Verisign gaat fors in rootservers investeren

Amper een week nadat hackers een aantal rootservers met een ddos-aanval belaagden, heeft Verisign gemeld dat het honderd miljoen dollar in de dns-dienst gaat investeren. 'Project Titan' moet meer capaciteit en meer veiligheid bieden.

Verisign logo Verisign, dat twee van de dertien rootservers beheert, wil met de investering zorgen dat de capaciteit van zijn servers binnen drie jaar vertienvoudigd wordt. Het bedrijf, vooral bekend omdat het het .com-tld beheert, wil niet alleen maar zorgen dat het vier biljoen dns-queries per dag kan verwerken, het wil ook zorgen dat de stabiliteit van de dienst beter gegarandeerd wordt. Daartoe wordt vooral gekeken naar geografische spreiding: door mirrors van de rootservers op zoveel mogelijk verschillende locaties te plaatsen kunnen problemen sneller en beter geïsoleerd worden.

De rootservers, die aan de basis staan van de vertaling van domeinnamen naar ip-adressen, zijn essentieel voor het soepel functioneren van het internet. Er is Verisign alleen al uit publicitair oogpunt veel aan gelegen om deze dienst probleemloos te laten werken, en het bedrijf kondigde dan ook aan om een deel van de investeringen te besteden aan 'technologie om problematisch verkeer op te sporen'. Daarmee wordt kennelijk vooral op botnets gedoeld: die leveren niet alleen enorm veel reguliere aanvragen voor de dns-servers op, maar zijn ook uitstekend geschikt voor gecoördineerde aanvallen op de rootservers. Of botnets zich aan geografische grenzen houden is maar de vraag; feit is wel dat de aanval van vorige week voor een belangrijk deel door computers uit Zuid-Korea blijkt te zijn uitgevoerd.

IT-banen

Reacties (48)

Verwijderd 14 februari 2007 13:35

Als ze nou eens fijn het aantal root-"servers" (root-clusters kan je beter zeggen) verhogen van 13 naar 26, scheelt dan ook aanzienlijk. Dan kan je een server onder beheer van de NAVO zetten, een server onder beheer van de EU, een server onder beheer van Australie, enzovoort.

Dat spreidt de beheerkosten, maar ook de verantwoordelijkheden en de risico's. Momenteel staat nog teveel van de servers in de vs. Daar ben je als niet-amerikaan mooi klaar mee als een paar backbones breken.

Gwaihir @Verwijderd • 14 februari 2007 13:47

Ik heb me laten vertellen dat om technische redenen 13 het maximum is. Een "cluster" kan al geografisch gespreid opgesteld worden en daar wordt al gebruik van gemaakt. (Ik weet niet of allen dat al doen.)

Het is pure politiek: ook 13 verschillende partijen zou al best een leuk aantal zijn om onderhoud, controle en macht te verspreiden. Waarom heeft dat ene Verisign er bijvoorbeeld nog altijd twee?

Verwijderd @Gwaihir • 14 februari 2007 14:02

Technische redenen ? Elke halve zool met een server kan voor zijn eigen netwerk een dns server inrichten. Als je de rootservers opvraagt ( ftp://rs.internic.net/domain , bestand named.root ) zie je dat ze met letters werken. Als ze dat bestand uitbreiden tot en met Z, of gaan werken met A1.ROOT-SERVERS.NET kunnen ze zoveel krijgen als ze willen. Of ze dat willen is een tweede. Ze doen een beetje paranoide over de rootservers af en toe.

Lightmanone1984 @Gwaihir • 14 februari 2007 13:53

Wel apart dat het getal 13 is

Verwijderd @Verwijderd • 14 februari 2007 13:49

Het zijn niet zomaar slechts 13 servers, had iets te maken met de UDP pakketten die gebruikt worden voor DNS die niet meer dan 512bytes mogen zijn.

-=bas=- @Verwijderd • 14 februari 2007 13:58

Ook dat is weer een fabeltje.....

