بازنشستگی ns.ripe.net | آزمایشگاه های رسیده

فرآیند تامین DNS معکوس

LIRها با ایجاد اشیاء “دامنه” در پایگاه داده RIPE، درخواست تفویض DNS معکوس می کنند. اشیاء دامنه باید دارای ویژگی های “nserver” باشند که نام سرورها را برای یک منطقه معکوس DNS مشخص می کند. هنگامی که یک شی دامنه برای ایجاد یا اصلاح ارسال می شود، پایگاه داده RIPE نمونه RIPE NCC را فراخوانی می کند. Zonemaster، که بررسی های پیش از تفویض اختیار را انجام می دهد. اگر چک ها عبور کنند، شی ایجاد یا به روز می شود. پایگاه داده RIPE جریان اشیاء دامنه را به یک برنامه تدارکاتی تغذیه می کند که مناطق والد را با نمایندگی ها به روز می کند و آنها را منتشر می کند.

LIR هایی با توزیع های بزرگ در حال حاضر می توانند “ns.ripe.net” را به عنوان یک سرور نام در یکی از ویژگی های “nserver” مشخص کنند. هنگامی که چنین شی ای به پایگاه داده RIPE ارسال می شود، بررسی های پیش از واگذاری انجام می شود، اما Zonemaster به گونه ای پیکربندی شده است که خطاهای مربوط به سرور نام ‘ns.ripe.net’ را نادیده بگیرد. این به این دلیل است که سرور نام هنوز با ناحیه DNS معکوس پیکربندی نشده است. اگر همه بررسی های دیگر تأیید شوند، شی به روز می شود. سپس برنامه تدارکات متوجه می شود که یکی از سرورهای نام ادعا شده ‘ns.ripe.net’ است و کارهای اضافی را برای یافتن سرور (های) اولیه منطقه انجام می دهد و منطقه را به پیکربندی ‘ns اضافه می کند. ripe.net”.

مشکلات سرویس

برای LIR ها با تخصیص های کوچک ناعادلانه است

این سرویس در ابتدا برای LIR هایی با توزیع های بزرگ در نظر گرفته شده بود. در آن زمان، داشتن یک زیرساخت DNS متنوع آسان نبود و عملیات مستمر مناطق DNS معکوس بزرگ ضروری تلقی می شد. ns.ripe.net تضمین می کند که آنها یک سرویس DNS پایدار در صورت قطع شدن برق دارند. حتی اگر سرورهای DNS LIR در دسترس نباشند، سرویس RIPE NCC DNS به این مناطق اجازه حل و فصل می دهد.

به دلیل وجود اشکال در منطق پایگاه داده RIPE، برای مدتی اعضای با تخصیص کمتر از آنچه در نظر گرفته شده بود می‌توانستند نمایندگانی در پایگاه داده ایجاد کنند که سپس پذیرفته شدند. این باگ اکنون برطرف شده است، اما آن دسته از هیئت هایی که قبلاً اضافه شده بودند، همچنان خدمات را دریافت می کردند. این برای اعضای جدیدتر که اکنون می خواهند از این سرویس استفاده کنند اما نمی توانند، ناعادلانه است.

وضعیت امروز با زمانی که این سرویس را ایجاد کردیم کاملاً متفاوت است. شرکت های زیادی وجود دارند که DNS ثانویه را به عنوان یک سرویس ارائه می دهند، برخی به صورت رایگان و برخی با هزینه. LIRهای بزرگ به احتمال زیاد منابع لازم برای مدیریت یک زیرساخت DNS متنوع را دارند. LIRهای کوچکتر آنهایی هستند که احتمال کمتری دارد منابع چنین زیرساختی را داشته باشند. بنابراین، سرویس DNS ثانویه RIPE NCC نیز می تواند برای LIR های کوچکتر ناعادلانه دیده شود.

