Serveurs racine - Les faits Alain Patrick AINA Kigali, Octobre 2007
Le système de nom de domaine est une grande base de données d'enregistrement de ressources - Globalement distribuée, cohérente, à grande échelle, fiable, dynamique - Fait correspondre les noms à d'autres objets Le DNS permet d'utiliser les noms pour localiser les ressources sur l'Internet, au lieu des numéros Système du Nom de Domaine
Espace de nommage - hiérarchique, structure à forme d'arbre - étiquettes séparées par des points Serveurs de nom - Serveurs qui répondent aux requêtes des clients, et rendent les données disponibles Resolvers - Des clients qui envoient des requêtes Composants de DNS
Serveurs Racine (1) Assure «la résolution universelle» aux utilisateurs d'Internet Fournit la 1ère étape critique dans la résolution de noms et adresses uniques Actuellement limité à 13 entrées distinctes dans la liste a.root-servers.net,...,m.root-servers.net Distribué géographiquement et topologiquement Tournant sur différentes formes d'Unix Gérés par 12 groupes professionnels différents Plus de 13 serveurs 134 serveurs racine dans plus de 34 pays
Serveurs racine (2) Distribution de serveurs racine (20/09/07) : Six serveurs racine dans trois pays en AFRIQUE I, F,J à Johannesbourg(za) and F,J en Nairobi(ke), J au Caire(eg)
Opérateurs de serveurs racine (1) 12 différents groupes d'ingénieurs professionnels Structure organisationnelle diverse Histoire opérationnelle diverse Matériel et logiciel divers Orientés: Fiabilité, et stabilité du service Accessibilité à tous les utilisateurs de l'Internet Coopération Technique Professionalisme
Opérateurs de Serveurs racine (2) Distribution des opérateurs de serveurs racine
Opérateurs de Serveurs racine(3) Coordination avec ICANN RSSAC Pas de contrat formel avec ICANN Diffuseurs de données, pas auteurs ni éditeurs Présents dans des différents réunions et fora techniques IETF,APNIC,ARIN,RIPE,NANOG,AFNOG
Pourquoi les copies locales ou régionales des serveurs racine sont si importantes ?
Les Challenges sur la racine Il y a eu un certain nombre d'attaques contre les serveurs racine Les attaques de déni de service distribuées peuvent générer un grand nombre de trafic, et rendre les serveurs racine inaccessibles pour beaucoup d'utilisateurs Un temps d'arrêt prolongé peut provoquer une généralisation de l'échec de l'accès au DNS
La probabilité d'échec de tout le système DNS est faible. Les données les plus importantes dans le DNS (Les enregistrements les plus demandés) sont mises en cache, toujours avec des TTLs très grands. Les serveurs racine sont administrés indépendamment et sont sous observation minutieuse Les attaques coordonnées sur les serveurs racine tendent à être vigoureusement suivies Echec global du DNS
Si une région est coupée de l'Internet, ou souffre d'un manque d'accès prolongé aux serveurs racine pour une raison quelconque, le DNS peut tomber dans cette région Les problèmes affectant les petites régions n'attirent pas la même attention comme ceux affectant tout le réseau L'échec de DNS au niveau régional est plus probable que l'échec global Echec du DNS au niveau régional
Plusieurs pays dépendent de connexions externes relativement non diversifiées pour atteindre le reste du monde. Un câble souterrain; un opérateur satellite Un point commun de terminaison de circuit chez un opérateur quelque part Une liaison internationale, souvent proche de sa capacité maximale, et qui devient inutilisable si inondée des trafics indésirables Perte de réseau
Si une région pert sa connexion internationale, l'accès aux serveur racine est préservé par le noeud local de la région Puisque que la racine est accessible, d'autres serveurs de nom locaux sont aussi accessibles (e.g. Serveurs ZA, Serveurs ORG.ZA) Puisque les serveurs TLD sont accessibles, le trafic à l'intérieur du pays, aux services de nom de domaine au niveau local peut aboutir Noeud local
Traceroute to F.root-servers.net from kenic Avant... [halibut:~]$ traceroute f.root-servers.net traceroute to f.root-servers.net ( ), 64 hops max, 40 byte packets 1 router.cctld.or.ke ( ) ms ms ms ( ) ms ms ms swiftkenya.com ( ) ms ms ms ( ) ms ms ms 5 no-nit-tn-7.taide.net ( ) ms ms ms 6 no-nit-tn-5.taide.net ( ) ms ms ms 7 pos5-1.gw3.osl2.alter.net ( ) ms ms ms 8 so xr2.osl2.alter.net ( ) ms ms ms 9 so tr1.stk2.alter.net ( ) ms ms ms 10 so ir2.dca4.alter.net ( ) ms ms ms 11 so il2.dca6.alter.net ( ) ms ms ms 12 0.so tl2.sac1.alter.net ( ) ms ms ms 13 0.so xl2.pao1.alter.net ( ) ms ms ms 14 pos1-0.xr2.pao1.alter.net ( ) ms ms ms atm7-0.gw10.pao1.alter.net ( ) ms ms ms 16 isc-pao-gw.customer.alter.net ( ) ms ms ms 17 f.root-servers.net ( ) ms ms ms [halibut:~]$
Traceroute to F.root-servers.net from kenic... et Après [halibut:~]$ traceroute f.root-servers.net traceroute to f.root-servers.net ( ), 64 hops max, 40 byte packets 1 router.cctld.or.ke ( ) ms ms ms ( ) ms ms ms swiftkenya.com ( ) ms ms ms ( ) ms ms ms 5 f.root-servers.net ( ) ms ms * [halibut:~]$
Serveur racine distribué
Serveurs racine Anycast A une adresse unique, soit IPv4 ou IPv6 Les requêtes envoyées à ces adresses sont routées aux différents noms de serveurs, en fonction de la provenance de la demande Ce comportement est transparent pour les équipements qui envoient des requêtes au serveur racine
Routage Anycast
Hiérarchie « Anycast » Certains noeuds de serveurs racine fournissent des services à l'Internet entier - Sont des noeuds très larges, bien connectés, sécurisés et hautement dimensionnés D'autres fournissent des services à une région particulière (noeuds locaux) - Plus petits Le routage du noeud local est organisé de manière à ne pas fournir dans les conditions normales des services aux clients hors de sa zone de couverture.
Liens utiles ICANN RSSAC Serveurs de nom racine IANA ICANN SSAC ICP-3: Un Unique, Authoritative racine pour le DNS