Změna! Za čtyři měsíce bude IANA bez adres!

V pátek jsem stihl pouze rychle glosovat, že si Afričané poměrně nečekaně vyžádali další /8 blok. Podle dosavadního protokolu a praxe totiž měl AfriNIC alokovat až ve chvíli, kdy jeho zásoba klesne pod 0,5 bloku, tedy něco kolem 8 miliónů adres. Nicméně AfriNIC tuto alokaci provedl už při 0,71. Zdálo by se, že taková drobnost nemůže mít velký dopad, nicméně známé počítadlo konce IP prostoru se výrazně hnulo a to v obou hlavních číslech. Jak je to vlastně možné?

Dle původních předpokladů si měl v současnosti nejaktivnější registr APNIC vyžádat v březnu 2 bloky a pak opět za zhruba tři měsíce ještě jeden poslední. Nicméně díky tomu, že si tento jeden blok neplánovaně vzali Afričané, bude pravděpodobně březnová alokace už poslední. Pak už zbude jen posledních 5 bloků, které budou po jednom přiděleny všem registrům. Proto se tedy počítadlo posunulo směrem dopředu. Druhým zajímavým důsledkem je, že se jeden blok navíc přerozdělí z regionu Asie-Pacifik do Afriky. A proto vydrží APNICu zásoba adres kratší dobu, což je vyjádřeno posunem druhé hodnoty počitadla.

Jak se tedy zbylých 11 bloků rozdělí? Zatím to vypadá tak, že 3 dostane region Asie-Pacific, 3 Evropský region (to je včetně celého Ruska a středního východu), 3 Severní Amerika a po jednom Afrika a Jižní Amerika. Stále platí, teď dokonce mnohem silněji, že nejdříve dojdou adresy APNICu a naopak ještě dlouho (a nyní ještě déle) by měl být dostatek u AfriNICu.

Pro nás Evropany se vlastně nic nezměnilo, stejnou porci adres jsme měli dostat i před onou změnou. Na konci příštího roku by mělo být v registru RIPE NCC o něco více než 2 volné /8 bloky. Takové množství obvykle stačí na zhruba půl roku. V Evropě by adresy měly dojít zhruba o prázdninách roku 2012, tedy pokud se nějak výrazně nezmění tempo spotřeby. Roční tempo evropské spotřeby ilustruje následující graf z dílny Geoffa Hustona.

Osobně z tohoto příliš radost nemám a to ze dvou důvodů. Za prvé adresy dojdou v regionu Asie-Pacifik dříve, což znamená, že tento region ztratil další čas na přechod na IPv6. Druhým důvodem je fakt, že v Africe dojdou adresy naopak mnohem později; na konci roku bude v Africe více než 2 bloky volných adres, což by teoreticky mělo Afričanům stačit minimálně na 4 roky. Takováto nerovnováha může jen posílit motivaci k černému obchodování s adresami, což si pochopitelně nikdo nepřeje.

Každopádně samotná změna počítadel důvodem k panice není. Panikařit nebo-li připravovat na přechod na IPv6 bychom se měli všichni, konec IPv4 adres se nezadržitelně blíží!

Ondřej Filip

Další blok míří do Afriky

Ve svém posledním příspěvku jsem ohlašoval, že severoamerický ARIN pravděpodobně brzy zažádá o další adresní blok. Jak už to ale bývá, realita je trochu složitější. Další blok, tentokrát 105.0.0.0/8, putuje do Afriky. Tedy do regionu, u kterého se to čekalo až tak za půl roku, což ilustruje i následující graf ze stránek Geoffa Hustona.

Afričané pravděpodobně navýšili mez, při které žádají o nové adresy. Velkých volných bloků je tedy v současnosti už jen 11 a dost možná se ještě v tomto měsíci toto číslo opět změní.

Ondřej Filip

Kolik ubylo v říjnu?

Letošní říjen byl z hlediska alokací poněkud nezvyklým měsícem. Oproti podprůměrnému záři byly říjnové alokace spíše nadprůměrné – spotřebovalo se zhruba 26 miliónů adres. Hlavní událostí byla v současnosti už málo vídaná veliká alokace v Severní Americe. Zdejšímu kabelovému operátorovi Comcast byl přidělen blok 50.128.0.0/9, což odpovídá 8,4 miliónu adres! Díky této alokaci se zásoba volných adres v severoamerickém registru adres snížila na hranici, při které si ARIN obvykle zažádá o nové adresní bloky. Tento fakt ilustruje i následující obrázek převzatý ze stránek Geoffa Hustona.
Volné IP adresy v registru ARIN

V praxi to obvykle funguje tak, že regionální registry nečekají na to, až jim adresy dojdou úplně. Obvykle si zažádají o nové bloky ve chvíli, kdy jejich zásoba klesne pod určitou kritickou mez. Tři největší registry – ARIN, APNIC a RIPE NCC mají tuto hranici na dvou /8 neboli 34 miliónech adres. Africký AfriNIC a jihoamerický LACNIC mají tuto mez vzhledem ke svým velikostem pochopitelně nižší.