XIU @-=bas=- • 14 februari 2007 14:03

Toch wel anders moet het UDP pakket verspreid worden. Waardoor elke dns query meer data gebruikt. De minumum is 512bytes en daarin hebben ze zoveel mogelijk (13) addressen van servers geplaatst.

arjankoole

Bedrijfsnieuws

@-=bas=- • 14 februari 2007 14:23

Toch wel anders moet het UDP pakket verspreid worden.

Nee, als een DNS pakket boven de 512-byte UDP grens uitkomt, dan schakelt het systeem over op TCP. En dat wil je nou net niet, want dat is:

a) zwaarder voor de servers
b) kost het veel meer bandbreedte ( bi-directionele communicatie vergt veel meer dan een fire-and-forget UDP pakket)

Sagi @-=bas=- • 14 februari 2007 14:55

En de _belangrijkste_ reden om dat niet te doen is de enorme toename in latency. Als je voor elke dns lookup een tcp handshake moet doorlopen dan ga je dat echt behoorlijk merken

markiemannie @Verwijderd • 14 februari 2007 14:05

De servers zijn verspreid met anycast.
Er zijn nu 119 nodes van de rootservers.

Robinski @Verwijderd • 14 februari 2007 14:06

Misschien kunnen we straks met IPv6 meer root servers neerzetten.

Ik weet niet wat daar de technische beperkingen voor UDP zijn, maar als je er dan meer kan is natuurlijk wel beter.

densoN 14 februari 2007 13:12

nu langzaam alles digitaliseert is een goede backup van 'het internet' ook wel zo normaal...
waarom moeten zulke veranderingen altijd starten wanneer er al een aanval is geweest..

skralan @densoN • 14 februari 2007 13:15

Omdat als er geen aanval is, iedereen het maar geldverspilling vindt, en iedereen denkt dat het geld beter aan iets anders kan gegeven worden...

Nimoleda @skralan • 14 februari 2007 13:17

De put wordt altijd gedempt als het kalf al verdronken is, ze zijn zich er nu echt bewust van geworden dat het hoognodig is meer geld in dns servers en de beveiliging daarvan te pompen

_JGC_ @Nimoleda • 14 februari 2007 13:30

In dit geval had het kalf nog het hoofd boven water en verdronk het niet. Het is alleen wel zo dat de normale belasting van de DNS servers stijgt en dat de botnets ook steeds geavanceerder worden. Als je nu net alles draaiend kunt houden met een botnet attack, is je kalf de volgende aanval verzopen als er niet ingegrepen wordt.

Dlocks @densoN • 14 februari 2007 23:00

Ik denk niet dat ze dit even in een paar dagen naar aanleiding van de ddos-aanval van vorige week hebben besloten.

Lijkt mij dat ze deze plannen al langer hebben.
_{Of ze hebben de ddos-aanval zelf opgezet om meer geld beschikbaar te krijgen.}

Qorne 14 februari 2007 12:53

Ze moeten er misschien naar gaan kijken hoe ze meer als 13 root servers kunnen maken, alleen heeft dat natuurlijk weer gevolgen voor het hele internet...

Ik zou ook graag zien dat ze een nieuw DNS systeem ontwikkelen, als ze dan ook gelijk iets ontwikkelen om SPAM te voorkomen...

DSmarty @Qorne • 14 februari 2007 13:13

Er zijn veel meer dan 13 rootservers, er zijn echter maar 13 rootserver DNS adressen. Heeft te maken met de 512byte die een UDP DNS pakket mag zijn.

Achter veel van de rootserver adressen hangen fysiek tientallen of meer servers.

Verwijderd 14 februari 2007 21:47

Kansloos, die rootservers krijgen nauwelijks serieus verkeer en als ze dat wel krijgen heeft het geen prioriteit, de 200 (oid) records die ze door moeten geven worden allemaal gecached door de nameservers van de ISPs.

Het internet zou maanden blijven werken als de rootservers wegvallen. Dus echt vet kansloos om er honderden miljoenen aan te gaan verspillen om te voorkomen dat ze door een DDOS aanval een kwartiertje down gaan.

But then again, die bedrijven halen miljoenen binnen en hebben nauwelijks kosten dus ze moeten toch ergens geld in steken.

