Dix millions de résolveurs DNS sur l’Internet

by Joe Abley on March 22, 2012

Les résolveurs sont des serveurs sur Internet qui utilisent le DNS [TXT, 120 Ko] pour récupérer les informations depuis les serveurs officiels et renvoyer les réponses aux applications de l’utilisateur final. On les trouve souvent en entreprise et sur les réseaux ISP, et il y a de nombreux services publics de résolveurs fournis par Google et OpenDNS. Vous pouvez également configurer votre propre ordinateur pour devenir un résolveur, ou déployer votre propre réseau en utilisant un logiciel gratuit comme ISC BIND9 et NLNet Labs’ unbound.

Alors, dans l’ensemble, combien de résolveurs y a-t-il ? Étant donné que tout le monde peut en devenir un, cela semble difficile à mesurer. Il s’avère, cependant, que tous les résolveurs qui parlent directement aux serveurs officiels sur Internet laissent une trace et, avec un peu de données critiques, nous pouvons parvenir à un chiffre.

Au début de 2010, ICANN, Verisign et NTIA ont conclu une collaboration réussie pour déployer DNSSEC [TXT, 52 Ko] dans la zone racine du DNS. Dans le cadre de ce projet, des opérateurs du serveur racine ont recueilli des demandes faites à leur infrastructure individuelle de serveur racine, et ont livré les données de résultat avec DNS-OARC pour analyse.

L’objectif de cet exercice de collecte de données était d’essayer d’identifier tous les problèmes potentiels des clients DNS causés par le déploiement du DNSSEC. Toutefois, le produit dérivé de cet exercice est un ensemble de données qui donne un aperçu dans le trafic DNS entre un ensemble hautement représentatif des résolveurs DNS et les serveurs officiels DNS (presque tous les résolveurs parlent à un serveur racine une fois de temps à autre).

Un des exercices de collecte de données menés avait une base de temps particulièrement longue. La collecte fait référence au « LTQC » (Long-Term Query Collection – Recueil de demandes à long terme) et ne concerne que des demandes d’amorçage, qui est la demande initiale que tout résolveur envoie à un serveur racine lorsqu’il démarre afin d’obtenir un ensemble actualisé de noms de serveurs racines DNS. 11 serveurs racines sur 13 ont collaboré à cette collecte de données, y compris la racine L, le serveur racine exploité par l’ICANN. Les données ont été collectées entre novembre 2009 et juillet 2010.

Alors, voici notre méthodologie : nous examinons chaque demande contenue dans la capture de paquets LTQC et nous comptons la quantité d’adresses source uniques IPv4 et IPv6.

Au cours de la collecte, nous avons vu 9 945 017 adresses source uniques, parmi lesquelles 59 489 (0,60 %) étaient des IPv6 et 9 885 528 (99,40 %) étaient des IPv4.

Alors quels sont les résolveurs que nous ne verrons pas ?

Nous ne verrons pas les résolveurs internes qui n’envoient pas directement des demandes aux serveurs officiels sur Internet, mais qui préfèrent les envoyer à d’autres résolveurs intermédiaires. Sont également compris dans cette catégorie de résolveurs tous ceux qui sont cachés derrière des dispositifs intermédiaires redirigeant les demandes DNS à un cache central, ou bien qui changent le comportement normal de l’amorçage.

Nous ne verrons pas forcément les résolveurs internes qui sont déployés derrière un Traducteur d’adresses de réseau – en tout cas dans une situation comme celle-ci, nous ne pourrions voir que certains d’entre eux.

Nous ne pourrons pas voir les résolveurs qui ont démarré (et amorcé) avant le démarrage de la période de collecte des données, et jamais réamorcé ensuite avant la fin de cette période.

Nous ne pourrons évidemment pas voir non plus tous les résolveurs qui sont arrivés en direct après la fin de la période de collecte, et nous supposons que le nombre de résolveurs est sans doute en augmentation en raison de la croissance générale d’Internet.

Tout résolveur ayant été renuméroté au cours de la période de collecte (et amorcé avant et après le moment de la rémunération) serait comptabilisé deux fois. Intuitivement, cela donne l’impression d’avoir des effets mineurs ; nous croyons que la plupart des résolveurs sont renumérotés assez rarement car ils sont en général mentionnés par leur adresse plutôt que par leur nom.

Étant donné les erreurs prévisibles dans le nombre que nous avons mesuré en raison des effets mentionnés ci-dessus, il semble nécessaire d’arrondir le résultat à un simple chiffre significatif ; ceci nous permettra au moins d’avoir un ordre de grandeur pour une limite inférieure.

Que nous resterait-il ? Qu’il y a au moins 10 millions de résolveurs DNS sur Internet aujourd’hui.

{ 0 comments… add one now }

Leave a Comment

You can use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

*
To prove you're a person (not a spam script), type the security word shown in the picture. Click on the picture to hear an audio file of the word.
Anti-spam image