No a jak vypadal tradiční pomyslný závod zemí? Je logické, že tentokrát drtivě zvítězily Spojené státy; na říjnových alokacích se podílely 47 %. Až s velkým odstupem je následují Brazílie a Indie s 8% podíly. Trochu nezvyklé je i to, že maličké Irsko obsadilo pátou příčku a požádalo o 1,3 miliónu adres, což odpovídá 5 %. Do TOP 10 se opět dostala i jedna africká země a to v tomto případě Keňa. Situace je vidět na tradičním koláčovém grafu.

zari-top10

A jak vlastně vypadá situace s IPv6? Která země je na nový protokol nejlépe připravena, nebo spíše, která země už alokovala nejvíce IPv6 adres? Následující tabulka ukazuje pořadí jednotlivých zemí v počtu IPv6 alokací větších než /40.

  1. USA – 957
  2. Německo – 339
  3. Japonsko – 287
  4. Velká Británie – 253
  5. Nizozemí – 181
  6. Austrálie – 175
  7. Rusko – 173
  8. Francie – 133
  9. Čína – 123
  10. Kanada – 105
  11. Korea – 97
  12. Švýcarsko – 95
  13. Itálie – 91
  14. Švédsko – 89
  15. Česko – 81
  16. Polsko – 81
  17. Norsko – 75
  18. Rakousko – 73
  19. Nový Zéland – 64
  20. Indonésie – 62
  21. Indie – 60

Jak je vidět, Česká Republika obsadila spolu s Polskem pěkné 15. místo a porazila i takové země jako třeba lidnaté Španělsko, vyspělejší Belgii nebo obrovskou Indii. Jen pro porovnání států V4, Maďaři obsadili 38. místo s 24 alokacemi a Slováci 44 s 16.

Ondřej Filip

Přešli jsme na NSEC3, co z toho vyplývá?

Pro ty, kteří dění kolem české domény a DNSSEC pravidelně sledují, není zpráva z titulku jistě žádnou novinkou. Informaci o přechodu na NSEC3 jsme uveřejnili již před více než dvěma měsíci. Proč o tom tedy dnes psát na blogu?

Nedlouho před tím, než byla tato nová technologie nasazena, se na internetu objevil postup, jak „vylistovat“ obsah domény .CZ s pomocí NSEC záznamů. Ty umožňují prokázat neexistenci domény tím, že pro každé existující doménové jméno odkazují na další existující záznam v zóně. NSEC3 řeší právě tuto vlastnost, kterou zmíněný postup využívá.

NSEC3 totiž nepracuje s doménovými jmény samotnými, ale jen s jejich hashovanou podobou a není jej tedy možné pro tzv. „zonewalking“ použít. To se bohužel ještě nedoneslo některým zvědavcům, kteří se stále pokouší doménová jména z NSEC3 záznamů extrahovat. To se projevuje tím, že v provozu autoritativních serverů pro  doménu .CZ se u některých klientů (rekurzivních serverů) objevuje neobvyklé množství dotazů na neexistující domény se jmény jako „ha2022l2fk5ei80alie61h33i4r9vcko.cz.“ či „LJA47DB0JD4B6MEVIS2V2NFIRUJ33971.cz.“. U některých klientů jsou to dokonce desítky dotazů za vteřinu bez přestávky a to po několik týdnů.

Pokud jste tedy zapomněli někde na svém serveru zapnutý „zonewalking“ skript pro NSEC3, ušetříte vašemu počítači i dalším po cestě práci, pokud ho vypnete. Získaný seznam neexistujících domén vám totiž nejspíš k ničemu užitečnému stejně nebude.

Bedřich Košata

ITAR končí

V půlce července byla podepsána kořenová zóna a krátce na to jsem si posteskl, že DS záznamy některých domén zůstaly v ITARu a některé se přesunuly do kořenové zóny. Dnes už je situace úplně jiná. ITAR je už téměř prázdný a naopak kořenová zóna se nám utěšeně plní. Snad proto ve čtvrtek IANA oznámila, že ukončuje provoz ITARu. Dle tohoto oznámení budou na konci listopadu vymazány z ITARu všechny záznamy a na začátku příštího roku bude provoz celého adresáře ukončen. Zatím nebylo vydáno žádné podobné prohlášení u dalšího podobného systému, tedy DLV.