Dreamvoid

Bedrijfsnieuws

@Verwijderd • 14 februari 2007 22:19

Yep, maar de root servers zijn nou net dat ene stukje internet dat fail-safe moet zijn onder elk denkbare load. Wat als er op 1 of andere niet direct opgemerkte fout (bug of subtiele aanval) bij de root servers alle ISP DNS servers corrupted tables krijgen? Of als door een aardbeving er een half werelddeel een paar weken zonder internet zit? Dan zullen alle ISPs massaal gaan synchen met de root servers. Dat is de "worst case" waar het systeem op gebouwd moet worden.

Verwijderd @Dreamvoid • 14 februari 2007 22:40

Ja een bug of andere niet opgemerkte fout zou wel problemen veroorzaken maar dat voorkom je niet door meer geld aan hardware uit te geven.

Als alle ISPs massaal zouden gaan synchen met de root servers dan kunnen die dat nu al makkelijk aan. Besef dat die records maar enkele kilobytes zijn en dat er maar tienduizenden ISPs zijn. Dat zouden de servers van tweakers waarschijnlijk nog aankunnen. Dat valt in het niet met een goed georganiseerde DDOS aanval.

Echt die rootservers zijn gewoon gehyped. Die records veranderen praktisch nooit dus al zouden de rootservers maanden down gaan dan nog zou het hele internet gewoon blijven werken. Natuurlijk komt er ooit een moment dat die records geupdate moeten worden maar dat zou zelfs ondervangen kunnen worden door ze met potlood over te schrijven op een stukje papier en met een postduif aan alle isps te versturen. (of ze gewoon op welke andere internetserver dan ook te posten)

Veel gevaarlijker zou een aanval zijn op de naamservers van de .com domeinen. Daar hoor je echter niemand over.

Verwijderd @Verwijderd • 15 februari 2007 09:50

Hoe wou je dat gaan doen?
Dan zou je elke dns server moeten plat leggen.
Elke webhoster die .com domeinnamen in zijn dns heeft staan als primair zou je dan plat moeten gooien?
Denk dat de grootste hacker op aarde daar moeite mee heeft!

JeRa 14 februari 2007 14:09

Ik snap dat verhaal van het maximaal aantal 13 rootservers niet echt. Okay, er past niet meer in zo'n UDP-pakketje, maar dat houdt toch niet in dat je bent gelimiteerd tot 13 adressen? Een DNS-server zou in zo'n pakketje bijvoorbeeld 13 willekeurige rootservers kunnen proppen, à la round robin. Daarvoor hoeven de juiste instanties alleen maar door te geven welke IP-ranges ze voor die servers beschikbaar stellen en ze hebben al heel wat meer mogelijkheden m.b.t. het weerstaan van aanvallen.

Of zie ik iets over het hoofd?

Wouter Tinus @JeRa • 14 februari 2007 14:30

Ze hoeven nog niet eens zo ingewikkeld te doen. In de praktijk gebruikt men anycast, wat simpel gezegd inhoudt dat meerdere machines op verschillende plekken hetzelfde ip-adres hebben. De routering zorgt ervoor dat het verkeer door de dichtstbijzijnde machine wordt afgehandeld.

JeRa @Wouter Tinus • 14 februari 2007 14:33

Precies, dat is een nog efficiëntere methode. Maar hoe komt het dan dat ze zelfs met anycast het niet voor elkaar krijgen om een aanval van een botnet te weerstaan? Dat lijkt me dan een aanval van zulke proporties dat er ergens op de route naar de rootservers toe al iets moet fout gaan.

Pietervs

Bedrijfsnieuws

@JeRa • 14 februari 2007 18:38

Er zal waarschijnlijk toch ook iets van een round-robin protocol gebruikt worden om te voorkomen dat één server volledig platgelegd wordt terwijl een andere server met hetzelfde IP adres uit z'n neus (floppydrive) staat te kanen...

arjankoole

Bedrijfsnieuws

@JeRa • 14 februari 2007 14:27

Of zie ik iets over het hoofd?

