Jak vylepšujeme DNS infrastrukturu pro.cz? Zdeněk Brůna

Podobné dokumenty
Novinky v.cz registru a mojeid. Zdeněk Brůna

Základní principy obrany sítě II. Michal Kostěnec CESNET, z. s. p. o.

Propojujeme nejen český internet. Martin Semrád. #InstallFest Praha,

Budování sítě v datových centrech

Budování sítě v datových centrech

DNS, DHCP DNS, Richard Biječek

Novinky v projektech Knot DNS a Knot Resolver. Daniel Salzman

Útoky na DNS. CZ.NIC Labs. Emanuel Petr IT10, Praha

Implementace protokolu IPv6 v síti VŠE a PASNET. Ing. Miroslav Matuška Ing. Luboš Pavlíček

Vývoj a fungování peeringu v IXP. Petr Jiran - NIX.CZ CTO CSNOG

Rozvoj IPv6 v České republice. Daniel Suchý NIX.CZ, z.s.p.o.

DNS. Počítačové sítě. 11. cvičení

Služba ComSource Hybrid AntiDDoS aneb Pračka v Cloudu ISPA Forum 2015

Technická specifikace soutěžených služeb

DoS útoky v síti CESNET2

Změna algoritmu podepisování zóny.cz. Zdeněk Brůna

SOU Valašské Klobouky. VY_32_INOVACE_02_18 IKT DNS domény. Radomír Soural. III/2 Inovace a zkvalitnění výuky prostřednictvím ICT

DNSSEC. Proč je důležité chránit internetové domény? CZ.NIC z.s.p.o. Pavel Tůma

UPC ČeskoSlovensko & CEE

Domain Name System (DNS)

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

WrapSix aneb nebojme se NAT64. Michal Zima.

DNS server (nameserver, jmenný server) Server, který obsahuje všechny veřejné IP adresy a jejich přiřazené doménové jména a překládá je mezi sebou. Po

Ondřej Caletka. 2. března 2014

DNSSEC Validátor - doplněk prohlížečů proti podvržení domény

Poslední aktualizace: 1. srpna 2011

Bezpečná VLAN v NIX.CZ. Ing. Tomáš Hála ACTIVE 24, s.r.o.

Počítačové sítě Aplikační vrstva Domain Name System (DNS)

Tabulka splnění technických požadavků

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Detailní report nezávislého Network auditu pro FIRMA, s.r.o.

Detekce volumetrických útoků a jejich mi4gace v ISP

BIRD Internet Routing Daemon

Evoluce RTBH v NIX.CZ. Petr Jiran NIX.CZ IT17 Praha

Pravidla pro připojení do projektu FENIX

vpsfree.cz: linuxový server u neziskovky

BEZPEČNOST (BEZ)DRÁTU. Martin Macek,

Státní ICT jak to zvládáme na NKÚ. Jan Mareš

Podporovaná zařízení - největší počet platforem

Připojení městských částí do infrastruktury MepNET. Dotazníkové šetření Bohdan Keil,

SÍŤOVÁ INFRASTRUKTURA MONITORING

Jmenné služby a adresace

Doménový svět, jak to funguje? CZ.NIC z. s. p. o. Ondřej Filip Seminář MPO

Projekt Turris Ondřej Filip 23 října 2014 CIF Praha

PROJEKT FENIX Petr Jiran NIX.CZ. EurOpen.CZ VZ Měřín

Implementace ENUM v síti NETWAY.CZ

Č.j. PPR /ČJ EC Praha Počet listů: 5 + nebo fax

9. Systém DNS. Počítačové sítě I. 1 (6) KST/IPS1. Studijní cíl. Představíme si problematiku struktury a tvorby doménových jmen.

Y36SPS Jmenné služby DHCP a DNS

Služby správce.eu přes IPv6

Přístup k transportní vrstvě z vrstvy aplikační rozhraní služeb služby pro systémové aplikace, služby pro uživatelské aplikace DNS

Ladislav Pešička KIV FAV ZČU Plzeň


Řešení jádra sítě ISP na otevřených technologiích

Studentská unie ČVUT v Praze, klub Silicon Hill. 22. února Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22.