Jaké záznamy vlastně ITAR v současnosti ještě obsahuje? Jsou v něm DS záznamy následujících domén: .arpa, .bg, .br, .gov, .nu, .pr, .th, a .tm. Překvapivé je, že DS první jmenované, tedy .arpa, neni v kořenové zóně. Je to poměrně škoda. Tato doména je využívána i třeba pro reverzní DNS zóny či ENUM. Snad se tedy rychle podaří i tuto doménu zmigrovat. Každopádně kořenová zóna v současné chvíli obsahuje 294 domén a podepsaných je z toho 46.

Pokud tedy používáte ITAR, připravte se na jeho vypnutí a buďte bez obav, kořenová zóna vám bude stačit…

Ondřej Filip

Co chystáme o datových schránkách na LinuxAlt?

Je to již skoro rok, co byly datové schránky uvedeny do ostrého provozu. Od té doby se mnoho změnilo, jak v samotných datových schránkách (mnozí si jistě pamatují na captchu číhající zákeřně po úspěšném přihlášení heslem), tak na poli dostupného softwaru. V současné době je k dispozici celá řada alternativních řešení, od proprietárních po svobodné, která umožňují práci s datovou schránkou naprosto bez nutnosti používat oficiální webové rozhraní.

Jedním z dostupných nástrojů je aplikace dsgui vyvíjená v našich Laboratořích, se kterou seznámíme návštěvníky v krátké přednášce na letošním LinuxAltu. Protože je ale tato aplikace na světě již nějaký ten pátek, určitě případné zájemce o návštěvu konference potěší, že v rámci stejné přednášky představíme také dva novější produkty, které by měly přispět ke zlepšení možností elektronické komunikace se státní správou na alternativních platformách. První z nich bude klient pro datové schránky pro iPhone, který umožní snadnou a okamžitou kontrolu datové schránky z prostředí tohoto telefonu. Druhou pak multiplatformní prohlížeč a editor elektronických formulářů ve formátu ZFO, které jsou státní správou hojně využívány a které se často používají v kombinaci s datovými schránkami.

Doufáme, že naše přednáška přispěje alespoň malou částí k úspěšnosti letošního LinuxAltu. Budeme se těšit na shledanou v Brně!

Bedřich Košata

Zase kus IP prostoru pryč

Nejsou to ani tři měsíce, co jsem referoval o tom, že byl spotřebován další kus adresního prostoru „starého Internetu“. Čtenáři s dobrou pamětí si možná vzpomenou, že tehdy putovaly dva velké adresní bloky (/8) do regionu Asie-Pacifik, nebo-li organizaci APNIC. Zmiňovaný region se podílí největším dílem na současném alokačním tempu a proto nebylo příliš překvapivé, že se včera tato událost opět opakovala a další část adresního prostoru putovala k APNICu. Konkrétně byly přiřazeny bloky 36.0.0.0/8 a 42.0.0.0/8 a zbývá už tedy jen 12 volných bloků velikosti /8 (neboli 16777216 adres) z 256. Nejvyšší registr adres IANA už má tedy v zásobě volné adresy, které odpovídají pouze 4,7 % celkového adresního prostoru. Následující tabulka ukazuje, které bloky jsou ještě volné (zelená barva), které jsou už alokované (červená) a které jsou vyhrazené pro jiné použití (fialová).

Použití /8 bloků

Jak je vidět, zelené barvy už nám mnoho nezbývá a je evidentní, že nebude dlouho trvat a tato tabulka bude kompletně červeno-fialová. Pro milovníky grafů jsem tentokrát připravil obrázek, který ilustruje, jak se vyvíjí rychlost spotřebovávání zmíněných velkých bloků.

Rychlost spotřeby velkých adresních bloků dle let a regionů

Za povšimnutí stojí dvě věci:

  • už zmiňovaná zvyšující se aktivita APNICu (modré sloupečky), která zdaleka převyšuje evropský i severoamerický region.
  • přidělování adresních bloků v dosud neuzavřeném roce 2010 viditelně zrychlilo – to může souviset s tím, že se poskytovatelé služeb snaží co nejvíce předzásobit

Mimochodem, poměrně zajímavý bude konec přidělování těchto bloků. IANA v normální režimu přidělí už jen sedm z těchto dvanácti volných. Je to proto, že poslední přidělování bude speciální. V jeden okamžik totiž každý z pěti regionů dostane po jednom bloku. To je poměrně výhodné pro Afriku, protože tam jeden blok vystačí zhruba na tři roky, naopak je to nevýhodné pro region Asie-Pacifik, který spotřebuje jeden blok přibližně za jeden a půl měsíce. Obzvláště tento region by tedy měl zintenzivnit práce na rozšiřování protokolu IPv6, ani my Evropané ale samozřejmě nemůžeme zůstat v klidu.

