Server DNS distribuiti contro i DDoS

La nuova politica di VeriSign: i root server di Internet saranno più numerosi e distribuiti nel mondo. Per prevenire attacchi potenzialmente assai pericolosi

Roma - Se ne parla da anni e in qualche occasione le misure di sicurezza che proteggono i server che indirizzano il traffico Internet sono state messe sotto accusa: ora VeriSign, una delle entità che gestisce alcuni di questi server, ha finalmente varato una strategia alternativa.

Se in passato VeriSign si era concentrata nell'accentrare i server in singole location ben protette, ora l'azienda ha deciso di moltiplicarli e distribuirli: in questo modo un attacco telematico ai server del domain name system (DNS) avrebbe possibilità assai inferiori di riuscire a paralizzare il traffico Internet. Per riuscire nell'intento dovrebbe infatti bloccare una molteplicità di macchine residenti dietro reti diverse.

Una strategia di questo tipo era già stata proposta nel 2002 dopo il più violento attacco mai subito dai DNS, un'aggressione che ha scosso il traffico in rete sebbene non abbia fortunatamente determinato danni ingenti o irreparabili. In quell'occasione emerse come un attacco distribuito di tipo denial-of-service (DDoS) avrebbe potuto impedire, anche per lunghi periodi, il funzionamento di server indispensabili per garantire il corretto funzionamento della rete.
L'idea di VeriSign è dunque quella di piazzare i server di root, in replica, ovvero rimpiazzabili in qualsiasi momento, in almeno un centinaio di centri in giro per il Mondo. L'operazione si dovrebbe concludere - stando a quanto dichiarato dai manager del colosso americano - entro la fine dell'anno prossimo.

Questo, però, non sarà che un passaggio: nel corso di un periodo di tempo ancora tutto da definire, infatti, le location dei server supereranno quota 200, contro le 18 attuali. "Questa espansione - ha spiegato VeriSign - offre ridondanza e affidabilità, e risponde specificamente all'aumento degli attacchi che abbiamo registrato". In realtà oltre ai server di root, VeriSign replicherà anche quelli utilizzati per i suoi servizi di punta, come i certificati SSL per le transazioni online: un'operazione che potrebbe tradursi anche in una maggiore velocità di molti servizi di questo tipo.

Come noto, i server di root sono complessivamente 13, solo alcuni dei quali gestiti da VeriSign, e si trovano in 80 diverse location, un numero che ora è destinato ad aumentare, per garantire maggiore sicurezza alla rete.
16 Commenti alla Notizia Server DNS distribuiti contro i DDoS
Ordina
  • I root server sono 13 e non possono essere di più, e questo per via della limitazione sulla dimensione dei pacchetti UDP che vengono utilizzati per le risposte alle query del DNS.

    Per ovvi motivi storici, 10 sono negli USA, 2 in Europa e 1 in Giappone.

    Inoltre, il contenuto della zona di root, trasmessa da tutti i root server, è definito da ICANN, previa approvazione di ogni cambiamento da parte del governo americano; lo stesso governo appalta poi la gestione del master root server a Verisign; il master viene poi mirrorato su tutti gli altri. (ICANN non ha controllo diretto sugli operatori dei root server o sui server stessi, tranne che su quello che è operato direttamente da essa.)

    Dato che chi controlla i root server può teoricamente staccare o redirigere i TLD (sia generici che nazionali) e/o smettere di rispondere alle query DNS per i TLD stessi, e quindi incasinare seriamente Internet in una o più nazioni, sono in atto vari sforzi per "internazionalizzare" la presenza dei root server.

    Per cominciare, un paio di operatori di root server hanno cominciato a "distribuire" i propri server; in pratica, mediante una tecnologia detta "anycast", a server diversi in nazioni diverse viene fatto corrispondere lo stesso indirizzo IP, ottimizzando poi il routing in modo che ogni utente si colleghi alla copia più vicina; è quindi come se lo stesso server fosse effettivamente in tutti questi posti (e questo spiega il numero di locazioni molto maggiore del numero dei server).