رقابت با اعضای RIPE NCC

این روزها بسیاری از شرکت ها خدمات DNS ثانویه ارائه می دهند. برخی از آنها نیز اعضای RIPE NCC هستند. این بدان معناست که سرویس رایگان DNS ثانویه RIPE NCC با عضویت خود رقابت می کند. افرادی که علاقه مند به این گزینه ها هستند می توانند در مورد آنها در این آدرس پرس و جو کنند گروه کاری DNS یا عملیات DNS لیست پستی

تدارک

یکی از مشکلاتی که می بینیم این است که بسیاری از LIR ها فراموش می کنند که اجازه انتقال مناطق خود را به سرورهای انتقال RIPE NCC بدهند. این بدان معناست که ns.ripe.net نمی تواند این مناطق را بارگیری کند و در هنگام پرس و جو با یک کد پاسخ SERVFAIL پاسخ می دهد. در موارد دیگر، یک منطقه ممکن است ابتدا خوب باشد، اما در مرحله بعد به دلیل تغییرات پیکربندی توسط LIR که در طی آن سرور RIPE NCC را فراموش کردند، منسوخ شود.

همچنین هیچ راهی برای تعیین یک راز مشترک برای پیکربندی کلیدهای TSIG وجود ندارد. سرورهای انتقال RIPE NCC می توانند توسط شخصی که می تواند یکی از آدرس های IP اصلی را هک کند، داده های نادرستی را دریافت کند.

اندازه منطقه غیر قابل پیش بینی

معمولاً اپراتور یک سرویس DNS ثانویه می خواهد اندازه مناطقی را که روی سرور خود پیکربندی می کند بداند. این برای اطمینان از این است که سرور حافظه کافی برای بارگیری مناطق دارد. اما با این سرویس RIPE، NCC راهی برای دانستن این موضوع از قبل ندارد. در نتیجه، ما در گذشته با وضعیت ناخوشایندی روبرو بودیم که LIR چندین منطقه بازگشتی بزرگ را پیکربندی کرد، که در تعدادی از سرورهای کوچکتر ما، حافظه RAM تمام شد. این نیاز به تعمیرات فوری داشت تا خدمات بدون وقفه ادامه یابد.

موقعیت های جبران ناپذیر

گاهی اوقات منطقه یک اپراتور در وضعیت بدی قرار می گیرد و باعث ایجاد خطاهای مرگبار در بررسی پیش از تفویض اختیار Zonemaster می شود. اگر منطقه توسط RIPE NCC ثانویه شود و RIPE NCC دیگر نتواند منطقه را منتقل کند، در این صورت حتی زمانی که اپراتور تلاش می کند شی دامنه خود را به روز کند، بررسی های پیش از تفویض اختیار با شکست مواجه خواهند شد، وضعیتی که حتی اپراتور نیز نمی تواند آن را برطرف کند.

نمونه ای که دیدیم مربوط به اپراتور با مشکل DNSSEC بود که سعی کرد با حذف رکورد DS از طریق به روز رسانی شی دامنه، DNSSEC را برای منطقه خود خاموش کند. بررسی‌های پیش از تفویض اختیار در بررسی‌های DNSSEC ناموفق بود زیرا سابقه DS هنوز وجود داشت اما منطقه هیچ امضایی نداشت. سرویس Zonemaster که ما استفاده می کنیم، اگرچه از بسیاری جهات کاملاً منعطف بود، اما نتوانست با این وضعیت کنار بیاید و مجبور شدیم مداخله کنیم.

بار زیرساخت RIPE NCC DNS

بسیاری از مناطق در پیکربندی RIPE NCC به هر طریقی مختل می شوند. برخی از مناطق هرگز به درستی تهیه نشدند و برخی دیگر به خوبی شروع به کار کردند، اما اکنون خراب شده اند زیرا LIR پیکربندی را تغییر داده و دسترسی RIPE NCC را رد کرده است. هر منطقه آشفته ای به منابع فشار وارد می کند. اول، سرورهای انتقال باید به تلاش برای به‌روزرسانی آنها ادامه دهند و منابع تازه‌سازی را به مناطق کاری دیگر منع کنند. سپس سرورهای RIPE NCC باید با پاسخ‌های SERVFAIL برای این مناطق پاسخ دهند و در نتیجه منابع (CPU، پهنای باند و غیره) را هدر دهند.

