CDAR-studie: root DNS-systeem niet aangetast door vele nieuwe TLD’s

De toevoeging van meer dan 1.100 nieuwe generieke top-level domeinen (gTLD's) heeft de veiligheid en stabiliteit van het Root DNS-systeem niet aangetast. Dat is de belangrijkste conclusie van een studie naar de technische impact van het 'Nieuwe gTLD-programma', uitgevoerd in opdracht van ICANN door een consortium bestaande uit TNO, SIDN en NLnet Labs, en half maart succesvol afgesloten op de ICANN-bijeenkomst in Kopenhagen.

Giovane-Moura

"Met de introductie van zo veel nieuwe gTLD's waren er binnen de ICANN-gemeenschap zorgen over de veiligheid en stabiliteit van het root-systeem," aldus Giovane Moura, Data Scientist bij SIDN Labs, de onderzoekstak van SIDN. "Een dergelijke uitbreiding van de root zone met meer dan duizend nieuwe gTLD’s, in zo'n relatief kort tijdsbestek, was immers nooit eerder gedaan. Als enkele van die nieuwe gTLD’s snel waren doorgegroeid naar het formaat van .com, dan had dat kunnen leiden tot significant meer verkeer naar het root DNS-systeem."

De uitkomst van deze studie fungeert als een van de factoren voor de ICANN-gemeenschap in de afweging om de root zone met nog meer gTLD's uit te breiden. In dat geval raden de auteurs aan om dat ook weer in een geleidelijk tempo te doen, maar dit proces met een hogere frequentie dan voorheen in de gaten te houden.

Het 'Nieuwe gTLD-programma'

5 jaar geleden bestond de root zone nog uit ongeveer 300 domeinnamen. De meeste daarvan waren country-code TLD's, zoals .nl voor Nederland. De grootste generieke TLD's zijn .com, .net en .org, waarvan de geschiedenis meer dan drie decennia teruggaat naar de eerste implementatie van het Domain Name System (DNS). Met 130-miljoen domeinnamen is het .com-domein veruit het grootste TLD. In 2012 startte ICANN het 'Nieuwe gTLD-programma', waarna vanaf september 2013 meer dan 1.100 nieuwe gTLD's aan de root zone werden toegevoegd. Bekende voorbeelden zijn .xyz, .top en .club. Om de technische impact van deze uitbreiding te kunnen beoordelen gaf ICANN opdracht tot een empirische studie, welke is uitgevoerd door een consortium bestaande uit TNO, SIDN en NLnet Labs. De belangrijkste vragen waren of de veiligheid en stabiliteit van het root DNS-systeem zijn aangetast, en of een verdere uitbreiding in de toekomst een negatieve invloed hierop kan hebben.

"Lof voor de operators"

Voor de studie – genaamd 'Continuous Data-driven Analysis of Root Stability' (CDAR) – heeft het team grote hoeveelheden historische Internet-meetgegevens geanalyseerd. Uitkomst was dat tot nu toe alle nieuwe gTLD's tesamen verantwoordelijk zijn voor niet meer dan een insignificante fractie van het totale aantal bevragingen (queries) op het Root DNS-systeem. De groep vond dan ook geen aanwijzingen voor een significante toename van het verkeer op het root-systeem als gevolg van het 'Nieuwe gTLD-programma'. Ook een toename van responsetijden vanuit gebruikersperspectief, veroorzaakt door het 'Nieuwe gTLD-programma', werd niet gevonden.Een andere uitkomst was dat de consistentie van de data op het Root DNS-systeem heel hoog was. Dat wil zeggen dat fouten in de zone files en DNSSEC-validatiefouten zeldzaam waren."Onze bevindingen zijn een gevolg van goede ontwerpen en implementaties door de Root DNS-beheerders over de jaren heen, waaronder meerdere niveaus van redundantie en diversiteit," aldus Moura. "Bovendien zijn de Root DNS-operators constant bezig met het monitoren, analyseren en verbeteren van hun infrastructuur. Aanvallen in het verleden hebben laten zien dat de Roots in het algemeen heel robuust zijn, dus alle lof voor de operators."

Het root DNS-systeem

Het root DNS-systeem bestaat uit 13 subsystemen, beheerd door 12 onafhankelijke organisaties, waaronder Verisign, NASA en RIPE NCC. De meeste van deze subsystemen zijn op hun beurt weer verspreid over meerdere locaties, waarvoor gebruikgemaakt wordt van de IP anycast-technologie. Alles bij elkaar bevat de infrastructuur nu 670 systemen – verspreid over de hele wereld – waarvan de meeste weer zijn opgebouwd uit meerdere servers. Om een indruk te geven van de problemen die een snelle groei in DNS-verkeer kan opleveren: Root-operators hebben over het algemeen zo'n 18 maanden nodig om hun infrastructuur substantieel op te waarderen.

