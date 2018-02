Na začátku roku 2017 jsme začali pracovat na projektu celkového posílení infrastruktury autoritativních DNS serverů zabezpečujících provoz .CZ domény. DNS provoz v .cz doméně roste každoročně cca o 10 %, ale hlavní motivací bylo zvýšit odolnost DNS infrastruktury proti DoS útokům, jejichž riziko se zvyšuje daleko více. Nová DNS infrastruktura by měla být schopna čelit těmto útokům takovým způsobem, aby nezablokovala regulérní provoz a poskytla dostatek času a možností zdroje útoků najít a eliminovat.

Teoretické maximum provozu, které měla DNS infrastruktura před upgradem bylo přibližně 20 milionů dotazů za sekundu (QPS) a zhruba 60 Gbps provozu. Po dokončení upgrade chceme docílit maxima provozu vyššího než 100 milionů dotazů za sekundu a tokem o velikosti 200 Gbps.

Základní stavební jednotkou nové DNS infrastruktury je tzv. „DNS Stack“. Koncept DNS stacků vychází z konceptu kořenových DNS serverů. Při návrhu jsme využili také například zkušenosti a znalosti z provozu instance L-ROOT serveru (ve skutečnosti třiceti serverů v racku) hostovaného v naší síti.

Čtyři varianty DNS stacků

Schema zapojení nejčastějších variant

Velké DNS stacky nyní uvažujeme provozovat dva, oba v České republice a umístěné v datacentrech v Praze. Samozřejmostí je mít oba DNS stacky zapojené do peeringového uzlu NIX.CZ rychlostí 100 Gbps. Pro takto robustní řešení budeme používat hardwarový router, pro každý stack od jiného výrobce.

Střední variantu jsme původně zamýšleli umístit do zahraničí v rámci kontinentů – jeden do Severní Ameriky, jeden do západní Evropy a jeden do Asie. Vzhledem k finanční náročnosti a logistice dopravy zařízení do cílových datacenter tuto variantu zatím nebudeme realizovat. Evropské lokality, kde v současné době provozujeme uzly DNS anycastu, a které jsou významné z pohledu velikosti DNS provozu (Británie, Německo, Rakousko), však budeme postupně vybavovat malými DNS stacky. Navíc uvažujeme o přidání dalších uzlů v Evropě, Severní Americe a Asii.

Varianta ISP DNS stacku (resp. minimalistická varianta ISP mini) je určena výhradně významným poskytovatelům internetového připojení v České republice. Cílem je přiblížit autoritativní DNS servery ke zdrojům provozu a také zvýšit diverzitu umístění. DDoS útoky vedené proti našim primárním DNS serverům neovlivní tuto instanci. Útok se zdrojem v síti daného poskytovatele bude zakončen právě na této instanci. ISP DNS stack jsme navrhli ve dvou variantách. Varianta ISP mini je určena pro menší poskytovatele internetového připojení, největším poskytovatelům pak nabídneme variantu malého DNS stacku s absencí připojení do tranzitu. Variantě ISP DNS stacku bude věnována některé z příštích pokračování.

Jak je u nás zvykem, striktně dodržujeme diverzitu HW a SW, aby v případě chyby byla ohrožena pouze část infrastruktury. Proto budou jednotlivé DNS stacky realizovány na serverech a síťových prvcích od různých dodavatelů, stejně tak na různém SW vybavení.

Počty DNS serverů pro jednotlivé varianty stacku vycházely z následujících zjištění a předpokladů:

Z analýzy našeho DNS provozu a testováním máme ověřeno, že je jeden server schopen odbavit minimálně 1 milion odpovědí za sekundu (viz benchmarky Knot DNS).

Běžná velikost DNS odpovědí je 512 B / 4 096 bps. Při této velikosti odpovědi využije jeden DNS server kapacitu cca 4 Gbps.

Z výše uvedeného tedy vyplývá, že pro 100 Gbps konektivitu postačuje 30 serverů a pro 10 Gbps konektivitu postačují 3 servery.

Největší pakety dosahují velikosti 1 538 B / 12 304 bps. Při této velikosti odpovědi využije jeden DNS server kapacitu cca 12 Gbps. Předpokládáme tedy připojení DNS serverů pomocí 10 Gbps uplinku do routeru.

Z teorie by to bylo vše. V následujících dílech se můžete těšit na praktické zkušenosti s realizací prvního velkého DNS stacku v ČR a několika ISP stacků.

(Původně napsáno pro blog CZ.NIC.)