در نمودار زیر می توانید آماری از تعداد هیئت های شکست خورده و LIR های آسیب دیده را مشاهده کنید.

پیشنهاد لغو سرویس ns.ripe.net

ما پیشنهاد کردیم این سرویس را به RIPE 72 c لغو کنیم 2016. در آن زمان، اجماع بر این بود که ما باید به ارائه خدمات ادامه دهیم. با این حال، اکنون 8 سال از آن می گذرد و مسائل مربوط به خدمات هنوز وجود دارد، و در برخی موارد حتی واضح تر.

ما بهترین راه را در نظر گرفته‌ایم و مزایا و معایب تلاش برای مقابله با همه این مسائل را سنجیده‌ایم. در حالی که این سرویس برای برخی از اعضای ما مفید است، به نظر می رسد میزان کار مورد نیاز برای رسیدگی به مسائل فنی که با آن مواجه شده ایم بیشتر از منافع عضویت ما به عنوان یک کل است. علاوه بر این، ما نمی‌توانیم مشکلات ذاتی را که این سرویس به LIRهای بزرگتر ترجیح می‌دهد و با خدمات اعضای خودمان رقابت می‌کند، حل کنیم. بنابراین اکنون ما دو گزینه داریم – یا خدمات را متوقف کنیم یا مسائل فوق را بپذیریم و همانطور که هست ادامه دهیم، ترجیح ما این است که سرویس را متوقف کنیم، اما ما مشتاقانه منتظریم که از جامعه خود بهترین راه را بشنویم و از پیشنهادات استقبال می کنیم. برای راه حل جایگزین

فرآیند خاتمه ns.ripe.net شامل انتشار یک روش دقیق برای LIRها می شود تا آنها بتوانند از سرورهای RIPE NCC به روشی ایمن استفاده نکنند. RIPE NCC همچنین به همه اپراتورها با پیوندهایی به این روش ایمیل می‌زند. ما انتظار داریم که مواردی وجود داشته باشد که باید برای کمک به برخی از اپراتورها به‌روزرسانی اشیاء دامنه خود وارد عمل شویم. RIPE NCC همچنین پذیرش به‌روزرسانی برای موجودیت‌های دامنه را که به سرویس DNS ثانویه از ما نیاز دارند، متوقف می‌کند.

اگر جامعه از پیشنهاد ما برای بستن ns.ripe.net حمایت کند، این رویکرد را طبق برنامه زمانی زیر اجرا خواهیم کرد:

1. از 1 ژوئیه 2024: پذیرش ns.ripe.net در اشیاء دامنه جدید یا به روز شده را متوقف کنید و به کاربران بگویید استفاده از ns.ripe.net را متوقف کنند.
2. جولای – دسامبر 2024: تلاش برای تماس با کاربرانی که همچنان از این سرویس استفاده می کنند
3. 31 دسامبر 2024: هر گونه نمایندگی که هنوز به ns.ripe.net اشاره می کند را حذف کنید

با انجام این مراحل، ما می خواهیم ثبات و امنیت سرویس DNS معتبر خود (و اعضای خود) را افزایش دهیم، از رقابت با عضویت خود دست برداریم و از دادن مزیت ناعادلانه به دارندگان بلوک های آدرس بزرگ جلوگیری کنیم.

ما می خواهیم بدانیم چه فکر می کنید. اگر مشکلاتی در این روش مشاهده کردید، لطفاً نظرات خود را در مورد لیست پستی DNSWG با ما در میان بگذارید ([email protected]) تا 16 مه 2024. لطفاً اگر با توصیه ما موافق هستید یا پیشنهادات خود را در مورد راه پیش رو دارید به ما اطلاع دهید. سپس در جلسه گروه کاری DNS در یک آدرس در این مورد بحث خواهیم کرد RIPE 88 در 22 مه 2024 (صبح چهارشنبه).