dvě třetiny uživatelů mohou být vystaveny třeba velmi zákeřnému útoku na DNS pomocí IP fragmentace, který také v rámci RIPE 67 prezentoval kolega Tomáš Hlaváček!

Ondřej Filip

OpenSource@RIPE

Představovat organizaci RIPE NCC je pro čtenáře tohoto blogu asi trochu zbytečné. Je to registr IP adres pro Evropu a Blízký východ. Nicméně tím výčet aktivit nekončí. RIPE NCC také dvakrát ročně organizuje RIPE meeting, což je setkání především síťových operátorů z evropské oblasti. V rámci RIPE meetingu bylo v minulosti ustaveno několik pracovních skupin (working groups), které se pravidelně scházejí a diskutují na daná témata. V současnosti jsou aktivní Anti-Abuse, Cooperation, Database, DNS, EIX (Internet Exchange Points), ENUM, IPv6, MAT (Measurement Analysis and Tools), RIPE NCC services, Routing. Nicméně počet pracovních skupin není úplně konstantní a občas nějaká vznikne nebo naopak zanikne.

Jako člověk, který se v podstatě celý svůj profesní život věnuje open source softwaru a především směrovacímu démonu BIRD, jsem měl občas trochu problém, v jaké pracovní skupině prezentovat. BIRD je velmi výrazně zastoupen u peeringových center, takže občas jsem prezentoval v rámci EIX. Jde o implementaci routingu, tak jsem čas od času přednášel v rámci Routing. A někdy byla má prezentace vybrána pro plenární zasedání. Nicméně problém byl v tom, že třeba Routing je spíše o směrovacích protokolech a ne o implementacích. V rámci EIX není prostor na prezentaci novinek v OSPF a v plenary je bohužel poměrně málo místa a těžko by ho dostala prezentace o posledních novinkách v nějakém software.

Tehdy mě kontaktoval Martin Winter, který tou dobou pracoval pro ISC a který měl podobný problém s jeho aktivitou opensourcerouting.org, zabývající se projektem Quagga. Dohodli jsme se, že zkusíme udělat tzv. BoF, neboli takové neformální setkání, které je organizováno obvykle večer. Vzhledem k tomu, že přišlo poměrně hodně lidí a z diskuse vyplynulo, že by bylo fajn, tato setkání opakovat a přizvat i další projekty, požádali jsme po pár BoFech RIPE NCC o založení nové pracovní skupiny. Byli jsme požádání o zorganizování jakéhosi pilotního běhu a po něm bylo oficiálně rozhodnuto, že byla nastartována Open Source Working Group a Martin Winter a já jsme byli zvoleni za předsedy této pracovní skupiny.

Ondrej Filip - Open Source WG

No a zítra (16.10.) v 8:00 našeho času bude v rámci RIPE meetingu 67 v Athénách první plný běh této pracovní skupiny. Pokud Vás tedy open source týkající se síťových záležitostí zajímá, můžete se podívat i vzdáleně, celý RIPE meeting lze sledovat na tomto URL.

Ondřej Filip

IPv6 postupuje

Jak vypadá situace adopce protokolu IPv6 z hlediska alokací jsem na tomto blogu již glosoval mnohokrát. Dnes mi dovolte připomenutí překročení jednoho milníku z pohledu reálných IPv6 toků Internetu. Google totiž nedávno oznámil, že podíl IPv6 překročil 2 %. To sice nezní jako nějaké ohromující číslo, ale na druhou stranu se podíl IPv6 meziročně více než zdvojnásobil, protože loni v této době byl tento poměr nižší než 1 %. Trend tedy vypadá velmi pozitivně, což je vidět i z následující křivky.

Podil IPv6 22.9.2013

Podíl IPv6 22.9.2013

Dále je potřeba si uvědomit, že díky technikám jako happy eyeball poměr IPv6 nikdy nemůže být 100% ani v případě plné implementace IPv6.

Situace se pochopitelně výrazně liší v jednotlivých zemích. Světovou jedničkou je Švýcarsko s 9 %. Druhé místo obsadilo trochu nečekaně Rumunsko s o něco méně než 8 % a třetí je Francie s 5 %. Česká republika, která má poměrně hodně obsahu přístupného po IPv6, bohužel za průměrem zaostává. U nás se podíl IPv6 pomalu blíží k 1,5 %. To je pochopitelně způsobeno situací u ISP, kteří se k nasazování IPv6 pro koncové uživatele zatím tolik nehrnou, byť toto rozhodně neplatí pro všechny.

