Sběr, zpracování a publikace dat z provozu autoritativních serverů DNS a veřejného resolveru ODVR, registru domény .CZ i služby mojeID mají ve sdružení CZ.NIC poměrně dlouhou tradici. Dříve používané (a stále aktivní) webové stránky se statistikami sice nabízely mnoho grafů a rozsáhlé možnosti volby jejich parametrů, ale při pohledu na ně se přece jen člověku do hlavy vkrádal slogan ze známé písně Zdeňka Svěráka a Jaroslava Uhlíře: „Statistika nuda je, má však cenné údaje…“. Jedním z mála pozitivních důsledků covidové pandemie bylo, díky výstupům Johns Hopkins University a mnoha dalších institucí, výrazné zvýšení standardu statistických vizualizací, jemuž naše staré statistiky při nejlepší vůli neodpovídaly.
Efektivnější sběr informací z DNS serverů
Od konce ledna 2021 se ze všech autoritativních DNS serverů provozovaných sdružením CZ.NIC sbírají informace o DNS transakcích (dotazech a odpovědích) s využitím nového standardního formátu Compacted-DNS (C-DNS). Jeho specifikace je obsažena v RFC 8618. Pro sběr těchto dat používáme software DNS Probe vyvinutý v Laboratořích CZ.NIC ve spolupráci s FIT VUT Brno. Završila se tím zhruba půlroční etapa přechodu od tradičního a námi dříve používaného formátu PCAP, během níž jsme testovali výkon a stabilitu DNS Probe a porovnávali výsledky získané v obou formátech.
Zveřejňujeme software DNS Probe
Laboratoře CZ.NIC v minulých dnech zveřejnily úvodní verzi softwaru DNS Probe. Jde o výkonný nástroj k zaznamenávání transakcí DNS, který je vyvíjen v rámci projektu ADAM. Jeho úkolem je zachycovat DNS provoz na síťovém rozhraní (UDP i TCP), párovat DNS dotazy s příslušnými odpověďmi a exportovat konsolidované záznamy o každé jednotlivé DNS transakci, která se v síťovém provozu vyskytla. DNS Probe může být nasazena buď na stejném stroji společně s DNS serverem anebo na samostatném monitorovacím počítači, jemuž se předává přesná kopie provozu DNS serveru (např. pomocí zrcadlení portů na switchi).
Spouštíme DNS crawler
V rámci projektu ADAM (Advanced DNS Analytics and Measurements) uvádí Laboratoře CZ.NIC ve spolupráci s CSIRT.CZ do produkčního provozu nástroj DNS crawler. Naším záměrem je periodicky procházet všechny domény 2. úrovně pod TLD .cz, získávat o nich různá veřejně dostupná data a ta pak dále zpracovávat. I když to jeho jméno přímo nenapovídá, DNS crawler bude kromě sběru dat z DNS také komunikovat s webovým a e-mailovým serverem každé domény. Počítáme s pravidelnými běhy ve dvou periodách: většina datových položek se bude sbírat každý týden, pouze obsah hlavních webových stránek <doména>.cz nebo www.<doména>.cz se bude stahovat jen jednou měsíčně. Zvláštnímu dohledu budou navíc podrobeny nově zaregistrované domény, u nichž je větší pravděpodobnost výskytu nějakého problému – jejich data se budou po dobu prvních dvou týdnů jejich existence stahovat denně. Software i režim jeho použití jsou navrženy tak, aby dopady na provoz domén druhé úrovně a síťovou infrastrukturu obecně byly prakticky zanedbatelné. Získaná data budou využita ke třem hlavním účelům:
Knot Resolver slaví páté narozeniny
Knot Resolver je moderní open-source implementace rekurzivního DNS serveru (resolveru), vytvořená a udržovaná relativně malým vývojovým týmem v Laboratořích CZ.NIC. Tomuto projektu, který vznikl jako mladší bratříček úspěšného autoritativního serveru Knot DNS, je právě dnes pět let! V první řadě je tedy na místě velká gratulace a poděkování všem, kdo se na něm podíleli. Zároveň je ale takovéto výročí i vhodnou příležitostí k malému ohlédnutí a bilancování.
IPv6 – nechtěné dítě?
Na přelomu starého a nového roku se v „hlavním“ mailing listu IETF rozběhla výživná diskuse. Byla sice vyvolána bizarním návrhem IP verze 10, ve skutečnosti ale odráží všeobecnou frustraci ze šnečího tempa zavádění IPv6. John Klensin, jeden z praotců Internetu, zaujal překvapivě skeptické a sebekritické stanovisko. Podle něj proponenti IPv6 postupně ztrácejí na důvěryhodnosti: „Mnoho let jsme tvrdili, že IPv6 je připraveno na plošné nasazení a že všechny přechodové mechanismy jsou zvládnuty. Když se v praxi ukázalo, že to není tak úplně pravda, začali jsme strašit katastrofami, které měly vypuknout v souvislosti s jistými událostmi. K těmto událostem skutečně došlo, ale katastrofy se nedostavily.“
Jazyk YANG má novou verzi 1.1
Na konci srpna vyšel dokument RFC 7950, který obsahuje specifikaci jazyka YANG verze 1.1. Tento jazyk slouží k modelování konfiguračních a stavových dat a představuje základ pro bezpečnou vzdálenou správu síťových zařízení všeho druhu. Po skromných začátcích se YANG v posledních dvou letech docela pěkně rozšířil nejen v rámci IETF, ale i v jiných standardizačních institucích (IEEE, BBF) a také v průmyslu. Ukazuje se totiž, že standardní a strojově čitelné datové modely – tedy popis struktury dat, jejich datových typů a sémantických pravidel – jsou zejména pro operátory velkých a heterogenních sítí důležitější než konkrétní protokol, jímž se data přenášejí a editují.
Třicet let MINIXu
V březnovém čísle časopisu Communications of the ACM vyšel článek A. S. Tanenbauma „Lessons Learned from 30 Years of MINIX“. Pro ty, kdo nepamatují pohnuté události přelomu 80. a 90. let minulého století, připomenu, že MINIX byl v jistém smyslu přechůdcem Linuxu, a jeho autorem je právě (dnes již emeritní) profesor Andrew Tanenbaum.
Před pražským meetingem IETF
Ve druhé polovině července bude Praha dějištěm 93. meetingu IETF, a stane se tak již potřetí v posledních osmi letech. CZ.NIC bude také podruhé za sebou jedním z hostitelů. To je jistě vyznamenání pro naše hlavní město, firmu i české pivo, zároveň se tím ale také české odborné veřejnosti nabízí možnost nahlédnout do kuchyně této významné mezinárodní organizace, která stojí za většinou internetových standardů a technologií.
Projekt NetIDE zahájen
Jedním z pojmů, které dnes hýbou telekomunikačním světem, jsou softwarově definované sítě (SDN). Tomuto tématu jsem už před časem věnoval příspěvek, takže jen krátce připomenu, že koncept SDN vychází z modelu sítě složené z „hloupých“ přepínačů a centrálního řídícího systému zvaného kontrolér.