Internet of things

Uit de analyse volgde ook een sterke relatie tussen het aantal second-level domeinen (SLD's) geregistreerd binnen een gTLD en het aantal geldige DNS-queries voor dat betreffende gTLD. Dat betekent dat de groei in het aantal geregistreerde SLD's een goede voorspeller zou kunnen zijn voor de bijdrage van nieuwe gTLD's aan toekomstige groei in het DNS-verkeer. Dus zolang het aantal nieuwe gTLD's niet onbeperkt toeneemt en het aantal domeinen binnen een gTLD niet groeit naar het formaat van .com – geen van beide in de nabije toekomst te verwachten – blijft de bijdrage van de nieuwe TLD's aan de totale hoeveelheid geldige DNS-queries waarschijnlijk verwaarloosbaar.Het CDAR-team gebruikte hun bevindingen ook om over de toekomst te speculeren. Zo vonden zij dat het verwijderen van een gTLD uit de root zone een mogelijk risico kon opleveren. Apparaatjes met verouderde software kunnen nog jaren lang actief zijn en daarbij queries sturen voor SLD's waarvoor de TLD niet meer bestaat, met bijbehorende belasting op de root-servers. Dit scenario wordt belangrijker met de opkomst van het Internet of Things dat mogelijk miljarden online apparaatjes zal bevatten.Als onderdeel van deze studie heeft het team ook een methodologie, een verzameling parameters en een verzameling tools ontwikkeld. Die zijn allemaal bruikbaar voor toekomstige studies.

Een sterk consortium

Cristian_Hesselman

CDAR is de eerste studie naar de technische impact van het 'Nieuwe gTLD-programma'. "Bij SIDN hechten we groot belang aan de stabiliteit en veiligheid van het Root DNS-systeem," legt Moura uit. "Ten eerste omdat problemen op de roots, direct of indirect, waarschijnlijk ook gevolgen hebben voor .nl. Daarnaast worden de Roots en .nl op vergelijkbare manier beheerd, dus onderzoeksuitkomsten kunnen ons helpen om onze eigen operatie beter te begrijpen en te verbeteren."Cristian Hesselman, hoofd van SIDN Labs voegt daar aan toe: "Wat dit consortium sterk maakte waren met name de complementaire vaardigheden en ervaring van de verschillende partners. NLnet Labs ontwikkelt al jaren DNS-software voor resolvers en authoritatieve systemen. Zo wordt hun NSD-software door verscheidene root-servers gebruikt. Als onderzoekstak van de .nl TLD-operator bevindt SIDN Labs zich in dezelfde business als de Root-operators. En TNO heeft eerder een gerelateerde DNS-studie voor ICANN uitgevoerd. Door het samenbrengen van expertise uit de domeinen van industrie, operator, onderzoek en ontwikkelaar hebben we hier een veelzijdige studie van kunnen maken. Hoewel alle partners aan alle taken hebben meegewerkt, lag de specifieke bijdrage van SIDN Labs op het gebied van data-analyse, onderzoek en operations.""Het uitvoeren van onderzoek en analyses op big data, in samenwerking met universiteiten, en daarover wetenschappelijk publiceren is wat ons onderscheid van andere registries," aldus Hesselman. "Er zijn maar weinig registries die in staat zijn een dergelijke studie uit te voeren. Sterker nog, op dit moment werken we alweer aan een volgend data-analyse-project voor ICANN, nu samen met de TU Delft."

Reacties

  • donderdag 14 februari 2019

    Nieuws

    Nieuwe versie SPIN beschikbaar voor CPE-developers

    spin4home-IoT-iconen-thumbnail

    Een open source bouwblok voor de beveiliging van smarthomes

    Lees meer
  • maandag 24 juli 2017

    Weblog

    Cybersecurityleesvoer voor bij het zwembad

    Thumb-swimming-pool

    9 artikelen van hoge kwaliteit

    Lees meer
  • donderdag 17 augustus 2017

    Nieuws

    Whois niet beschikbaar op 15-08-17 van 06.00 -08.00 uur

    Onderhoud+en+storingen

    Onderhouds­werkzaam­heden op 15 augustus

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.