大多数DNS流量只通过几个NS服务器

时间 : 2019-09-09 编辑 : DNS智能解析专家 分享 : 

域名系统旨在分散,任何组织都可以运行自己的NS服务器来处理DNS查询。实际上,世界上大部分的DNS流量都通过不到10个组织运营的权威NS服务器。

DNS将域名转换为IP地址,充当互联网的地址簿。当用户输入网站域名时,该查询通常会转到递归DNS以查找相应的计算机地址。如果递归DNS未查询到,则会向权威DNS查询,权威DNS将该域名映射的IP地址给本地。最后本地服务器将获取到的IP返回给用户,并进行网站访问。


DNS观察站

根据farsight security收集的统计数据,域名系统可以容纳任意数量的递归服务器和NS服务器,但实际上,60%的DNS解析请求仅由1,000个NS服务器处理。DNS观察站作为全球DNS流量的“望远镜”,是因为它可以让研究人员在递归DNS服务器和权威服务器流动时看到查询的细节。

1 - 前10,000 个NS服务器的流量分布(曲线不按比例)

在图1中,可以看到大约60%的DNS解析请求仅由1000个NS服务器处理,这表明在IP寻址空间的相对较小的部分上存在高度集中的DNS流量。 

DNS观察站项目在2019年1月至3月的三个月内处理了超过1万亿次DNS交易,平均每分钟有超过250万个独特的DNS交易。运行自己的递归DNS服务器的合作伙伴组织,包括ISPS,大学和递归DNS提供商,为项目提供了数据。

Foremski在3月份的IEF104的maprg会议上介绍了DNS天文台的发现。Foremski表示,研究人员研究了前10,000 NS服务器,它们被定义为交易数据中最受欢迎的权威服务器IP地址,并发现DNS流量高度集中在相对较小的一组IP上。“ 真正流行的NS服务器”,例如root和TLD NS服务器,更可能是对随机或其他错误名称的查询。

 

2 - 前10,000 NS服务器的响应延迟

DNS观察站还调查了DNS性能,在图2中我们显示了NS服务器响应延迟。虽然大多数NS服务器在不到30ms的时间内响应,但仍有五分之一的名称需要超过100ms。这表明通过复制更接近旋转变压器的区域有很大的改进空间。

互联网依赖于DNS的完整性和灵活性,这就是为什么系统应该是分散的。即使一个递归服务器脱机,其他递归服务器也可以在递归服务器返回之前获取负载。如果递归服务器的目标信息不正确,则它仅会影响依赖于该名称服务器的用户,并且解析程序在初始记录到期后将获取正确的目标。然而,大多数流量通过相同的服务器这一事实意味着对DNS的错误或攻击会影响到更多的用户,并影响到更多的机器。

 

Paul Vixie的看法

互联网先驱和Farsight 安全的创始人Paul Vixie,已经对DNS服务器的日益整合发出了一段时间的警告。太多用户依赖于由谷歌和少数其他组织运营的DNS服务器,而不是运行他们自己的服务器,或使用他们的ISP运营的服务器。Vixie最初设计DNS时(他设计并部署了许多DNS协议扩展和应用程序,包括动态更新,网络信誉和BIND开源软件),预期名称解析程序将在地理位置上靠近用户,从而促使查询时间加快。 

Vixie解释说,有限数量的主服务器,以及关于服务器将尝试响应不存在域的查询或涉及IPv4和IPv6地址的查询的服务器行为,意味着域名解析的时间随着时间的推移而逐渐增加。 

其他组织谷歌、Cloudflare、IBM等 ,承诺提高性能和安全性,以换取能够看到人们在互联网上的去向。随着时间的推移,用户失去了对DNS数据的控制。

Vixie说:“我们不能让大型科技公司决定人类的未来。”