    Inoltre, a livello politico, l'intero processo del World Summit on Information Society si è concentrato su come sottrarre al governo americano il controllo di queste e altre risorse fondamentali, e trasferirlo a una entità internazionale (forse le Nazioni Unite). Resta da vedere se gli americani accetteranno...
    vb
    106
  • Ottima idea di VeriSign: root server di Internet più numerosi e distribuiti nel mondo!!!
    Ed io aggiungo: almeno un server ogni tot km. quadrati!!!
    non+autenticato
  • Sono effettivamente 13, ma le localita` sono 18 o 80?
    L'articolo non mi sembra molto chiaro in proposito... boh?

    Comunque, pensavo un paio di cose: il sistema DNS serve solo a convertire IP in nomi di dominio e viceversa, no? E oggi siamo pieni di motori di ricerca che sono usati per fare il proprio primo ingresso a un dato sito: quanti battono davvero il nome di dominio (perche` gliel'ha detto qualcuno, perche` l'hanno letto su un depliant)?

    V'immaginate se rimuovessero tutto il sistema dei DNS?
    Ci sarebbe un piacere perverso in questo: tutte quelle ditte che si sono appropriate di domini gia` registrati in virtu` della forza del proprio marchio, tutte quelle guerre a chi se ne accaparrava di piu`, i pomposi annunci di nuovi TLD...

    Eliminiamo un punto debolissimo della rete?
    Torniamo agli IP? Eh? Eh?

    ps.
    alternativamente, perche` non spingere la distribuzione fino in fondo e liberalizzare il sistema? Io metto un piccolo servizio DNS sul mio computer, gli altri fanno lo stesso, e i cambiamenti vengono propagati come su una rete P2P piuttosto che un sistema centralizzato?

    [follia, ma con un retrogusto di vendetta]

    ==================================
    Modificato dall'autore il 24/05/2005 8.24.05
    non+autenticato

  • - Scritto da: Alex¸tg
    >
    > alternativamente, perche` non spingere la
    > distribuzione fino in fondo e liberalizzare il
    > sistema? Io metto un piccolo servizio DNS sul mio
    > computer, gli altri fanno lo stesso, e i
    > cambiamenti vengono propagati come su una rete
    > P2P piuttosto che un sistema centralizzato?
    >
    > [follia, ma con un retrogusto di vendetta]

    Ci vedo 2 problemi, la cui portata non so quantificare, e con la gerarchizzazione attuale si affrontano entrambi:

    1. quantità di traffico di sincronizzazione tra i nodi

    2. gestione delle collisioni tra le richieste dello stesso dominio che in assenza di una authority credo si complicherebbe in una situazione di p2p puro

    Ma l'idea di una "outernet" mi sfizia da parecchio...
    Ah, altro problema da affrontare: come impedire alla fuffa di invadere anche la nuova rete?

    KaysiX

    [e non dirmi che essendo la tua una follia non dovevo ragionarci su, perché se si realizza non credo avremo nulla da perderci]

    ;)
    non+autenticato
  • - Scritto da: Anonimo

    Premetto che non la so quantificare neanch'io... la mia era proprio un'ipotesi folle, ammessa anche come tale...

    > 1. quantità di traffico di sincronizzazione tra i
    > nodi

    Gia`, pero` in fin dei conti quanto spesso i cambiamenti sarebbero mai richiesti? Uno che sta a cambiare dominio tutti i giorni non credo avrebbe molto tempo di pubblicizzarlo, no?

    > 2. gestione delle collisioni tra le richieste
    > dello stesso dominio che in assenza di una
    > authority credo si complicherebbe in una
    > situazione di p2p puro

    Be', piu` che altro sarebbe, credo, una questione di sicurezza: non ci sarebbe la certezza che qualcuno non bari, una volta stabilito un modo per risolvere le collisioni.

    > Ma l'idea di una "outernet" mi sfizia da
    > parecchio...

    Anche a me, anche se ne riconosco gli enormi problemi e ritengo appunto che sia una mezza follia... e` una cosa "ganza" a cui pensare.

    > Ah, altro problema da affrontare: come impedire
    > alla fuffa di invadere anche la nuova rete?

    Boh?
    Ritenendo come atto giustificabile, e non criminale, la cancellazione dei domini di gente "antipatica", e sperando che la netiquette fra i rimanenti utenti faccia il resto?A bocca aperta

    > [e non dirmi che essendo la tua una follia non
    > dovevo ragionarci su, perché se si realizza non
    > credo avremo nulla da perderci]

    Questo e` probabilmente vero.
    Il sistema dei DNS ad oggi e` un tantino antipatico.
    non+autenticato

  • - Scritto da: Alex¸tg
    > Sono effettivamente 13, ma le localita` sono 18 o
    > 80?

    18 server dns primari, i restanti sono di "supporto"

    > L'articolo non mi sembra molto chiaro in
    > proposito... boh?

    anche tu non mi sembri tanto ferrato nell'argomento

    >
    > Comunque, pensavo un paio di cose: il sistema DNS
    > serve solo a convertire IP in nomi di dominio e
    > viceversa, no? E oggi siamo pieni di motori di
    > ricerca che sono usati per fare il proprio primo
    > ingresso a un dato sito: quanti battono davvero
    > il nome di dominio (perche` gliel'ha detto
    > qualcuno, perche` l'hanno letto su un depliant)?
    >
    > V'immaginate se rimuovessero tutto il sistema dei
    > DNS?
    > Ci sarebbe un piacere perverso in questo: tutte
    > quelle ditte che si sono appropriate di domini
    > gia` registrati in virtu` della forza del proprio
    > marchio, tutte quelle guerre a chi se ne
    > accaparrava di piu`, i pomposi annunci di nuovi
    > TLD...
    >
    > Eliminiamo un punto debolissimo della rete?
    > Torniamo agli IP? Eh? Eh?

    i nomi di dominio garantiscono tra l'altro un maggior numero di risorse rispetto agli IP, senza il DNS la rete diventerebbe troppo costosa per i comuni mortali

    >
    > ps.
    > alternativamente, perche` non spingere la
    > distribuzione fino in fondo e liberalizzare il
    > sistema? Io metto un piccolo servizio DNS sul mio
    > computer, gli altri fanno lo stesso, e i
    > cambiamenti vengono propagati come su una rete
    > P2P piuttosto che un sistema centralizzato?

    veramente già la Rete è libera, nessuno ha la proprietà, ma alcuni (come verisign) gestiscono alcuni strategici strumenti

    e poi nessuno ti proibisce di crearti una rete di domini per i fatti tuoi, lo puoi fare anche ora

    >
    > [follia, ma con un retrogusto di vendetta]

    manie anarchiche latenti Occhiolino
    non+autenticato
  • - Scritto da: Anonimo
    > e poi nessuno ti proibisce di crearti una rete di
    > domini per i fatti tuoi, lo puoi fare anche ora

    Ma non col sistema dei DNS, immagino: altrimenti entreresti in conflitto con quello esistente, no?

    Intendo: dovrei costruirmi un particolare servizio che ascolta su una data porta (non quella del DNS attuale) le interrogazioni sulla risoluzione di un "dominio" e poi risponde con l'URL ad esso associato?

    > > [follia, ma con un retrogusto di vendetta]
    >
    > manie anarchiche latenti Occhiolino

    Puo` darsi, ma scommetterei che e` lo stesso tipo di nervosismo che, in testa a gente meno paziente, ha spinto gran parte degli attacchi ai root servers... mia opinione, pero`.
    non+autenticato
  • - Scritto da: Alex¸tg

    > V'immaginate se rimuovessero tutto il sistema dei
    > DNS?

    Rimmarei praticamente senza lavoro.! In lacrime

    > Eliminiamo un punto debolissimo della rete?
    > Torniamo agli IP? Eh? Eh?

    O.k. quindi non ci sarebbero piu' siti internet che pur avendo nomi diversi finirebbero sullo stesso IP? Uhm... quindi 1 IP = 1 webserver? Bleah!

    E lo stesso discorso lo puoi fare per qualsiasi altra risorsa, non solo http...

    > ps.
    > alternativamente, perche` non spingere la
    > distribuzione fino in fondo e liberalizzare il
    > sistema? Io metto un piccolo servizio DNS sul mio
    > computer, gli altri fanno lo stesso, e i
    > cambiamenti vengono propagati come su una rete
    > P2P piuttosto che un sistema centralizzato?

    Ed io sul mio DNS scrivo
    microsoft.com     A     127.0.01
    tu lo replichi e voglio vedere se riesci ancora a fare l'update di Windows. (lo stesso per linux, MS e' solo un esempio).
    Per propagare in alto nei rami DNS devi essere autorizzato. Altrimenti ciccia. Se tutti potessero fare quello che dici tu, sarebbe il marasma piu' completo.
    Non sarebbe neanche piu' necessario inventarsi modi strani per rubare user/pass alla gente. Gli cambi server al quale si connettono e neanche se ne possono accorgere, visto che effettivamente il server risponde al nome giusto.

    Perche' voler complicare una delle risorse piu' semplici che ha fatto la fortuna delle reti?
  • Ehi... calma, sono perfettamente conscio di tutti i problemoni che verrebbero fuori. Ciononostante, chissa`, potrebbe essere una strana alternativa: assunto che il sistema corrente continua a funzionare cosi` com'e`, per chi ha bisogno di certezze, chi non ha intenzione di registrarsi un dominio potrebbe rendersi raggiungibile tramite un sistema alternativo, piu` libero ed economico.

    ps. che lavoro fai? registri domini?

    ==================================
    Modificato dall'autore il 24/05/2005 12.56.16
    non+autenticato
  • - Scritto da: Alex¸tg

    > certezze, chi non ha intenzione di registrarsi un
    > dominio potrebbe rendersi raggiungibile tramite
    > un sistema alternativo, piu` libero ed economico.

    Beh, in FW esistono dei DNS "alternativi" raggiungibili solo da utenti FW, in cui i nomi sono i piu' assurdi che si possano immaginare. Basta che ti "associ" a quei DNS oppure che ti scarichi il file relativo e te lo butti nel tuo "hosts"

    > ps. che lavoro fai? registri domini?

    Mi occupo di Telecommunication Services a livello globale, nella azienda per la quale lavoro. In particolare mi sono specializzato in DNS, LDAP ed AD. Anche se mi capita spesso (soprattutto negli orari di reperibilita') di dare una occhiata a e-mail, ftp, webserver, VPN e quant'altro...

  • - Scritto da: Alex¸tg
    [...]
    > ps.
    > alternativamente, perche` non spingere la
    > distribuzione fino in fondo e liberalizzare il
    > sistema? Io metto un piccolo servizio DNS sul mio
    > computer, gli altri fanno lo stesso, e i
    > cambiamenti vengono propagati come su una rete
    > P2P piuttosto che un sistema centralizzato?
    [...]

    All'hackmeeting del 2003 era stato presentato DNA, un sistema alternativo e parallelo al sistema classico di DNS:

    http://www.autistici.org/DNA/

    Il progetto è pero' decisamente fermo...
    non+autenticato
  • Interessante!
    A parte il nome un po' provocatorietto...A bocca aperta
    non+autenticato
  • Bisognerebbe far pagare i danni causati da un ddos a microsoft....visto che le migliaia di pc zombi utilizzati in attacchi di questo tipo sono tutti sotto win-colabrodo.....cosi' invece di fare beta test decennali...s'impegnerebbero a fare un s.o. decente....dal punto di vista della sicurezza....
    non+autenticato
  • - Scritto da: Anonimo
    > Bisognerebbe far pagare i danni causati da un
    > ddos a microsoft....visto che le migliaia di pc
    > zombi utilizzati in attacchi di questo tipo sono
    > tutti sotto win-colabrodo.....cosi' invece di
    > fare beta test decennali...s'impegnerebbero a
    > fare un s.o. decente....dal punto di vista della
    > sicurezza....

    bah... ragionamento del piffero
    non+autenticato
  • > bah... ragionamento del piffero

    ragionamento azzeccato invece.... e nn solo per i ddos ma in molti altri ambiti, come i problemi di compatibilità di formati che negli anni ha saputo imporre con metodi poco corretti.
    M$ è il cancro dell' informatica!
    non+autenticato

  • > ragionamento azzeccato invece.... e nn solo per i
    > ddos ma in molti altri ambiti, come i problemi di
    > compatibilità di formati che negli anni ha saputo
    > imporre con metodi poco corretti.
    > M$ è il cancro dell' informatica!

    per non parlare degli standard html corrotti da microfot con il suo pseudo browser intermerd exploder.
    non+autenticato