O České doménové centrále podruhé

Společnosti Česká doménová centrála a jejím aktivitám se na stránkách tohoto blogu věnoval před časem kolega Martin Peterka. Protože je jeho text ale stále aktuální, možné ještě aktuálnější než byl prve, vracím se k „problému“ spojenému s podivným obchodováním s doménami ještě jednou.

Jestli jste neklikli na odkaz a text si už nepřečetli, tak je o tom, že je tu jedna společnost jménem Česká doménová centrála, která podniká způsobem, který by si řada z nás asi ani nedokázala představit. Její telefonisté volají do firem a jejich zástupcům namlouvají, že si musí co nejdříve jejich prostřednictvím objednat domény se stejným nebo podobným názvem společnosti s jinou koncovkou než s tou, kterou už mají, jinak to brzy udělá někdo jiný. Ten někdo jiný si na tyto domény právě teď brousí zuby a pokud se zástupce firmy s používanou doménovou koncovkou nerozhodne co nejdříve, stane se s největší pravděpodobností, že ho někdo předběhne, domény zaplatí a majitel domény s už zaregistrovanou koncovkou bude mít najednou problém.

Tady bych skončil a konečně se dostal k tomu, proč o tom píšu teď já. Článek kolegy Peterky jste si mohli poprvé přečíst 5. května, tedy více než devět měsíců zpátky. Jak to už bývá, zanedlouho po jeho vydání se objevily první komentáře a potom další a další; většinou se zkušenostmi s touto společností. Co je ale zajímavé na celé té věci, že počet příspěvků pod textem kolegy Peterky i po těch devíti měsících roste a roste. Co to znamená? Podle všeho je společnost Česká doménová centrála stále aktivní a na lep jí sedají další a další majitelé domén, kteří uvěří tomu, co jim zaměstnanci „obchodníků z doménami“ vnutí.

Věřím, že i díky fóru, popsaným zkušenostem a reportáži České televize, začne dalších komentářů přeci jen ubývat. Že bude stále měně a méně těch, kteří „naletí“ telefonistům a řečem o registraci domén, jejichž cena se oproti té skutečné liší mnohdy až desetinásobně.

Aktualizace, 22. 4. 2013:

O české doménové centrále potřetí, chtělo by se říci. Včera byla v Událostech České televize odvysílána reportáž (čas 17:00) věnovaná „výhodným“ nabídkám domén, opět. Tentokrát telefony nezvoní na stolech majitelů firem, ale na úřadech měst a obcí. Rádi bychom tímto upozornili na aktivity, které nemají se slušným a dobře myšleným chováním nic společného.

Aktualizace, 1. dubna 2015:

Česká televize odvysílala v rámci pořadu Černé ovce reportáž věnující se nabídce registrací domén za přemrštěné ceny. Doporučujeme její zhlédnutí.

Uz méně než 10 %!

Jakkoliv titulek mého příspěvku může spíše evokovat, že budu psát nějaký politický komentář, nebojte se. Celkem nedávno došlo k prolomení další magické hranice ve spotřebě IPv4 adres. V registru organizace IANA je už méně než 10 % volných IPv4 adres z celkového rozsahu, tedy méně než 400 miliónů. Rychlost, jakou volné IPv4 adresy mizí nejlépe ilustruje následující applet.

Byť nevěřím, že IP adresy dojdou v září příštího roku, je evidentní, že staré adresy dochází a kdo se nepřipravuje na IPv6 může být v krátkém čase nepříjemně překvapen. Důvodem, že ubývání IP adres není tak rychlé jak naznačují matematické výpočty, není chyba ve výpočtech, ale částečně úspěšná snaha organizací IANA a regionálních registrů o znovu navracení již dříve alokovaných bloků. Na začátku Internetu se s adresami neuvěřitelně plýtvalo a tak dle IANA databáze má třeba farmaceutická firma Eli Lilly přidělen blok /8, tedy zhruba 17 miliónů adres.

