DNS software je v současnosti velmi složitý. Výrobcům a vývojovým týmům chybí zpětná vazba o tom, jaké funkce se skutečně používají. Náš průzkum si kladl za cíl takové informace od uživatelů získat. Výsledky jsou popsány v tomto článku. K účasti na průzkumu byli pozváni uživatelé a správci DNS resolverů od jakéhokoliv dodavatele. Příspěvek navazuje na článek “Průzkum: Jak nastavujete DNS resolvery?”.
Mějte na paměti, že průzkum byl proveden v polovině roku 2020 a preference některých uživatelů se mohou časem měnit. Celkem se zúčastnilo 337 respondentů. Ne každý odpověděl na všechny otázky, proto se může počet respondentů u některých otázek lišit.
Kdo odpovídal
Následující údaje nám poskytují lepší přehled o respondentech, jejich případech použití a velikosti jejich nasazení.
Následující graf ukazuje rozložení používaných implementací DNS resolverů u našich respondentů. Jsou uvedeny pouze základní implementace. Zahrnuty jsou také od nich odvozené implementace.
Konfigurace
Zde jsme se respondentů ptali, jak v současnosti upravují konfiguraci svých DNS resolverů. Také nás zajímalo, jaké způsoby by chtěli používat v budoucnu.
Můžeme vidět, že většina respondentů upravuje konfigurační soubor pomocí textového editoru. Naopak do budoucna je výrazná poptávka po možnosti modifikace pomocí blíže nespecifikované formy API.
Další graf ukazuje, jak často respondenti konfiguraci upravují.
Následující otázka byla zaměřena na délku akceptovatelného výpadku služby při aplikaci změn konfigurace. Respondenti odpověděli následovně.
Filtrování provozu
V této části jsme se respondentů zeptali na filtrování DNS provozu a jejich případné policy.
data v odpovědi – např. IP adresa z blacklistu
DNS “metadata” – např. IP adresa nebo jméno autoritativního DNS serveru
Následující graf zobrazuje nejběžnější operace při spuštění pravidel filtrování. Někteří respondenti také odpověděli „ukončit spojení“ nebo „přesměrování na jiný DNS resolver“.
blokování odpovědi na DNS úrovni – např. odpověď s NXDOMAIN, REFUSED nebo NODATA
zaslání upravené odpovědi – např. odpověď s odlišnou IP adresou
Zajímal nás také přibližný počet těchto pravidel. Odpovědi v “jiné” se pohybují výrazně pod nebo nad možnými odpověďmi.
Budoucí směřování
Zdá se, že klienti budou pro komunikaci s DNS resolvery používat různorodou sadu protokolů, to zahrnuje TLS, HTTPS nebo QUIC. Následující graf ukazuje zájem respondentů o tyto protokoly a zda preferují vestavěnou podporu nebo proxy komponentu.
Průzkum se také dotkl otázky, jaký mají respondenti názor na automatické shromažďování konfiguračních metrik, tzv. „call home“. Tato funkce by mohla zjednodušit získávání zpětné vazby pro vývojáře. V žádném případě by to nezahrnovalo provoz ani žádná citlivá data.
seznam používaného nastavení – např. local-data, forward-first, soreuseport
seznam nastavení a četnost – např. 3 x local-data, 1x forward-first, 1x soreuseport
upravená konfigurace – konfigurační soubor bez jakýchkoliv jmen, IP adres nebo komentářů atd.
plná konfigurace – reálně používaná konfigurace (může identifikovat konkrétní nasazení)
Přibližně polovina respondentů by byla ochotná automatizovaně sdílet nějaká data, naopak zbytek je proti. Další otázka, kterou jsme položili, také jasně ukázala, že taková funkce by měla být striktně opt-in (takto odpovědělo téměř 90 % respondentů). Takto omezené prostředky automatického sběru dat by s největší pravděpodobností neposkytly relevantní zpětnou vazbu.
Závěr
Na závěr bych chtěl poděkovat všem respondentům za jejich účast a odpovědi. Také bych se chtěl omluvit za pozdní zveřejnění výsledků. Věřím, že tyto výsledky pomohou budoucímu směřování vývoje softwaru DNS. Například Knot Resolver se chystá v nadcházejících verzích prozkoumat možnosti konfigurace prostřednictvím API.