BLOGI

CENTR arendus - RD9

Seekordne CENTRi arendajate kohtumine oli uut moodi - rõhuga praktilistel tegevustel, kus analüüsisime üheskoos DNS andmeid ning tutvusime R Studio ja R-keele võimalustega. Ettekannete teemadeks olid voogandmebaas PipelineDB, mõõdikute eksport Tšehhide Knot DNS ja Knot Resolver lahendustest, elliptiliste kurvide kasutuselevõtt DNSSECs, Mirai, domeenide populaarsuse hindamine ning DNS Collector, mis korjab DNS andmeid otse TCP/IP liiklusest ja suunab need edasi kuhu vaja, eesmärgiga kaotada ära PCAP failid.

Esimest korda võttis üritusest osa Islandi register - põnevad faktid: register on äriettevõte, 80% registreeringutest on otseregistreeringud, millega ollakse väga rahul eelkõige tänu otsekontaktile kliendiga. Tähelepanu keskpunktis on WHOIS andmekvaliteet ja andmekaitse. 30% tsoonist kuulub välismaistele registreerijatele, kellest enamus USAs.

Registrite hulgas kogub populaarsust oma tsoonis olevate kodulehtede analüüs (data crawling), otsitakse võimalusi koostööd teha. Infot kasutatakse nii domeenide elujõu hindamiseks kui ka pahavara levitamise tõkestamise eesmärgil. Meie jaoks on see jätkuvalt tundlik teema, sest teeb registri osaliselt kaasvastutavaks domeenide taga toimuva eest.

Ukrainlased leidsid hea nurga äri laiendada pakkudes registriteenust alamdomeenidele - kõigile, kes soovivad oma registreeritud domeeni alt alamdomeenide registreerimise teenust pakkuda.

Reaalaja DNS statistika osas rääkis Prantsuse register oma katsetustest PipelineDB andmebaasiga. Afnici süsteemis tekib iga päev 70GB andmeid (DNSi, tulemüüride, marsruuterite ja WHOISi logid), mis lastakse läbi PiprlineDB, analüüsitakse ja tulemused salvestatakse suurandmete serveritesse (Hadoop, Entrada, Kibana, …). Afnici hinnangul on voogandmebaas nende analüüsi taristu ainus tõeliselt kasulik osa. PipelineDB on Postgresi värske projekt (juuli 2015). Voo/mõõdikute lisamine on lihtne - identne SQL tabeli loomisega. Puuduseks on ajalooliste andmete pealt uute mõõdikute ja analüüside teostamine - selleks tuleb lähteandmed maha salvestada ja vajaduse uuesti läbi analüüsi lahenduse lasta. Prantslaste kogemuses pole aga seda veel ette tulnud. Lühidalt - soovitavad soojalt.

Tšehhid jätkasid sama liini oma Knot DNSi ja Resolveri mõõdikute funktsionaalsuse tutvustamisega. Mind aga painas küsimus, milleks see kasulik on? Kas see on probleemide tuvastamiseks; trendide leidmiseks, mille põhjal teha turundusotsuseid; või hoopis sisendiks DNS tarkvara arendajatele, et teha parem toode - kõik need vajavad teatud määral erinevaid andmeid. Esitlusi kuulates jäi pigem mulje, et seda tehakse tegemise pärast või siis ollakse alles otsingul, mis reaalset väärtust loob. Viimasel juhul pole ilmselt vajalik, et iga register seda omaette teeb, nutikas on koopereeruda või hoida natukene kaugemale jälgides ja oodates kuhu suured välja jõuavad. IIS (.se) jagas selle kohapealt minu arvamust - enne kui nemad sellise asjaga tegelema hakkavad peavad nad aru saama, mis kasu sellest on, mis tulemustest sõltub ja muutub.