Ja, de adressen van de root-servers worden ook net een DNS query opgehaald. En moet dus in een 512-byte UDP pakketje passen.

Je round robin verhaal klopt opzich wel, maar dat vergt weer veel resources, en gaat waarschijnlijk ten koste van de performance. Als je kijkt dat je nu binnen een seconde een query hebt gedaan voor www.pietje.com (waarbij je eerst naar root gaat, die stuurt je naar de .com root-servers, en die vervolgens naar de DNS van de provider van pietje.com) dan kun je stellen dat performance heel belangerijk is.

Wat wel zou kunnen is een truukje met BGP uithalen, maar dat verhaal ga ik hier maar niet ophangen. (voornamelijk omdat je dan een verhaal van 2 pagina's krijgt

)

JeRa @arjankoole • 14 februari 2007 14:29

Ja, de adressen van de root-servers worden ook net een DNS query opgehaald. En moet dus in een 512-byte UDP pakketje passen.

...dat zeg ik toch?

Je round robin verhaal klopt opzich wel, maar dat vergt weer veel resources, en gaat waarschijnlijk ten koste van de performance.

Het kost geen performance bij de rootservers maar bij de talloze DNS-servers van mensen zelf en van ISPs. Ik heb het idee dat door de spreiding het performanceverlies te verwaarlozen is

JeRa @JeRa • 14 februari 2007 14:58

Ik heb zelf DNS servers beheerd bij een middelgrote zakelijke ISP, en geloof me, jouw voorstel laat m'n nekharen overeind staan.

Wellicht zou je even kunnen uitleggen hoe het volgens jou komt dat een implentatie waarbij er gebruik wordt gemaakt van afwisselende rootservers (vanzelfsprekend in de broncode aangepast, niet via tekstuele configuratie) zoveel meer load oplevert dan het gebruik van telkens hetzelfde IP-adres. De laatste keer dat ik keek gingen processoren vrij efficiënt om met het incrementen van waarden

Asteroid9 @JeRa • 14 februari 2007 17:41

Sommige thuisapparatuur kan het misschien, maar dat is wat anders dan echt een DNS server draaien.
Vermoedelijk doel je eerder op de dns caching opties van een thuisrouter.

Zelf een bruikbare DNS draaien vergt ook medewerking van je ISP, en er is bijna geen thuisgebruiker die dat doet.
Tweakers zijn geen goede dwarsdoorsnede van de bevolking...

arjankoole

Bedrijfsnieuws

@JeRa • 14 februari 2007 14:52

Het kost geen performance bij de rootservers maar bij de talloze DNS-servers van mensen zelf en van ISPs.

euh, alleen geeks en tweakers hebben misschien een DNS server thuis staan. De meeste andere gebruiken de DNS van hun ISP.

Ik heb zelf DNS servers beheerd bij een middelgrote zakelijke ISP, en geloof me, jouw voorstel laat m'n nekharen overeind staan.

remy007 @JeRa • 14 februari 2007 15:07

euh, alleen geeks en tweakers hebben misschien een DNS server thuis staan. De meeste andere gebruiken de DNS van hun ISP.

Dit is niet alleen, meeste simpele routers (edimax, 3com, linksys) hebben zelf ook een dns-table. Dus dit gaat niet geheel op!

Overigens zelf heb ik ook een DNS-server draaien, ivm mijn ActiveDirectory netwerk thuis. En ook een server als Router.

Pietervs

Bedrijfsnieuws

@JeRa • 14 februari 2007 18:37

Zelf een bruikbare DNS draaien vergt ook medewerking van je ISP
Nee hoor, je kan thuis gewoon een DNS server inrichten. Alle aanvragen van je thuisnetwerk gaan eerst naar je eigen DNS server, vervolgens naar die van de ISP, dan naar de rootserver en vervolgens komt het antwoord in omgekeerde richting weer terug. Op termijn is je DNS server (mits goed ingericht) gevuld met de meest door jou aangevraagde websites.
Of je ISP er blij mee is? Geen idee. Kan me moeilijk voorstellen dat ze er bezwaar tegen hebben, als je je DNS server maar goed ingericht hebt (en niet om het kwartier een zonetransfer probeert te doen)...

flippertw 14 februari 2007 13:30

Wees blij dat men preventief gaat investeren, gelukkig zijn er nog mensen die vooruit kijken ipv af te wachten wanneer het echt fout gaat.

