#doMEnPriča: Sa jednog na drugi kraj planete: kako obezbijediti da se imenik interneta ne pocijepa?

Dodajte komentar

Rad medicinske opreme, elektronska trgovina, društvene mreže, aplikacije koje svakodnevno koristimo… u prethodnom tekstu vidjeli smo da sve to u suštini leži na DNS serverima i njihovoj sposobnosti da ljudske potrebe prevode u smislene računarske aktivnosti. Jasno je kolika je važnost ovih servera, a sjetićeš se i da smo pominjali situaciju kada je istočna obala Amerike ostala bez interneta (samo) zbog toga što je DNS najvećeg internet provajdera na istočnoj obali SAD-a pao pod napadom! Procjena je da su sajtovi kao što je Shopify mogli izgubiti $12.000 na sat, dok su veći sajtovi, kao što je Amazon, te godine mogli da izgube od $30 do $50 miliona dnevno.

Imenik se, u principu, sastoji od dva dijela: sistema za registraciju domena i sistema za prevođenje imena domena u IP adrese. Do sada smo se upoznali sa sistemom za prevođenje imena domena u IP adrese (DNS), a sada prelazimo na sljedeći.

Šta je i kako funkcioniše sistem za registraciju domena?

Sistem za registraciju domena služi da u realnom vremenu klijentima obezbijedi odgovor na pitanje da li je neki domen zauzet i, ako nije, da sprovede sve neophodne aktivnosti nakon što dobije naredbu “registruj ovaj domen”.

Ovo je krajnje pojednostavljen princip rada sistema za registraciju domena u kom učestvuješ ti, kompanija koja ti pruža uslugu registracije domena i registar domena (imenik). Kompaniju koja ti pruža uslugu registracije nazivamo registrar, a kompanija koja održava imenik domena je registar. I na ovom primjeru vidimo kako jedno slovo čini ogromnu razliku, pa hajde da pojednostavimo stvari tako što ćemo imenik razdvojiti na dio za “prevođenje imena u IP broj” (DNS) i dio za izvršavanje komande “registruj mi domen” (dio imenika u kom registrar i registar sarađuju prilikom registrovanja domena).

Rad imenika se može ugroziti na nekoliko načina, ali se generalno opasnosti mogu klasifikovati kao tehničke – ekstenzija koja je nedostupna i komercijalne – ekstenzija kojoj se ne vjeruje. Za sada ćemo se zadržati na tehničkim rizicima kojima su izloženi imenici kako bismo bolje razumjeli kako ih onda i odbraniti.

Kako se odbraniti od tehničkih napada?

Tehnički aspekat se bazira na dostupnosti, kako djela računarskih sistema, tako i DNS-a. Među ozbiljnijim u ovom dijelu su takozvani DDoS (Distributed Denial of Service), koji za rezultat imaju da sistem koji se napada u jednom trenutku prestane da radi i prestane da odgovara na upite jer je preopterećen. Narodski rečeno – ne stiže da odgovori svima koji ga pitaju. Ozbiljnost potencijalne opasnosti shvatićeš ako ti kažemo da se broj upita ka imeniku “prevođenje imena u IP broj” mjeri u milijardama na dnevnom nivou, a kod imenika, odnosno registra, .ME domena je do značajnog skoka došlo u junu 2020. godine kada se broj upita duplirao.

U svijetu prije interneta DDoS napad bi izgledalo ovako: zamisli da je u čitavom Njujorku postojala jedna jedina govornica sa papirnim imenikom i da se nalazila na Tajms skveru. Šta misliš, koliki bi bio red ispred te govornice? Sada zamisli da si ti osoba koja čeka u redu za informaciju i kada konačno počneš da tražiš to što te interesuje, ljudi sa strane počnu neprestano da dobacuju. Činjenica je da bi, prije ili kasnije, počeli da te ometaju do te mjere da bi ti se fokus, umjesto na traženju podatka, prebacio na odbranu od uznemiravanja, a svi oni iza tebe bi čekali da dobiju priliku da potraže odgovor.