Põgusalt puudutasime taaskord ka elliptilisi kurve (ECC - Elliptic Curve Cryptography) DNSSECis. Meeldetuletuseks on elliptilised kurvid DNSSECi kontekstis olulised, sest nii kaitstud DNS pakett jääb 512 baidi piiridesse, mis kaotab ära DNS pakettide fragementeerimise probleemi. OpenINTEL jõudis oma uuringus järeldusele, et ECC algoritmi levik on lahti läinud. Seda veab Cloudflare - ülemaailmne DNS teenuse pakkuja, aga juba on ka teisi ettevõtteid, kes oma või klientide domeenide kaitsmiseks ECC kasutusele võtnud. .com tsoonis hüppas ECC kasutus 2 kuuga novembri alguse seisuga üles 2% 10le. .ca tsoonis on 66% DNSSECga kaitstud domeenidest kasutusel ECC. Levikut tõkestab jätkuvalt IANA ehk juurnimeserverite poolse toe puudumine. Aga see pole ainus probleem - ka DNS tarkvara tugi on veel nõrk - PowerDNS (alates juulist) ja BIND toetavad, OpenDNSSEC aga hakkab toetama alles versioonist 2.1. Ka osadel HSMidel puudub ECC tugi. Cloudflare laadsete pioneeride toetamiseks tasub aga kaaluda ka CIRA välja töötatud lahendust, mis võimaldab nimeserveriteenuse pakkujal suhelda registriga otse.

Ka Miraid ei jäetud puutumata. Sellest, mis see on oli juttu RIPE postituses. Mirai levik jätkub, suurem osa seadmeid asub Hiinas. Tšehhid on oma Turris programmiga moodustanud päris suure võrgu Telneti meepottidest, mida Mirai usinasti ründamas käib. Tänu sellele on Tšehhid suutnud registreerida väga suure osa nakatunud seadmetest ja kui Sind huvitab, kas mõni su oma seadmetest on nakatunud, siis saab seda teha siit. Ise otse kontrollida on rakse, sest Mirai ei installeeri seadmesse midagi ja peale seadme taaskäivitamist on kõik märgid sellest kadunud, samas kui turvaauk on paikamata on seade peagi taas aktiivne. Soovides ise asjade internetis uurida ja otsida näiteks haavatavaid seadmeid või mis tüüpi seadmega võib tegu olla, siis on selleks olemas väärt teenused nagu Shodan.io.

Austria register rääkis domeeninimede populaarsuse mõõtmisest. Eeldus on, et populaarseid domeene päritakse rohkem. Kuid lihtsalt päringute arvu kokkulugemine ei aita, sest domineerivad nimeserverid ja taristu domeenid (1% domeenidest saavad 62% päringutest). Lahenduseks on teenusepõhine analüüs - tuleb vaadata A ja AAAA kirjeid (populaarseim ootuspäraselt google.at). .nl tsoonis tehakse päevas 450 miljonit päringut, millest 20% on domeenide kohta, mida pole registreeritud. Registreerimata domeenide hulgas on palju populaarseid nimesid sh domeene, mis kustusid pool aastat või rohkem aega tagasi. Kas domeeni populaarsus on otseses seoses domeeni potentsiaaliga kustuda? Üllatuslikult selgus, et korrelatsioon on üsna nõrk - 10 punkti logaritmilisel skaalal 5,8 ja kõrgema hindega domeenide hulgast domeene praktiliselt ei kustunud, kuid alla selle polnud kustuval domeenil märkimisväärset seost selle populaarsusindeksiga.

Olen statistikas roheline, huvi pärast olen ehitanud mõned mudelid, millega analüüsin .ee andmeid, tuvastan trende ja püüan ennustada, mis saab .ee-ga tulevikus. Näiteks eelarve tarvis, kui palju on domeene 1,5 aasta pärast. Ise “käsitsi” andmete vahel seoseid otsida on ajamahukas ja siin tulebki mängu masinõppimine. Seda seekordsel RD üritusel ka põgusalt vaatasime. Kasutasime selleks statistiliste arvutuste keelt R ja selle graafilist töövahendit R Studio. Et masinõppimisest tegelikult ka kasu oleks, tuleb enne siiski aru saada, kuidas need mudelid töötavad, et neid oleks võimalik sättida vastavalt uuritavatele andmetele. Sinna on mul veel pikk tee.

Austria registri andmete peal kohapeal läbi viidud analüüs näitas näiteks, et domeeni hinnakampaaniad ei tööta - kui tavahinnaga müüdud domenide hulgas oli kustumiste protsent 10, siis kampaania ajal ostetud domeenidel oli see 1. aasta lõpuks 60. Tavapärasest oluliselt odavama hinna tõttu kasutavad seda võimalust eelkõige spekulandid (domeeni maitsmine).