Lightmanone1984 @flippertw • 14 februari 2007 13:33

Ach, ik verwacht zelfs binnenkort een aanval van weet ik veel welke groep, die probeert het internet plat te krijgen, en er zal ook vast wel een keer iemand/mensen zijn die het ook voor elkaar krijgt. It's only a matter of time.

phusg @flippertw • 14 februari 2007 16:23

Amper een week nadat hackers een aantal rootservers met een ddos-aanval belaagden

Ik noem dit meer reactief dan preventief, maar zoieszo een goede zaak om de achilles van het Internet flink te versterken.

flipjevandejam 14 februari 2007 13:56

100 miljoen voor 20 rootserverclusters is een redelijk bizar bedrag als je het mij vraagt.

jip_86 @flipjevandejam • 14 februari 2007 14:59

Dat zullen dan ook wel bizarre servers zijn als daar het hele internet op draait

TheCapK @flipjevandejam • 14 februari 2007 19:24

Als dit zorgt voor een vertienvoudiging van de capaciteit EN de veiligheid moet flink worden opgeschroefd dan vermoed ik dat dit nog redelijk meevalt.
Goede veiligheid kost nou eenmaal wat geld.

defusion 14 februari 2007 13:06

100 miljoen aan wat DNS servertjes?!?!
best ziek hoeveel geld er toch omgaat in het verbeteren van het internet.
ik vind het ook niet bepaald 13 servers meer.
de meeste zgn. servers bestaan uit een flink aantal verschillende servers die zowieso al over meerdere locaties verspreid staan (alleen hebben ze met wat geadvanceerde routing allemaal hetzelfde IP).
maar ze gaan het dus nog beter maken

hulde!

erwinb @defusion • 14 februari 2007 18:58

Ik denk dat van die 100 miljoen maar een relatief klein deel is voor de servers.
Denk ook aan firewalls, routers en switches op het ip gebied. Infrastructuur als voeding, koeling en behuizing, en natuurlijk beheer van het een en ander.
globaal denk ik dat van de 100 miljoen er "maar" 5 á 10 miljoen voor de servers zelf zal zijn.

Swat|IA 14 februari 2007 14:28

100 miljoen voor 20 rootserverclusters is een redelijk bizar bedrag als je het mij vraagt.

het bedrijf kondigde dan ook aan om een deel van de investeringen te besteden aan 'technologie om problematisch verkeer op te sporen'.

Het is dus niet aleen voor de hardware

mph_rbi @Swat|IA • 14 februari 2007 20:32

Vaak wordt een groot deel van zo'n bedrag gebruikt om 'de stropdas' te betalen. 100.000.000 enkel aan techniek is wel vrij heftig ja

Verwijderd 14 februari 2007 13:00

@Qome: Spam heeft geen hol met DNS te maken.

Puntslash @Verwijderd • 14 februari 2007 13:11

Zeker nooit van SPF gehoord?

GoBieN-Be @Puntslash • 15 februari 2007 11:33

SPF is een tool die ervoor zorgt dat alleen jouw mail server of diegene die jij opgeeft mail mag versturen met jou adres als afzender. Niet zozeer om spam tegen te gaan, maar meer om identiteit stelen tegen te gaan.

Overigens sinds ik zo'n SPF record aangemaakt had, kreeg ik plots 30 bounces per dag binnen op m'n catchall domein e-mail adres. Dus let op dat je die SPF zeer goed configureert of de spammers zien een mogelijkheid om je identiteit juist wel te gebruiken voor het versturen van SPAM.

ps: wel grappig, firefox nl woordenboek kent spammers niet, en stelt voor: Amsterdammers

Op dit item kan niet meer gereageerd worden.

Verisign gaat fors in rootservers investeren

Lees meer

IT-banen

Reacties (48)

Sorteer op:

Weergave: