Delší dobu jsme na našem blogu nepsali o upgrade nebo přípravě nových lokalit DNS anycastu pro ccTLD .cz. Je to tím, že máme nové lokality zatím pouze rozjednány, koronakrize nám samotnou realizaci dost komplikuje. Dalším důvodem je, že jsme se v posledních měsících soustředili na upgrade sítě v našich datacentrech, o čemž se ale rozepíšu někdy příště. Přesto máme menší, ale o to zajímavější, novinku ze světa DNS anycastu pro .CZ doménu. Tentokrát nepůjde o žádnou větší instalaci nebo exotickou lokalitu, ale o spuštění DNS serveru u našich nejbližších sousedů, bratrů Slováků.

Laboratoře CZ.NIC v minulých dnech zveřejnily úvodní verzi softwaru DNS Probe. Jde o výkonný nástroj k zaznamenávání transakcí DNS, který je vyvíjen v rámci projektu ADAM. Jeho úkolem je zachycovat DNS provoz na síťovém rozhraní (UDP i TCP), párovat DNS dotazy s příslušnými odpověďmi a exportovat konsolidované záznamy o každé jednotlivé DNS transakci, která se v síťovém provozu vyskytla. DNS Probe může být nasazena buď na stejném stroji společně s DNS serverem anebo na samostatném monitorovacím počítači, jemuž se předává přesná kopie provozu DNS serveru (např. pomocí zrcadlení portů na switchi).

DNS rebinding

Naše otevřené DNSSEC validující resolvery měly od začátku provozu (tedy i v době, kdy ještě běžely na DNS resolveru Unbound) nastavenu ochranu proti DNS Rebindingu. Toto nastavení jsme zachovali i při spuštění nového ODVR anycastu postaveného již na našem Knot Resolveru.

DNS resolvery neustále přidávají nové funkce, aniž by odstraňovaly ty staré. Tento trend však nemůže pokračovat donekonečna, protože by se software nakonec zhroutil pod vlastní vahou. Které funkce jsou v praxi využívány a které je možné odebrat? Předkládáme předběžné výsledky průzkumu mezi správci DNS resolverů a také zveme čtenáře, aby se zapojili do průzkumu napříč výrobci, který běží do 30. června 2020.

V rámci projektu ADAM (Advanced DNS Analytics and Measurements) uvádí Laboratoře CZ.NIC ve spolupráci s CSIRT.CZ do produkčního provozu nástroj DNS crawler. Naším záměrem je periodicky procházet všechny domény 2. úrovně pod TLD .cz, získávat o nich různá veřejně dostupná data a ta pak dále zpracovávat. I když to jeho jméno přímo nenapovídá, DNS crawler bude kromě sběru dat z DNS také komunikovat s webovým a e-mailovým serverem každé domény. Počítáme s pravidelnými běhy ve dvou periodách: většina datových položek se bude sbírat každý týden, pouze obsah hlavních webových stránek <doména>.cz nebo www.<doména>.cz se bude stahovat jen jednou měsíčně. Zvláštnímu dohledu budou navíc podrobeny nově zaregistrované domény, u nichž je větší pravděpodobnost výskytu nějakého problému – jejich data se budou po dobu prvních dvou týdnů jejich existence stahovat denně. Software i režim jeho použití jsou navrženy tak, aby dopady na provoz domén druhé úrovně a síťovou infrastrukturu obecně byly prakticky zanedbatelné. Získaná data budou využita ke třem hlavním účelům:

Jak jsme již několikrát avizovali, po masivních upgradech DNS anycastu pro .CZ doménu v posledních letech a vybudování 100GE DNS infrastruktury se nyní zaměřujeme spíše na cílené ladění provozu anycastu. Snažíme se tak například spouštět nové DNS stacky v místech zdrojů významného DNS provozu, a to jak v zahraničí, tak v České republice. Spuštění DNS stacku v síti CESNETu na začátku dubna budiž této naší činnosti důkazem.

V nedávné době se na nás shodou okolností obrátily hned dva subjekty, zda bychom jim nepomohli s hostováním jejich DNS zón; v obou případech jsme rádi vyhověli. Jednalo se totiž o český neutrální peeringový uzel NIX.CZ, se kterým často sdílíme technické know-how a vzájemně si vypomáháme tam, kde to dává smysl. Dále pak o doménový registr státu Guatemala provozující ccTLD .gt, kterému jsme vyšli vstříc v rámci naší dlouhodobé podpory rozvíjejícím se registrům, stejně jako tomu bylo dříve v případě registrů Angoly, Malawi, Tanzanie nebo Severní Makedonie.