Ovakvi problemi, DDoS napadi, se preventivno rješavaju, uglavnom pozicioniranjem opreme na internet čvorovima sa velikom propusnom moći, a saobraćaj se reguliše u saradnji sa partnerima preko čijih mreža dolaze napadi, ukoliko krenu. Male mrežne operatere, ovakvi napadi uglavnom dovode u velike probleme. Ipak, ne daj se zavarati – oni se dešavaju i velikim sistemima.

Drugo preventivno rješenje je pozicioniranje velikog broja “kopija” imenika po svijetu tako da se odgovaranje na pitanja ravnomjerno distribuira geografski. Kao što vidiš, efikasna odbrana od DDoS napada je pozicioniranje opreme na velikim čvorovima i na velikom broju lokacija.

Međutim, nije samo u opasnosti jedan dio imenika

U istoj opasnosti od DDoS napada je i drugi dio imenika, onaj zadužen za izvršavanje naredbe “registruj mi domen”. I taj dio imenika zahtjeva veliku pažnju jer se preko njega odvijaju sve poslovne aktivnosti tipa: “registruj mi domen”, “premjesti mi domen sa jedne na drugu lokaciju”, “obnovi mi domen” i mnoge druge.

Da bi stekao kompletnu sliku, reći ćemo samo to da je u oktobru 2020. godine izvršeno 85 miliona komandi (“kreiraj domen”, “izmjeni domen”, “daj mi informaciju o domenu”, itd.) prema registarstkom sistemu od strane poslovnih partnera. Prostom računicom zaključićemo da je to oko 8,2 komande svake sekunde. Ipak, najveće opterećenje sistem je doživio u aprilu kada je u jednom danu izvšeno 12,28 miliona upita (142 komande u sekundi) što se vidi iz sljedećeg dijagrama.

U svijetu postoji svega nekoliko kompanija koje su u stanju da odgovore svim ovim izazovima, a jedna od njih je Afilias, kompanija koja je bazirana u USA i na čijoj se infrastrukturi osim .ME domena nalaze jos i .info, .org, .au te još neki. Afilias tehnički održava oba imenika (za registraciju domena i za prevođenje u IP broj) i do sada se pokazalo da je njihov sistem robusan i adekvatan za globalno poslovanje.

Kada koristimo aplikacije kao što su Facebook (fb.me) ili Telegram (t.me), ako neko poručuje hranu u Kini putem aplikacije Ele.Me ili tragamo za Lime trotinetom (li.me) da ga iznajmimo po gradovima Evrope, svi u suštini tražimo da se odgovor iz imenika “prevođenje imena u IP adresu” desi u milisekundi. Isto tako, kada želimo da registrujemo novi domen, uvijek nam se čini da to moramo brzo završiti kako nas neko drugi ne bi preduhitrio jer mislimo da je još nekom to isto palo na pamet i možemo da odahnemo tek kada unesemo broj platne kartice, te kliknemo na dugme “Registruj” kada se desi magija i baš taj domen bude na raspolaganju nama da ga koristimo.

Ipak, najvažnije je da shvatiš da je sistem efikasnih imenika zadužen da se u svijetu nesmetano odigravaju novčane transakcije mjerene u milijardama na dnevnom nivou. Prirodno, taj sistem ne smije biti loše projektovan, niti se nalaziti na sporim lokacijama i nikako ne smije biti osjetljiv na napade bilo koje vrste. Tehnička robusnost je samo jedan od dva ključna faktora. Povjerenje u sistem je drugi. O njemu ćeš saznati više u narednom tekstu iz serijala #doMEnPriča, a do tada provjeri da li je domen koji ti se vrzma po glavi i dalje slobodan. 🙂

TAGOVI:
Podijeli ovaj članak
Ostavite komentar

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *