Deset nejčtenějších článků roku 2020 aneb Co vás nejvíce zaujalo?

Už několik let si v našem internetovém zápisníku můžete přečíst pravidelnou dávku novinek a zajímavostí ze světa (českého) Internetu a internetových technologií. Nebylo tomu jinak ani v roce 2020, ve kterém vzešlo z klávesnic našich autorů celkem 52 článků. Mezi nejvyhledávanější pak patřily ty, které se věnovaly vypnutí starých ODVR a obecně oblasti DNS. V těsném závěsu pak zůstaly příspěvky zabývající se projektem Turris, infrastrukturou nebo bezpečností a s ní související osvětou. Také stojí za zmínku nový seriál Krátké vlny, který přinášel pravidelný přehled novinek z digitální džungle.

DoH na ODVR ostře a v Chrome

Od loňského května, kdy jsme oznámili spuštění experimentálního provozu DNS over HTTPS (zkráceně DoH) na našich Otevřených DNSSEC Validujících Resolverech (ODVR) byly na těchto našich resolverech odbaveny miliardy DNS dotazů. Za tu dobu ale jen neplynul čas a DNS, ale ODVR jsme kompletně přesunuli na novou anycast infrastrukturu, oddělenou od infrastruktury pro .CZ doménu. Navíc jsme průběžně optimalizovali provoz jak celého ODVR, tak již zmíněného DoH. Jeho implementace v Knot Resolveru, který naše ODVR pohání, nebyla, hlavně z počátku, úplně stabilní a jsme moc rádi, že nám naši uživatelé pomáhali s jejím laděním. Podíl DoH na celkovém provozu ODVR jen výjimečně přesahuje dvě procenta.

Šifrované DNS v Knot Resolveru: DoT a DoH

V tomto příspěvku popíšeme rozdíly mezi dvěma rozšířenými protokoly pro šifrování DNS: DNS-over-TLS (DoT) a DNS-over-HTTPS (DoH). Porovnáme technické aspekty těchto protokolů a jejich vliv na soukromí uživatelů. Představíme také novou vestavěnou podporu DoH v Knot Resolveru a vysvětlíme některá naše rozhodnutí při její implementaci.

Follow the DNS

V dnešní době již to tak „nefrčí“, ale na začátku tohoto tisíciletí přinesla sílící globalizace společně s rozmachem moderních technologií a hlavně Internetu pojem „Follow the Sun“. Pro mladší nebo starší, co to již zapomněli, ve stručnosti o co šlo. Například při provozu online služeb, které musí typicky fungovat nepřetržitě a uživatelé k nim mohou přistupovat odkudkoliv a kdykoliv, se může stát, že služba přestane fungovat nebo ji uživatel neumí použít. Kdykoliv. Jak zajistit technickou podporu takové službě, aniž byste v jednom časovém pásmu nutili pracovníky bdít, když je noc? Rozprostřete takové pracovníky po světě tak, že máte kdykoliv někoho, kdo má den (the Sun nad hlavou) a může tedy podporu online služby zajistit. A když to ten pracovník nezvládne dořešit, předá to dalšímu, který je směrem po sluníčku, aby práci dokončil. To, že se pak neměřil čas vyřešení požadavku v hodinách, ale v počtu oběhnutí požadavku kolem Země, je věc podružná.

Zranitelnost frameworku Nette se může týkat tisíců .CZ domén, odhalil DNS Crawler

Na začátku června jsme v rámci projektu ADAM spustili nástroj DNS crawler, který periodicky prochází domény druhé úrovně pod TLD .cz, sbírá data z DNS, webových a mailových serverů a umožňuje nám získaná data analyzovat. Dnes bychom vás rádi seznámili s jedním z výstupů této aktivity, která přispěje celkové bezpečnosti českého Internetu.

V .CZ DNS anycastu jsme nasadili XDP, výrazně rychleji tak odbavíme DNS provoz

Ve středu 9. 9. 2020 vydali kolegové z Laboratoří CZ.NIC novou verzi autoritativního DNS serveru Knot DNS (3.0), která přináší mimo jiné i podporu XDP. Pokusím se shrnout, jak jsme pro novou verzi připravili trochu specifické prostředí, v průběhu léta testovali a následně spustili do ostrého provozu v našeho .CZ DNS anycastu.

Novinky v Knot DNS 3.0

Open-source implementace autoritativního DNS serveru Knot DNS vyšla ve verzi 3.0. Navzdory kulatému číslu se na dosavadní funkcionalitě software nic nemění: novinek je sice o něco více než v běžné desetinkové verzi 2.9, ale jde převážně o featury, které když uživatel nezapne, bude vše fungovat jako u předchozích verzí. Migrace je tudíž jednoduchá.

Nový DNS anycast na Slovensku

Delší dobu jsme na našem blogu nepsali o upgrade nebo přípravě nových lokalit DNS anycastu pro ccTLD .cz. Je to tím, že máme nové lokality zatím pouze rozjednány, koronakrize nám samotnou realizaci dost komplikuje. Dalším důvodem je, že jsme se v posledních měsících soustředili na upgrade sítě v našich datacentrech, o čemž se ale rozepíšu někdy příště. Přesto máme menší, ale o to zajímavější, novinku ze světa DNS anycastu pro .CZ doménu. Tentokrát nepůjde o žádnou větší instalaci nebo exotickou lokalitu, ale o spuštění DNS serveru u našich nejbližších sousedů, bratrů Slováků.

Zveřejňujeme software DNS Probe

Laboratoře CZ.NIC v minulých dnech zveřejnily úvodní verzi softwaru DNS Probe. Jde o výkonný nástroj k zaznamenávání transakcí DNS, který je vyvíjen v rámci projektu ADAM. Jeho úkolem je zachycovat DNS provoz na síťovém rozhraní (UDP i TCP), párovat DNS dotazy s příslušnými odpověďmi a exportovat konsolidované záznamy o každé jednotlivé DNS transakci, která se v síťovém provozu vyskytla. DNS Probe může být nasazena buď na stejném stroji společně s DNS serverem anebo na samostatném monitorovacím počítači, jemuž se předává přesná kopie provozu DNS serveru (např. pomocí zrcadlení portů na switchi).