Samas on austerlased saanud oma ennustuse mudeli päris täpseks. Nii kustumiste kui registreeringute ennustuse täpsus on 2 ja 5% vahel. Üldiselt on mõlemad ennustused alla reaalse tulemuse, tasakaalustades üksteist ja nii on domeeni koguarvu ennustus parematel juhtudel mööda alla 1%. See muidugi eeldab stabiilset keskkonda, mida meil ei ole. Kindlasti tasub teemaga edasi tegeleda ja pigem koostöös austerlastega, kes on päris kaugele jõudnud. Järgmine eesmärk on neil ennustada domeeninime põhiselt kui suure tõenäosusega mingi domeen kustub (domeeni populaarsuse mõõtmine).

Poola registrilt uurisin nende kogemuste kohta lühikeste registreerimise perioodide ja otseregistreeringutega. Nimelt rakendas Poola register mõnda aega tagasi minimaalselt 2 nädalasi registreerimise perioode, millest nad aga üsna kiiresti loobusid. Põhjuseks botnetid, mille jaoks seda võimalust aktiivselt hakati ära kasutama. Tagantjärele juhtunut analüüsides jõudsid nad järeldustele, et probleem ei olnud registreerimise perioodi pikkuses, vaid odava hinna ja nõrga isikutuvastuse koosmõjus. Nad rakendasid proportsionaalset hinnastamist võrreldes 1 aastase perioodiga, mis tegi 2 nädalase registreeringu eriti odavaks. Meie seisukohti arutades nõustusime, et minimaalselt ühe kuuline registreering oleks mõistlik, loogiline ja abiks juba kas või tulenevalt ISPde ja majutusteenuse pakkujate teistest teenustest, mida tihti kuupõhiselt arveldatakse. Küll aga on võti isikutuvastuses ja seetõttu nad kohe uuesti lühikesi perioode sisse viima ei kiirusta.

Poola register pakub registreerijatele ka otseregistreerimise võimalust, mida juhtkond soovib lõpetada. Otse on registreeritud 2% domeenidest ja see arv püsib suhteliselt stabiilne. Otseregistreeringu hind on 5 korda kõrgem hulgihinnast ning nende teenindamisega on seotud registris 10 inimest. Loobumise põhjuseks ei ole tasuvus, sellega on kõik korras, vaid pigem on see poliitiline otsus.

Kanada registri kõrval on teine minu suure sümpaatia ja vaimustuse välja teeninud register Belgia, kes otsustas loobuda riistvaraga jahmerdamisest ja kolida register täies ulatuses pilve. Nüüd kui juba mõnda aega on töö täie hooga käinud uurisin täpsemalt nende lahenduse kohta. 

Kogu kupatus asub Iirimaal Amazoni pilve serveriparkides. Enda juures hoiavad vaid varukoopiat andmetest. Olemas olevat süsteemi pilve arhitektuuri jaoks nad kuidagi ümber ei kohandanud, vaid tõstsid lihtsalt kogu lahenduse pilve ümber. Autoscale funktsionaalsust hetkel ei kasutata. Amazonist ostetava ressursi määramiseks hindasid ära oma tavapäraseks praktikaks vajaliku mahu ja võtsid samaväärse mahu pilves kasutusele.

Amazonile langes valik, sest see on Euroopa turul olevatest kõige suurem ja kindlam. Iiri serveriruumid on aga funktsionaalsemad Saksamaa omadest ja ka odavamad. Süsteemi liigutamine kohalikult turult Iirimaale tekitas väikese lisaviive võrguliiklusesse, kuid mõõtmistulemused näitasid, et see on nende jaoks vastuvõetav. Senine kogemus on kinnitanud, et pilve lahendus maksab lõppkokkuvõttes umbes sama palju, kui ise serverite haldamine. Vahe on selles, et nüüd saavad süsteemiadministraatorid keskenduda sellele, mis on oluline ja loob väärtust registreerijate jaoks - näiteks tegelevad nad nüüd automatiseerimisega (Puppet), mis on saanud võimalikuks ainult tänu pilvele. Ehk siis pilv ei muutnud midagi eelarves ega personali hulgas, küll aga tõstis oluliselt teenuse kvaliteeti.

Selleks korraks kõik.

Uus kommentaar

Email again:

© 2017 Eesti Interneti Sihtasutus  | Paldiski mnt 80, 10617 Tallinn | Registrikood: 90010019