V souvislosti s navracením adres, které původně sloužily k jiným účelům, bych rád uvedl jeden poměrně kuriózní příklad: Vždy, když se nějaký další blok začíná rozdělovat poskytovatelům připojení, probíhá tzv. proces debogonizace. Velmi zjednodušeně jde o to, že se části toho příslušného bloku propagují pomocí protokolu BGP do Internetu a sleduje se, kam propagace projde a kde je tento rozsah filtrován. Zároveň je i možné vysledovat, zda-li na tento rozsah není směrován nějaký provoz, nějaký šum. V rámci tohoto procesu byl propagován i prefix 1.1.1.0/24 a poměrně nepříjemným zjištěním bylo, že „šum“, který na tento rozsah přicházel, okamžitě zahltil jejich 10Mbps port v peeringovém centru AMS-IX. Z analýz toků vyplynulo, že tento šum je zhruba 50Mbps. To bohužel znamená, že tato část rozsahu je pro alokaci nepoužitelná, protože žádný ISP by asi nechtěl, aby do jeho sítě přicházely desítky Mbps zcela neužitečného toku dat.

Je vidět, že IP čísla skutečně dochází, když už je snaha využít i takto speciální bloky. Přesto je služeb dosažitelných po IPv6 jen žalostně málo. Pokud o nějakém dobrém příkladu víte, dejte nám vědět v komentářích.

Ondřej Filip

Užitečné rozšíření DNS nebo cesta špatným směrem?

V poštovní konferenci pracovní skupiny DNSEXT, která se zabývá rozšiřováním protokolu DNS, aktuálně probíhá bouřlivá diskuze nad novým návrhem Client IP information in DNS requests (neboli Informace o klientské IP adrese v DNS dotazech). Tento návrh společně podaly společnosti Google a Neustar. Google před nedávnou dobou spustil svou službu Google Public DNS, a tudíž představuje zástupce provozovatele veřejného resolveru. Neustar stojí na opačném konci, kromě provozu několika TLD, provozují také autoritativní DNS servery, které získali akvizicí firmy UltraDNS. To jen tak na vysvětlenou, co mají tyto dvě firmy společného s DNS.

Tento návrh přidává do DNS zprávy volitelnou položku, která obsahuje IP adresu (resp. adresu sítě) klienta, který položil dotaz rekurzivnímu resolveru. Možná vás teď napadá otázka, k čemu je tato informace autoritativnímu DNS serveru dobrá? Obecně k ničemu. Tento návrh přinese užitek pouze malé skupině provozovatelů DNS serverů – hlavní využití by tento návrh měl při distribuci obsahu (CDN), kdy už v dnešní době dochází na základě IP adresy rekurzivního resolveru k přizpůsobení odpovědi, kterou poskytne autoritativní DNS server. Typickým příkladem je například právě Google.

Pokud se zeptám na adresu www.google.com ze svého pracovního počítače (tedy aktuálně s IP adresou přidělenou CZ.NICu), dostanu tuto odpověď:

www.google.com. IN CNAME www.l.google.com.
www.l.google.com. IN A 74.125.87.105
www.l.google.com. IN A 74.125.87.147
www.l.google.com. IN A 74.125.87.99
www.l.google.com. IN A 74.125.87.104
www.l.google.com. IN A 74.125.87.103

Pokud se zeptám z našeho DNS serveru v Londýnském LINXu, dostanu odpověď úplně jinou:

www.google.com. IN CNAME www.l.google.com.
www.l.google.com. IN CNAME www-tmmdi.l.google.com.
www-tmmdi.l.google.com. IN A 216.239.59.99
www-tmmdi.l.google.com. IN A 216.239.59.103
www-tmmdi.l.google.com. IN A 216.239.59.147
www-tmmdi.l.google.com. IN A 216.239.59.104

Náš DNS uzel v Kaliforni vidí opět jiné IP adresy:

www.google.com. IN CNAME www.l.google.com.
www.l.google.com. IN A 74.125.87.99
www.l.google.com. IN A 74.125.87.103
www.l.google.com. IN A 74.125.87.104
www.l.google.com. IN A 74.125.87.105
www.l.google.com. IN A 74.125.87.147

Těmito DNS triky se dá geograficky rozložit zátěž mezi různé lokality. S příchodem veřejných otevřených rekurzivních resolverů (provozovaných jako služba) ovšem nastává problém. Jak budou vypadat stejné dotazy ze stejných lokalit, když začnu používat například servery OpenDNS.