Ondřej Filip

Další a další evropské registry se hlásí k DNSSECu

Minulý týden proběhlo jedno z pravidelných pracovních setkání, která pořádá organizace CENTR sdružující většinu evropských a několik dalších registrů národních domén.

Tentokrát bylo setkání monotematické a zaměřilo se na výměnu zkušeností s implementací DNSSECu. Kromě registrů, které již DNSSEC zavedený mají – jako například .cz ;-), se prezentovali i ti správci, kteří momentálně spuštění této bezpečnostní technologie zvažují, plánují ho nebo již jsou v procesu realizace.

O stále rostoucím zájmu o tuto technologii vypovídá následující statistika z průzkumu, který CENTR realizoval v průběhu září mezi svými členy (zúčastnilo se ho 31 registrů): do dnešního dne je DNSSEC v plném provozu v sedmi zemích, v částečném pak v dalších pěti; 15 registrů na jeho zavedení pracuje, pouze 4 zbylé zatím v tomto směru nemají žádné plány. Více následující obrázek, který vydá za 1000 slov:

Do konce roku 2010 by tak mělo mít DNSSEC v plném provozu 11 registrů, do konce roku 2011 potom již celkem 27 a před koncem roku 2012 by se jejich počet měl přiblížit třicítce.

Zajímavou částí setkání byl také pohled z druhé strany – pozvání přijali i zástupci registrátorů, kteří prezentovali svůj názor na věc. Z mého pohledu byly zajímavé dva body.

Prvním z nich je to, že DNSSEC, ač je to z velké části technologická a technická záležitost, má být uživatelům prezentován jinak, jednodušeji, spíše marketingově než technicky. Tento pohled naprosto potvrzuje řešení našich registrátorů Active24 a WEB4U (a v posledních dnech i společnosti TELE3), kteří DNSSEC nabídli většině svých zákazníků zdarma jako součást běžné služby.

Druhým zajímavým bodem je potom zjištění, že ze strany státních a zejména pak samosprávných orgánů je zájem jen velmi vlažný. V jednom z vystoupení popisoval zástupce švédského registrátora projekt, v jehož rámci aktivně oslovovali jednotlivé radnice s nabídkou zabezpečit jim zdarma jejich domény. Bohužel se setkali s absolutním nezájmem a odmítáním (zpravidla se zdůvodněním, že radnice žádné zvláštní zabezpečení nepotřebují). A to je Švédsko země s nejdéle fungujícím DNSSECem na světě.

Martin Peterka

Informace o rozhodování pražského Rozhodčího soudu ve sporech o doménová jména

Na začátku října vydala Komerční banka tiskovou zprávu, ve které informuje, že získala prostřednictvím sporu vedeného u arbitrážního centra v Praze, doménové jméno komercnibanka.biz.

Tato doména byla zaregistrována na fyzickou osobu v říjnu 2008 a arbitrážní centrum, které spor rozhodovalo, a kterým není nikdo jiný, než Rozhodčí soud při Hospodářské komoře ČR a Agrární komoře ČR, konstatovalo, že došlo ke splnění všech požadavků stanovených UDRP – Komerční banka prokázala, že doména je identická či zaměnitelná s její registrovanou ochrannou známkou, žalovaný nemá žádná práva ani oprávněné zájmy ve vztahu k doménovému jménu, které bylo předmětem žaloby a konečně také, že doména byla zaregistrována ve zlé víře. Rozhodčí soud tak dal žalobci za pravdu ve všech bodech.

Zlá víra žalovaného byla mimochodem prokázána tím, že odmítl obě dvě nabídky na koupi domény, které mu banka učinila (celkem by mě zajímalo, jestli to bylo 150 a 180 tisíc Kč, jak je uvedeno ve skutkovém vylíčení stavu – odst. V rozhodnutí nebo zda KB nabídla 15 a 18 tis. Kč, jak se píše dále v hlavních důvodech rozhodnutí), s odůvodněním, že hodnota domény je na trhu vyšší (takže spíše správně je druhá možnost).