Každopádně bude zajímavé sledovat, zdali si IPv6 udrží takto pozitivní růstový trend. Pokud by tomu tak bylo, mohli bychom IPv4 opustit poměrně brzy.

Ondřej Filip

Všechno nejlepší!

Už to na tomto blogu několikrát zaznělo, sdružení CZ.NIC sfouklo na dortu patnáctou svíčku, což je u člověka věk, při kterém mu stát dá tolik důvěry, že může požádat o povolení řídit pomalé jednostopé motorové vozidlo. O své vzpomínky na toto období dospívání se již s Vám podělili dva služebně nejstarší zaměstnanci sdružení, Zuzana a Martin. A protože třetí v pořadí jsem již já, dovolte i mně přispět svou vzpomínkou.

Do sdružení jsem vstoupil na konci roku 2003, když jsem se se skupinou podobně smýšlejících lidí snažil otočit kormidlo těžkopádně plující lodě. CZ.NIC v té době rozhodně neměl dobré jméno. Cena domény byla poměrně vysoká, pravidla a nastavení registračního systému příliš nepřipomínala 21. století a mnoho lidí mělo v živé paměti rozporuplně přijímanou migraci na decentralizovaný systém. Sdružení mělo jen minimum zaměstnanců a drtivá většina všech jeho činností, včetně těch klíčových, byla outsourcována. Komentáře tehdejších diskutujících pod články o české doméně by bylo možné v televizi předčítat jedině až po dvaadvacáté hodině. Tedy nic moc okamžik jít s kůží na trh a nabídnout jen další změny a následně ještě jednu migraci. Ani onen pokus o změnu nevypadal ze začátku kdo ví jak. Celkem dlouho trvalo, než došlo k obměně většiny členů představenstva a padlo finální rozhodnutí vyvinout vlastní registrační systém.

Nicméně povedlo se a v roce 2005 již mělo sdružení úplně nové vedení, stanovy, dokonce i v přípravě nové logo, nové podmínky vstupu a začalo nabírat zaměstnance, kteří měli za úkol na zelené louce vyvinout úplně nový a pružnější systém a zcela změnit tvář sdružení. Na svém seznamu neodkladných úkolů jsem měl vyřešit vztah mezi sdružením a státem a po odškrtnutí tohoto políčka byl nejvýše nový registrační systém. Pojmenovali jsme jej FRED a on rostl velmi rychle. Poprvé se v plné kráse a síle mohl ukázat v září 2006, kdy jsme jej nasadili na správu ENUMové domény 0.2.4.e164.arpa. To byl poměrně klíčový milník celého procesu, protože v té chvíli přestal být FRED jen projektem programátorů, ale od této chvíle bylo všechno „doopravdy“. Veškeré změny se musely pečlivě testovat, provádět pouze v odstávkových časech, získávali jsme cenné zkušenosti s provozem.

Ty jsme nejvíce zúročili o rok později, přesně v období 28. až 30. září 2007. V tomto období byl zastaven provoz starého registračního systému a veškerá data byla migrována do FREDa. Bylo to pro mne tehdy úžasné období. Na jednu stranu jsme byli pochopitelně všichni neuvěřitelně nervózní, jestli jsme v našem migračním scénáři, který měl stovky položek někde přeci jenom neudělali chybu, ale na druhou stranu to bylo završení téměř čtyřletého úsilí mnoha lidí. Nervozita byla celkem pochopitelná, neměli jsme v podstatě záložní variantu, sice existovala možnost požádat tehdejšího provozovatele o prodloužení běhu outsourcovaného systému, ale je jasné, že takový krok by měl zcela devastující účinek na pověst sdružení a nás, kteří jsme migraci prováděli. Samotná migrace proběhla až nečekaně hladce s dvaatřiceti hodinovou rezervou a tak jsme těch 32 hodin nervózně čekali na start nového systému, který byl naplánován na 1. říjen, na 10:00. Okamžik nastal, FRED najel a tři vteřiny po startu se začaly registrovat první domény. Skvělá zpráva, ale přesto jsme objevili jednu malou chybičku. Nový systém chránil WHOIS výpisy pomocí Captcha. Takže každý, kdo si chtěl vypsat na webu nějaké informace o doménách, musel přepsat do znaků obrázek. Ačkoliv byl celý systém mnohokrát testován jedné drobné věci jsme si nevšimli. Ano tušíte správně. Zátěžové testy obvykle provádějí automaty. Ty nedokáží přepisovat Captcha obrázky a proto byla tato částečka systému při testech deaktivována. A právě v ní byla chyba, která se za celou dobu neprojevila u ENUMu, protože ten nikdy nebyl vystaven zátěži uživatelů lačných po informacích. Špatné ukládání dočasných dat způsobilo, že při současných přístupech více uživatelů přestal WHOIS fungovat. V ten okamžik nastalo v místnosti, odkud jsme spouštění řídili, hrobové ticho. Nebylo hned zřejmé, že chybička je pouze u WHOIS a že systém jinak bez problémů funguje. Všichni jsme měli velký strach, že jde o něco vážného. Já sám jsem si z toho okamžiku odnesl pár šedivých vlasů, což je při hustotě mé kštice poměrně vidět. Nejvíce duchapřítomnosti ukázal kolega Surý, který hned popadl klávesnici a zhruba do tří minut provedl tu spásnou změnu kódu, která vše vyřešila. Od té doby si dobře pamatuji, že čas je relativní, málo kdy později mi pak přišly tři minuty tak strašně dlouhé. Nicméně to už bylo vše. Systém naběhl, o žádnou doménu jsme nepřišli a tak trochu se začala psát nová epocha sdružení. Cena domény dramaticky poklesla, pravidla registrace a související podmínky se značně zjednodušily, vstoupilo mnoho nových členů, sdružení se přestalo zabývat především samo sebou a nasměrovalo velké množství energie do projektů pro lokální internetovou komunitu. Jen soupis těchto všech projektů by zabral na tomto blogu mnoho místa a pokud se podíváte na některé starší příspěvky, jistě si obrázek uděláte. Velmi dobrým průvodcem může být i strategie sdružení na nejbližší čtyři roky. Změnu vnímaní sdružení nejvíce vystihují již zmíněné příspěvky pod články, které se nás týkají. Netvrdím, že jsou to ze 100 % výkřiky nadšení, ale poměr kritických poznámek se dramaticky zmenšil a pokud už se objeví nějaká kritika, je poměrně vstřícná.

Co dodat na závěr? CZ.NIC pomalu opouští své dětské období, už má poměrně jasno o své budoucnosti a ukázalo, že internetová samospráva může fungovat, a to kvalitně a stabilně. Připojuji se k zástupu gratulantů a přeji vše nejlepší, a hlavně zdraví! Zdraví české doméně! A svobodnému Internetu!

Ondřej Filip

Zpomalování Internetu?

V souvislosti s nedávnými DDoS útoky proti službě SpamHaus.org otisklo mnoho médií názor, že tento útok je natolik masivní, že údajně dochází ke zpomalování Internetu. To je trochu silné vyjádření, které patrně pochází z blogpostu šéfa CloudFlare Matthew Prince. Pojďme se tedy na tuto věc podívat blíže.

Intenzita útoku byla skutečně mimořádně velká, hovoří se o cca 300Gbps provozu generovaného pomocí DNS amplification útoku. To skutečně není málo, a nesnese to samozřejmě vůbec srovnání s útoky, které se nedávno udály u nás. Ale je to dost na zpomalení Internetu? Odpovědí může být například pohled na tuto tabulku, která ukazuje kolik běžně proudí největšími peeringovými uzly. Když sečtete špičkové toky alespoň dvaceti největších z nich (mezi které mimochodem patří i Český NIX.CZ), dostanete se bohatě nad 10000Gbps (=10Tbps). A to pochopitelně zdaleka nereprezentuje veškeré toky Internetu. Jinými slovy, navýšení celkového toku Internetu bylo sotva v řádu pár procent. Uvědomme si, že nějaké globálně sledované události, jako třeba olympiády, v poslední době vygenerují toků mnohem více. Mohlo tedy dojít k významnému vlivu na rychlost globálního Internetu? Rozhodně ne!

Samozřejmě, mohlo dojít ke zpomalení Internetu lokálně, sám Prince ve svém článku výslovně uvádí, že někteří Britští zákazníci jejich společnosti měli potíže. To je poměrně logické, ale ostatní sítě nijak poškozeny nebyly. Prince ještě ukazuje graf, který má navodit dojem, že došlo k nějakým výpadkům v londýnském peeringovém centru LINX, ale pravdou je, že nikdo žádné problémy nedetekoval, že šlo spíše o problémy systému, který tyto grafy kreslí.

linx_traffic

Mimochodem, povšimněte si, že toky samotného LINXu jsou v normálu hodně velké a 300Gbps navíc by jejich infrastruktura měla rozhodně ustát.