U nás na farmě (Linux konsolidace) konference itsmf

CAD pro. techniku prostředí (TZB) Počítačové sítě

Překlad jmen, instalace AD. Šimon Suchomel

CHARAKTERISTIKA VEŘEJNÉ ZAKÁZKY

Datové služby. Písemná zpráva zadavatele

Město Litvínov se sídlem Městský úřad Litvínov, náměstí Míru 11, Litvínov odbor systémového řízení

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Směrovací démon BIRD. CZ.NIC z. s. p. o. Ondřej Filip / IT10

Xirrus Produktové portfolio. Petr Čechura

DEDIKOVANÉ A MANAGED SERVERY GREENHOUSING JEDNODUCHÁ CESTA K PROFESIONÁLNÍMU SERVERHOSTINGU A VIRTUALIZACI

Firemní prezentace VSHosting s.r.o.

Město Varnsdorf, nám. E. Beneše 470, Varnsdorf, Česká republika SPECIFIKACE

Útoky na DNS. Ondřej Caletka. 9. února Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

X36PKO Jmenné služby Jan Kubr - X36PKO 1 4/2007

Dodávka nových switchů a jejich integrace do stávající IT infrastruktury inspektorátu SZPI v Praze

ČeskoSlovenská. Federativní Telekomunika ční Infrastruktura. Kam kráčajú telekomunikačné siete 2017 Jasná, /100

Europen: IP anycast služba

Počítačové sítě ZS 2005/2006 Návrh sítě zadání

Inovace výuky prostřednictvím šablon pro SŠ

Projekt obranného výzkumu CYBER bezpečnost informačních a komunikačních systémů AČR

DHCP a DNS a jak se dají využít v domácí síti

pozice výpočet hodnota součet je 255

Počítačové sítě I LS 2004/2005 Návrh a konstrukce sítě zadání

WPAD a bezpečnost v DNS

Univerzita Karlova, Ústav výpočetní techniky Ovocný trh 560/5, Praha 1. OPATŘENÍ ŘEDITELE č. 1/2018. Organizační struktura Ústavu výpočetní techniky

Domain Name System (DNS)

1. Aplikační architektura

Strategie sdružení CESNET v oblasti bezpečnosti

Tabulka splnění technických požadavků

Portál veřejné správy jako otevřená vývojová platforma

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Jak dělat věci jinak než jiní operátoři?

Flow Monitoring & NBA. Pavel Minařík

Seminář pro správce univerzitních sí4

Zřízení technologického centra ORP Dobruška

Požadované technické parametry pro SAN jsou uvedeny v následující tabulce:

O2 Datové centrum. Komerční housing serverů

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

Nejzajímavější bezpečnostní incidenty CSIRT.CZ. Pavel Bašta

Výzvy IOP č. (04), 06, 08, 09

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

Standard pro připojení do CMS. Definice rozhraní mezi CMS a Operátorem

Datové centrum pro potřeby moderního města. Koncepce, stav projektu, budoucí rozvoj B.Brablc, 06/16/09

Inovace výuky prostřednictvím šablon pro SŠ

IPv6 v Sokolovské uhelné

Transkript:

Jak vylepšujeme DNS infrastrukturu pro.cz? Zdeněk Brůna zdenek.bruna@nic.cz 24. 11. 2017

O čem to dnes bude Základní vlastnosti DNS Něco o DNS pro.cz Proč posilujeme Jak posilujeme Co už máme hotovo Co ještě připravujeme

Základní vlastnosti DNS Domain Name System *1983, Hierarchický systém doménových jmen Překlad doménových jmen a IP adres Režim klient server Stromová struktura

Základní vlastnosti DNS DNS servery rekurzivní / autoritativní kořenové / top-level-domain / nižší primární / sekundární www.jakfungujedns.cz běží bez výpadku

Něco o DNS pro.cz Autoritativní DNS servery pro.cz [a-d].ns.nic.cz 15 DNS serverů v ČR 16 DNS serverů v zahraničí (DE, AT, UK, SE, 2 x US, CL, JP) vysoká diverzita Debian, Ubuntu LTS, OpenBSD Bind, Knot DNS, NSD Bird, Quagga, BGPD Dell, HP, Intel Cisco, Juniper

Něco o DNS pro.cz DNS anycast více serverů pod jednou adresou BGP směřuje požadavky do nejbližší lokality rozkládá zátěž, snižuje odezvy přesměrování provozu při výpadku je automatické vhodné umístění DNS serverů

Něco o DNS pro.cz

Něco o DNS pro.cz Běžný provoz ~ 25 000 Qps ~ 1 miliarda požadavků / den Přibližně 38% DNS provozu z ČR Významné lokality v zahraničí UK (20%), Rakousko (12%), Německo (10%)