Z Čech:

www.google.com. IN CNAME google.navigation.opendns.com.
google.navigation.opendns.com. IN A 208.69.34.230
google.navigation.opendns.com. IN A 208.69.34.231

Z Kalifornie:

www.google.com. IN CNAME google.navigation.opendns.com.
google.navigation.opendns.com. IN A 208.67.219.230
google.navigation.opendns.com. IN A 208.67.219.231

Přesměrováním na vlastní server OpenDNS řeší problém, který představuje neschopnost předat informaci o lokaci DNS klienta autoritativnímu serveru, k přesměrování dochází teprve na úrovni HTTP protokolu. Mimochodem všimněte si, jak OpenDNS bez zeptání vstupuje do vašeho DNS provozu. O důvod více, proč používat DNSSEC a nepoužívat OpenDNS.

Google se svou službou Google Public DNS řeší stejný problém. Sám pro sebe by tento protokol nepotřeboval, protože informaci o klientovi má, nicméně dalším třetím stranám ji není schopný předat.

Návrh, o kterém se aktuálně diskutuje v pracovní skupině DNSEXT, tento problém řeší přidáním volitelné (EDNS0 option) informace o klientské IP adrese, jak v DNS dotazu, tak v DNS odpovědi. Bez hlubšího zamyšlení se může tento nápad jevit jako dobrý. Nicméně pokud se zamyslíme nad dalšími souvislostmi, tak objevíme několik důvodů, proč by tento návrh neměl projít.

Důvod první: Myslím si, že změny důležitých protokolů jako je DNS, by neměly probíhat kvůli zájmům malé skupiny uživatelů tohoto protokolu. Celý návrh je šitý na míru několika málo poskytovatelům veřejných DNS resolverů, které se ptají autoritativních DNS serverů, které používají (dle některých špinavé) triky pro distribuci různého obsahu. Vnímám tento návrh jako nekoncepční, protože se snaží dolepit do DNS protokolu funkci, na kterou nebyl tento protokol postaven.

Důvod druhý: Lokalizace obsahu dle IP adresy není příliš spolehlivá. Pravděpodobně funguje ve většině případů, ale například nerozumím tomu, proč mě stránka google.com tvrdošíjně přesměrovává na www.google.cz a mluví na mne česky i přesto, že mám v nastavení prohlížeče nastaveno, že chci zobrazovat stránky v jazyce anglickém. Při cestě do zahraničí mají některé stránky (nejen google.com) tendenci na mne mluvit jazykem země, ve které se aktuálně nacházím. A mnohdy bývá problematické z této lokalizační pasti uniknout a dostat se alespoň na anglickou verzi stránek.

Důvod třetí: Celý návrh je postavený jako opt-out. Pokud si klient nepřeje, aby resolver předával informaci o jeho IP adrese, může stejnou cestou předat speciální IP adresu 0.0.0.0/0, kterou by měl resolver ctít a předat ji v této formě dále. Bohužel to ovšem znamená, že pokud nechcete, aby se autoritativní server dozvěděl vaši IP adresu, musíte mít podporu pro tuto volbu implementovanou ve vašem operačním systému. Osobně tento důvod vnímám jako nejzávažnější, protože mění stávající stav a nutí všechny uživatele k aktualizaci, která ani nemusí být dostupná.

Důvod čtvrtý: Kolegyně Zuzana v předchozím příspěvku o Dni ochrany osobních údajů psala o tom, jak se soukromý prostor postupně mění v prostor veřejný. Tento návrh ubírá další kousíček soukromí, tedy předává informaci, kterou v tuto chvíli měl pouze resolver dalším třetím stranám (provozovatelům autoritativních DNS). Navíc o tom, zda-li dochází k tomuto předávání vaší IP adresy, se nemáte nikterak šanci dozvědět, alespoň současná verze návrhu žádné takové rozšíření neobsahuje.

Jak to bude vypadat dále? Pracovní skupiny v IETF pracují na principu konsenzu. Pokud už se musí hlasovat, tak se hlasuje hučením. Google je sice silný hráč, ale do pracovní skupiny IETF se může zapojit kdokoli a každý hlas má stejnou váhu. Ze stávající diskuze vyplývá, že návrh má více odpůrců než zastánců, a domnívám se tedy, že minimálně v této podobě schválen nebude.

Ondřej Surý