Tedy, ke zpomalení Internetu nedošlo, žádná velká senzace se nekoná. Prostě jsme jen byli svědky většího DDoSu. No a v dalším článku si povíme, jak by se těmto útokům mělo předcházet.

Ondřej Filip

DDoS nebo DoS? Aneb jak se dá udělat útok

Odborná i všeobecná média chrlí v současné době velké množství článků na téma kybernetických útoků z minulého týdne. Téměř všechny články označují útok jako DDoS, mluví se o pronájmu botnetů a podobně. Minulý týden jsem já a především moji kolegové strávili analýzou celého problému a z dosud známých dat bych si dovolil jít proti tomuto mediálnímu proudu a představit jinou teorii opřenou o důkaz proveditelnosti. Dopředu podotýkám, že jde spíše o technickou nuanci, která nám patrně nijak zásadně nepomůže v pátrání po skutečnému útočníkovi.

Především musím uvést, že útok měl vlastně dvě různé fáze. V té první v začátku týdne šlo o klasický SYN Flood útok s podvrženou zdrojovou adresou. Tedy, že útočník či útočnici emitovali velmi rychle úvodní packety TCP komunikace (SYN), které směřovaly přímo na cíl. V druhé fázi emitovali útočníci SYN packety se zdrojovou adresou cíle, které směřovaly na některé české servery s kvalitním připojením. Tyto servery odpovídaly druhým packetem úvodní TCP sekvence neboli SYNACK a tím zahlcovaly cíl, působily tedy jako jakýsi reflektor.

Nicméně co zajímavé je, že téměř všichni napadení v první fázi nebo ti, kteří byli zneužiti jako reflektor v druhé fázi, se shodují v tom, že útoky přicházely víceméně z jednoho směru ze zahraničí a to silou o řádu set tisíců až miliónů packetů za vteřinu. Nejčastěji je skloňována ruská síť RETN, ale hovoří se i o jiných sítích. A to je právě to nečekané. Při klasickém DDoS útoku, který používá botnet, přicházejí packety z různých směrů a obvykle nejde žádný dominantní směr určit. Pokud by útočník využil takovýto botnet, jistě by měl největší zájem o zapojení uzlů právě z našeho území, které mají k cíli nejlepší spojení. Ale k tomu pravděpodobně (krom toho odrazu z druhé fáze) nedošlo. Netvrdím tedy, že nešlo o distribuovaný útok, ale rozhodně byla primární útočící síť (nebo alespoň její dominantní část) poměrně geograficky omezená. Spíše mě to tedy vede k myšlence, že jde spíše o DoS než DDoS. Opět je pochopitelně možné, že si onu infrastrukturu někdo pronajal na stejném principu jako botnet.

A pokud se někdo zamýšlíte nad tím, zdali je možné takový útok uskutečnit pouze z jednoho centra, tak vězte, že to není nic moc komplikovaného. V rámci našeho bezpečnostního týmu jsme postavili řešení, které je schopno vygenerovat tok o síle cca deseti miliónů packetu za vteřinu. Tedy více, než kolik bylo emitováno v proběhlých útocích. Packety generuje menší farma v podstatě běžných PC, takže náklady na pořízení takového generátoru jsou velmi nízké. Trochu náročnější je mít kvalitní přípojku do Internetu a dostatečně silný router. Tok takového útoku je totiž cca 5Gbps a to již přeci jenom každý doma nemá. V současné době toto řešení používáme pro testování vlastní infrastruktury a již se nám přihlásili první zájemci, kteří by si rádi otestovali jejich vlastní systémy.

Tedy útoky, kterých jsme byli v nedávné minulosti svědky, nemusely nutně pocházet ze zavirovaných počítačů nic netušících lidí, mohly klidně vycházet z jednoho centra, sami jsme si takové centrum během pár hodin dokázali postavit. Nicméně pochopitelně netvrdím, že to nemohla být nějaká geograficky omezená část botnetu. Každopádně bych se přimlouval, aby toto první písmenko bylo v té zkratce dDoS co nejmenší. :-)

Váš ONdŘEJ FILIP