Proč posilujeme současné limity.cz DNS anycastu ~ 20 000 000 Qps ~ 60 Gbps četnost a síla DDoS roste stovky Gbps, jednotky Tbps distribuovanost (IOT) fatální důsledky

Jak posilujeme zvýšení odolnosti DNS infrastruktury ~ 200 Gbps / 100 mil. Qps ještě větší distribuovanost DNS u ISP / další zahraniční lokality zlepšení monitoringu / alertingu zamezení reflection útoků zachování diverzity

Jak posilujeme upgrade routerů a DNS serverů v ČR (2 lokality) navýšení konektivity do NIX.CZ (2 x 100 Gbps) zprovozněním několika DNS uzlů u významných ISP upgrade významných uzlů DNS anycastu v zahraničí

Jak posilujeme DNS stack 1 x router n x DNS server n x switch pro management 1 x server pro management konektivita 1 x IX 1 x tranzit 1 x management

Jak posilujeme parametr typ DNS stacku velký střední malý mini ISP HW router ano ano ne ne ne IX konektivita 1 x 100 Gbps 4 x 10 Gbps 1 x 10 Gbps 2 x 1/10 Gbps 1 x 10 Gbps IP tranzit 1 x 10 Gbps 1 x 10 Gbps 1 x 10 Gbps ne ne manag. konektivita 1 x 1 Gbps 1 x 1 Gbps 1 x 1 Gbps ne 1 x 1 Gbps počet DNS serverů 30 12 3 2 3 management switch 2 x 48-port 1 x 48-port ne ne ne management server 1 1 1 0 1

Jak posilujeme Proč 30 serverů na velký stack? výkonnost routeru ~ množství DNS serverů ~ konektivita nejmenší pakety 84 B: 100 Gbps / 672 bps ~ 148 809 523 pps běžná velikost DNS odpovědí 512 B: 100 Gbps / 4 096 bps ~ 24 414 062 pps největší pakety 1 538 B: 100 Gbps / 12 304 bps ~ 8 127 438 pps uvažujeme 1 mil. response/s na jeden DNS server (https://www.knot-dns.cz/benchmark/) při průměrné velikosti odpovědi 512 B využije jeden DNS server cca 4 Gbps pro 100 Gbps konektivitu postačuje 30 serverů při maximální velikosti odpovědi 1 500 B využije jeden DNS server cca 12 Gbps předpokládá se připojení DNS serverů pomocí 10 Gbps uplinku do routeru

Jak posilujeme DNS stack u ISP instance autoritativního DNS serveru s.cz zónou u ISP inspirace u SIDN.NL propagace jednoho z anycast prefixů do sítě ISP využití jen v síti ISP (není povolena propagace do upstreamů/peerů) + dostupnost služby DNS v případě útoků proti veřejným DNS serverům + útok vedený v síti ISP je ukončen uvnitř

Co už máme hotovo Upgrade DNS v ČR první velký DNS stack lokalita DC TOWER vysokozátěžový rack (10 kw) router Juniper MX240 30 DNS serverů DELL PE R430 management server upgrade na 100G do NIX.CZ dokončujeme

Co už máme hotovo

Co už máme hotovo

Co už máme hotovo

Co už máme hotovo

Co už máme hotovo

Co už máme hotovo 2 x ISP DNS stack

Co už máme hotovo posílení DNS v UK - malý DNS stack Londýn - LINX 3 DNS servery v jedné lokalitě 1 x management server 1 x Linuxový router s BIRDem upgrade na 10G dokončení v 12/2017

Co ještě připravujeme Upgrade DNS v ČR druhý velký DNS stack lokalita DC CECOLO vysokozátěžový rack (10 kw) router??? 30 DNS serverů HP Proliant DL360 Gen9 management server upgrade na 100G do NIX.CZ Q1 2018

Co ještě připravujeme posílení DNS v dalších zemích - malý DNS stack primárně DE, AT nové stacky jinde analýza (CA, JV Asie) vylepšení monitoringu zamezení reflection útoků pokusíme se řešit interně ADAM upgrade vybraných datových propojů na 100 Gbps

Co ještě připravujeme instalace dalších ISP DNS stacků alespoň 3 významné ISP DNS stack pro FENIX

Co ještě připravujeme posílení týmu systémových správců specialista na analýzu DNS provozu https://www.nic.cz/page/321/kariera-v-cznic/

Děkuji za pozornost Zdeněk Brůna zdenek.bruna@nic.cz

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář