Tendenze nelle Query DNS Inaspettate Negli Ultimi Dieci Anni
Analisi di schemi di query DNS imprevisti e il loro impatto sulle operazioni internet.
― 6 leggere min
Indice
- L'importanza della nostra ricerca
- Cosa abbiamo scoperto
- Comprendere le richieste DNS
- Categorizzare le richieste DNS
- Analisi più approfondita dei tipi di richiesta
- Tendenze nel tempo
- Analisi dei mittenti delle richieste
- Il ruolo delle richieste relative a Chromium
- L'impatto della minimizzazione delle richieste DNS
- L'impennata delle richieste vuote
- Conclusione e direzioni future
- Fonte originale
- Link di riferimento
Il Sistema dei Nomi di Dominio (DNS) è una parte fondamentale di come funziona internet. Ogni volta che visiti un sito web o usi un servizio online, il DNS aiuta a tradurre i nomi che usiamo (tipo www.example.com) in numeri (indirizzi IP) che i computer possono capire. Questo processo assicura che il tuo dispositivo possa connettersi al server giusto.
Di solito, quando fai una richiesta, il tuo dispositivo controlla prima il suo risolutore DNS locale, che memorizza le risposte a richieste precedenti. Se la risposta non è nella cache locale, chiede ad altri server DNS di trovare la risposta. In cima a questo sistema ci sono i server di nomi radice, che sono responsabili nel dirigere le richieste ai giusti server di domini di primo livello.
L'importanza della nostra ricerca
Negli anni, abbiamo raccolto e analizzato una grande quantità di dati sulle richieste DNS, concentrandoci su un server radice specifico chiamato B-Root. Questi dati coprono dieci anni e forniscono un'idea di come le richieste DNS siano cambiate nel tempo, specialmente quelle inaspettate. Definiamo le richieste inaspettate come quelle che non seguono le solite regole di denominazione o appaiono troppo spesso rispetto ai dati storici.
Capire le richieste DNS inaspettate può aiutare a identificare potenziali problemi nel sistema e migliorare il funzionamento del DNS. La nostra ricerca mira a classificare le richieste DNS e mettere in evidenza le tendenze legate a questo traffico inaspettato.
Cosa abbiamo scoperto
La nostra analisi di 28 miliardi di richieste DNS dagli esperimenti "Day in the Life of the Internet" ha rivelato alcune tendenze significative. Una delle scoperte più notevoli è stata l'aumento delle richieste inaspettate, che sono passate dal 39,57% nel 2013 al 67,91% nel 2022. Una grande parte di queste richieste inaspettate (36,55%) sono state trovate essere "richieste di priming", progettate per aiutare un risolutore DNS a conoscere i server radice.
Comprendere le richieste DNS
Quando un utente digita un indirizzo web nel proprio browser, viene generata una richiesta DNS. Questa richiesta viene solitamente inviata a un risolutore di caching che controlla se ha la risposta memorizzata. Se il risolutore non riesce a trovare la risposta, chiederà ad altri server nella gerarchia DNS, arrivando fino ai server radice se necessario.
Il sistema DNS è strutturato come un albero, con ogni nome diviso in segmenti. Ogni segmento ha un server autorevole che può rispondere a richieste su di esso. I server radice sono in cima a questa struttura, seguiti dai server di dominio di primo livello (TLD) (come .com o .org) e poi i server per domini specifici.
Categorizzare le richieste DNS
Nel nostro studio, abbiamo classificato le richieste DNS in base alle loro convenzioni di denominazione. Abbiamo esaminato tre categorie principali: richieste vuote, richieste valide di domini di primo livello (quelle che seguono le regole di denominazione) e richieste non valide di domini di primo livello (quelle che non lo fanno). Analizzando queste categorie, abbiamo potuto identificare le cause principali delle richieste inaspettate e monitorare le loro tendenze nel tempo.
Per le richieste non valide, ci siamo concentrati su schemi come richieste ripetute, richieste con TLD errati e richieste con caratteri non standard. Volevamo capire perché si verificassero queste richieste e se provenissero da mittenti specifici.
Analisi più approfondita dei tipi di richiesta
La nostra analisi ha evidenziato i tipi di richieste DNS inviate a B-Root. La richiesta più comune è la richiesta di tipo A, che richiede un indirizzo IPv4. La seconda più comune è la richiesta di tipo AAAA, per indirizzi IPv6. Curiosamente, abbiamo notato un significativo calo di questi tipi di richieste nel 2022, mentre il numero di richieste di tipo NS è aumentato. Questo cambiamento è correlato all'introduzione delle richieste di priming, ora utilizzate più frequentemente.
Tendenze nel tempo
Abbiamo esaminato come la composizione delle richieste DNS sia cambiata nel corso di dieci anni. La proporzione di richieste valide di domini di primo livello è diminuita dal 57,82% nel 2013 al 22,84% nel 2022. Al contrario, le richieste vuote hanno visto un aumento drammatico, passando da circa il 3% al 37,42% di tutte le richieste. Questo aumento è probabilmente legato al numero crescente di richieste di priming.