Pro zájemce je celé rozhodnutí k dispozici na stránkách Rozhodčího soudu.

Rozhodčí soud je také sudištěm pro rozhodování sporů o české domény. Od června tohoto roku takové spory probíhají s využitím on-line platformy, která již funguje pro spory vedené podle UDRP, což je případ popsaný výše, a ADR pro .EU. Díky tomu se na stránkách domeny.soud.cz začnou postupně objevovat rozhodnutí i o českých doménách – sporů již bylo podle nového Řádu zahájeno několik, s prvním rozhodčím nálezem se můžete seznámit už nyní.

Zuzana Durajová

Zářijová spotřeba adres

Kdo se obával, že se tempo spotřeby nových IPv4 adres v průběhu září dramaticky zrychlí, si teď možná, byť jen trochu, oddychne. Ačkoliv nebylo letošní září z hlediska alokací vyloženě slabé, jednotliví poskytovatelé služeb si vyžádali o trochu méně adres než v prázdninových měsících. Zatímco v červenci a srpnu bylo alokováno 20 a 21 miliónů, září ubralo ze zbývajících adres „pouhých“ 18 miliónů. Rozdíl tři milióny není velký, tempo je to pořád poměrně hrozivé. Navíc si uvědomme, že proces alokace obvykle nějaký čas trvá, RIRy od LIRu požadují dodání různých informací, aby mohly posoudit, zda-li je alokace v pořádku. Takže je možné, že mírnější září bylo právě způsobeno dozvukem prázdnin. Stejně tak v září neproběhla žádná větší alokace nad dva milióny adres.

O největší blok bylo překvapivě zažádáno v Severní Americe a šlo o 1572864 adres pro Frontier Communications Solutions. To je trochu nezvyklé číslo, velikost alokace je v drtivé většině mocnina dvou. Zde tedy byly přiděleny vlastně dva bloky, jeden velikosti 2^20 = 1048576 a druhý velikosti 2^19 = 524288. Zbývající velké alokace nad 1 milión adres jsou s jednou výjimkou tradičně z Asie. Tou výjimkou je blok velikosti 1048576 pro německý T-Mobile.

V září nejvíce alokovala Čína a to zhruba šest miliónů adres následována Spojenými státy s 2,6 milióny a Indií s 2,5 milióny. Do TOP 10 se vešly hned tři Evropské země (Německo, Velká Británie, Ukrajina) plus speciální alokace označované jako EU, které se používají pro organizace, které v rámci evropského regionu působí ve více zemích. Velikost těchto EU alokací byla zhruba půl miliónu adres. Vše je graficky znázorněno na následujícím obrázku.

Pomyslný závod zemí Visegrádské čtyřky jsme v září vedli my Češi se 135168 adresami, to mimochodem stačilo na celkové patnácté místo. Druzí byli Poláci s 34816, třetí Maďaři s 6144 adresami. Slováci se tohoto kola vůbec nezúčastnili neboť nealokovali ani jedinou adresu.

Když už mluvíme o konci IPv4 adres, je jistě namístě ukázat, jaká je situace v IPv6. Jak jsou alespoň z hlediska alokací jednotlivé země V4 připraveny na přechod na nový protokol (v následujících číslech jsou uvedeny jen PA alokace velikosti /32 a větší). Nejvíce IPv6 alokací mají shodně Češi a Poláci, a to 72. Mimochodem obě země alokovaly po dvou blocích v průběhu září. Pokud mám tedy udělat nějaký „rozstřel“, abych mohl určit vítěze, zvolím Poláky, protože dvě jejich alokace jsou větší než standardní /32 a to /28 a /21. Samozřejmě v přepočtu na počet obyvatel je situace opačná. Třetí jsou Maďaři, kteří alokovali 23krát a poslední Slováci s 16 alokacemi. Když se podíváme na počty LIRů v jednotlivých zemích, tak počet alokací je stále ještě nedostatečný. Ale vše se dá pochopitelně ještě dohnat.

Co tedy dodat závěrem? Pohled na známé počítadlo konce IPv4 adres zůstává stále stejně smutný. Člověk nemusí být žádný velký matematik, aby pochopil, že pokud se ze stávajícího koláče volných adres (k dnešnímu dni) zhruba 180 miliónů ukousne každý měsíc zhruba 20 miliónů, tak bude příští rok IANA bez adres a velmi brzy ji budou následovat jednotlivé ostatní RIRy. Jako první pocítí nedostatek adres rychle rostoucí region Asie-Pacifik, což pochopitelně neznamená, že ostatní regiony to vydrží nějak zásadně déle.

Ondřej Filip