HighLoad++

Конференция разработчиков
высоконагруженных систем

Тестирование производительности DNS-серверов

Доклад принят в Программу конференции

Несмотря на то, что DNS является незаметным для многих сервисом, он также является краеугольным камнем практически всего Интернета. В случае возникновения проблем в этой системе у пользователей не будет привычной возможности получить доступ к требуемым сайтам. 2013 год показал, насколько уязвимо это место: имели место DDoS-атаки на DNS hosting-компаний, подмены записей с целью перенаправления клиентов - все это влечет за собой огромные потери.

В связи с этим устойчивость и производительность DNS серверов на данный момент является важной темой для исследования. Сейчас на рынке представлено не менее 20 DNS-серверов на любой вкус - от простых "поделок" до больших систем, которые включают в себя DNS-сервер как одну из компонентов. При этом грамотная и тонкая настройка сервера является острой темой ввиду того, что при не совсем корректных настройках можно не только позволить злоумышленнику внести свои исправления в реальные данные, но и невольно поучаствовать в DDoS-атаке.

В докладе рассматриваются несколько DNS-серверов - с точки зрения производительности при одинаковых исходных данных. Оценка производится не только с учетом наилучшего RPS, но и с учетом возможности снижения нагрузки на сервер за счет подбора соответствующих настроек. Также показаны интересные случаи некорректного поведения серверов при определенных запросах. Рассматриваемые DNS-серверы: Knot-1.2, Knot-1.3, NSD-3, NSD-4, pdnsd, PowerDNS, TinyDNS, Unbound, Yadifa. Данные серверы были выбраны исходя из мнения сообщества, качества исходного кода и количества установок.

Серверы сравниваются с точки зрения возможностей защиты от известных типов атак: DNS Cache Poisoning, DNS Amplification, etc. Основная проблема DNS состоит в работе по протоколу UDP, который практически ничего не гарантирует. При этом мы встаем перед выбором, стоит ли вообще отвечать на пришедший запрос (если стоит, то как и на что) и каким образом сделать это наиболее быстро.

С точки зрения проблематики DDoS, DNS дает злоумышленнику возможность получить плечо атаки в диапазоне 30-60 (и даже больше). На приходящий небольшой пакет DNS-сервер может ответить гораздо бОльшим. А соединив это со spoofed IP жертвы, мы сразу получаем возможность создать атаку на сетевой уровень практически без затрат.

Чтобы избежать эксплуатации протокола злоумышленниками, сообщество предложило несколько способов защиты, каждый из которых добавлял некоторое количество данных в ответ. Балансируя на уменьшении объема данных за счет исключения проверок и добавляя внешние ограничения, можно получить грамотный сервер, который будет наиболее полно отвечать поставленным задачам.

Золотой спонсор

  • Вadoo

Золотой спонсор

  • Percona

Игровой партнёр

  • WarGaming

Генеральный интернет-партнёр

  • Mail.Ru Group

Бронзовые спонсоры

  • Microsoft

Бронзовые спонсоры

  • Nutanix

Серебряный спонсор

  • http://www.google.com/

Серебряный спонсор

  • Webzilla

Travel-спонсор

  • Интернет Хостинг Центр

Технический партнёр

  • Филанко

HR-партнёр

  • SuperJob

HeadHunter-партнёр

  • HeadHunter

Партнёр по персоналу

  • http://www.rabota.ru/

Фри-ланс партнёр

  • http://www.free-lance.ru/

Информационная поддержка

  • Макхост
  • TRINET
  • Интуит
  • Нетология
  • Elama
  • Rusonyx
  • SpaceWeb
  • PС Мagazine
  • http://www.hse.ru/
  • ServerNews
  • Бизнес-школа RMA
  • http://e-personal.ru/
  • Учебный центр Luxoft Training
  • Webnames.ru
  • ExpoMap.ru
  • Русская школа управления
  • Internest
  • ООО «Юмисофт»
  • Финам
  • HackDay
  • SoftKey
  • GISMETEO / ГИСМЕТЕО
  • Agilecamp
  • ESET CLUB
  • Агава
  • Digitale
  • Блогун
  • CMS Magazine
  • Bugtraq.ru
  • Xakep.ru
  • http://www.samag.ru/
  • SQLInfo.ru
  • http://webew.ru/
  • HSE INC
  • timeofnewz
  • Moscow Business School
  • REG.RU
  • PeterHost
  • RUcenter
  • Хостинг-Центр
По любым вопросам обращайтесь:
Программный комитет :
Олег Бунин , +7 (916) 635-95-84
Бухгалтерия и вопросы оплаты :
, +7(495) 646-07-68
Организационный комитет :
Олег Бунин , +7 (916) 635-95-84

Почтовый адрес:
119180, Москва, Бродников пер., д. 7 стр. 1, +7(495) 646-07-68, ООО «Онтико»

Rambler's Top100
Рейтинг@Mail.ru