Abbiamo anche trovato che le richieste di TLD non valide hanno mostrato solo leggere fluttuazioni, oscillando tra il 20% e il 30% nel corso degli anni. Le richieste di una sola parola, che a volte includono TLD validi, hanno avuto un picco significativo nel 2020 a causa di comportamenti di querying specifici di alcuni browser, per poi diminuire bruscamente in seguito.
Analisi dei mittenti delle richieste
Abbiamo identificato i principali mittenti di richieste DNS a B-Root nel 2022. In particolare, alcuni grandi fornitori di cloud erano responsabili di una parte significativa delle richieste. Questi fornitori inviavano spesso richieste di TLD non valide, il che potrebbe indicare malconfigurazioni o potenziale abuso dei loro servizi cloud. Anche i fornitori di servizi Internet più piccoli hanno mostrato schemi simili, inviando principalmente richieste non valide.
Il ruolo delle richieste relative a Chromium
Molti browser web di oggi sono costruiti sul framework Chromium, mantenuto da Google. Questi browser hanno funzionalità che portano a un alto volume di richieste DNS a causa del loro comportamento di querying quando gli utenti inseriscono URL o termini di ricerca. La nostra ricerca ha mostrato un aumento graduale nel numero di richieste provenienti da browser basati su Chromium dal 2013 al 2020, seguito da un brusco calo dopo che sono state apportate modifiche al modo in cui questi browser gestiscono le richieste.
L'impatto della minimizzazione delle richieste DNS
Nel marzo 2016, è stata introdotta una nuova specifica per la minimizzazione delle richieste DNS. Questo cambiamento mirava a migliorare la privacy degli utenti limitando le informazioni inviate nelle richieste DNS. I nostri dati confermano un aumento nel numero di richieste minimizzate da quel cambiamento, riflettendo come il sistema DNS si adatti ai nuovi standard di privacy.
L'impennata delle richieste vuote
Una delle scoperte più sorprendenti della nostra ricerca è stata l'aumento significativo delle richieste vuote nel 2022, che costituivano oltre un terzo di tutte le richieste inviate a B-Root. Prima di questo, le richieste vuote non avevano mai superato il 4%. Anche se solo pochi mittenti erano responsabili della maggior parte di queste richieste, evidenzia un cambiamento drammatico nel comportamento di querying.
Conclusione e direzioni future
La nostra indagine sul traffico DNS di B-Root ha rivelato tendenze e problemi importanti riguardo alle richieste inaspettate. Questa ricerca fornisce una base per una migliore comprensione del comportamento delle richieste DNS nel tempo. Il lavoro futuro si concentrerà sulla classificazione del traffico TLD valido e sull'indagine delle tendenze in altri server radice.
Speriamo che il nostro metodo di classificazione venga adottato da altri operatori DNS per migliorare il monitoraggio e la gestione del traffico DNS. Estendendo il nostro approccio di classificazione, puntiamo a raffinare la nostra comprensione dei vari tipi di richieste DNS e delle loro implicazioni per internet nel suo complesso.
Titolo: Understanding DNS Query Composition at B-Root
Estratto: The Domain Name System (DNS) is part of critical internet infrastructure, as DNS is invoked whenever a remote server is accessed (an URL is visited, an API request is made, etc.) by any application. DNS queries are served in hierarchical manner, with most queries served locally from cached data, and a small fraction propagating to the top of the hierarchy - DNS root name servers. Our research aims to provide a comprehensive, longitudinal characterization of DNS queries received at B-Root over ten years. We sampled and analyzed a 28-billion-query large dataset from the ten annual Day in the Life of the Internet (DITL) experiments from 2013 through 2022. We sought to identify and quantify unexpected DNS queries, establish longitudinal trends, and compare our findings with published results of others. We found that unexpected query traffic increased from 39.57% in 2013 to 67.91% in 2022, with 36.55% of queries being priming queries. We also observed growth and decline of Chromium-initiated, random DNS queries. Finally, we analyzed the largest DNS query senders and established that most of their traffic consists of unexpected queries.
Autori: Jacob Ginesin, Jelena Mirkovic
Ultimo aggiornamento: 2023-08-15 00:00:00
Lingua: English
URL di origine: https://arxiv.org/abs/2308.07966
Fonte PDF: https://arxiv.org/pdf/2308.07966
Licenza: https://creativecommons.org/licenses/by/4.0/
Modifiche: Questa sintesi è stata creata con l'assistenza di AI e potrebbe presentare delle imprecisioni. Per informazioni accurate, consultare i documenti originali collegati qui.
Si ringrazia arxiv per l'utilizzo della sua interoperabilità ad accesso aperto.