Στο Nitro που κυκλοφορεί υπάρχει ένα κείμενο για το τι θα συμβεί αν μετά από μια επίθεση ή κάποιο καταστροφικό γεγονός "πέσει" το Ίντερνετ παγκοσμίως. Ο computer scientist Παναγιώτης Παληάς το διάβασε, και μου έστειλε ένα e-mail πολύ λεπτομερές, που αφ’ ενός αμφισβητεί τον κίνδυνο, αφ’ ετέρου εξηγεί με περισσότερες λεπτομέρειες πώς λειτουργεί το δίκτυο. Εντός του post ολόκληρο το κείμενό του.
"Το κομμάτι για το πώς γίνεται ένα name resolved στην ip δεν είναι λάθος, αλλά το είδα υπερβολικά απλουστευμένο και σκέφτηκα ότι καλό θα ήταν να είναι γνωστή ακριβώς η διαδικασία καθώς και να τονιστεί η σημασία του caching καθώς ανεξαρτητοποιεί τους διάφορους DNS από τους Root και βοηθάει την αποκέντρωση.
Γράφοντας μία διεύθυνση σε μορφή ονόματος στον browser μας, αν δεν υπάρχει στην cache (προσωρινή μνήμη), γίνεται αίτηση στο δηλωμένο DNS. Αυτός συνήθως βρίσκεται στον ISP μας. Αυτός (ο DNS του ISP) αν δε γνωρίζει την απάντηση, δηλαδή αν το όνομα που δίνουμε δεν ανήκει στις ζώνες τις οποίες διαχειρίζεται ή δεν το έχει στην cache του, θα ρωτήσει κάποιον Root Name Server για τον αρμόδιο DNS για το Top Level Domain. O Root θα τον παραπέμψει στον αρμόδιο DNS για το όνομα που ψάχνουμε. Ο αρμόδιος DNS θα μας απαντήσει άμεσα αν το όνομα που ψάχνουμε το έχει ή θα ρωτήσει κάποιον δικό του υποDNS (Second Level Domain) που διαχειρίζεται μία πιο ειδικευμένη ζώνη. Όταν βρεθεί ακριβώς το όνομα που ψάχναμε η κίνηση αντιστρέφεται και βήμα-βήμα επιστρέφει η απάντηση για την IP που αντιστοιχεί σε κάποιο όνομα ( ή το όνομα που αντιστοιχεί σε μία IP όταν κάνουμε Reverse Lookup ).
Για παράδειγμα αν ψάχνουμε το μηχάνημα giorgos.mitsos.gr σε αυτήν την περίπτωση TLD είναι το .gr και SLD το mitsos.gr
Οι Root NS ξέρουν ποιοι NS εξυπηρετούν το .gr
Οι .gr NS ξέρουν ποιοι NS εξυπηρετούν το mitsos
Οι NS του mitsos.gr ξέρουν ποια IP αντιστοιχεί στο όνομα giorgos.mitsos.gr
Οι Root NS κακώς αναφέρονται ώς "ραχοκοκκαλιά". Το name resolve είναι μία υπηρεσία, όπως είναι το http, το telnet κλπ από το οποίο δεν εξαρτάται το internet για να λειτουργεί. Πιθανή απουσία της υπηρεσίας θα μας προκαλέσει μία ενόχληση γιατί δε θα μπορούμε να χρησιμοποιήσουμε τα ονόματα, αλλά θα πρέπει να ξέρουμε την IP, πράγμα λίγο δύσκολο. Επίσης δε θα λειτουργούν τα virtual hosts, δηλαδή εικονικοί servers που δουλεύουν ταυτόχρονα στο ίδιο μηχάνημα. Όμως το internet θα λειτουργεί ακόμα και χωρίς dns. Όταν λέμε ραχοκοκκαλιά σε ένα δίκτυο αναφερόμαστε σε μία ζεύξη, από την οποία περνάει κίνηση διάφορων περιφερειακών δικτύων, με μεγάλη χωρητικότητα και ταχύτητα. Μπορεί να παρομοιαστεί με το οδικό δίκτυων των εθνικών οδών, της αττικής οδού, της εγνατίας οδού και συνήθως ενώνει μεγάλα σημεία ενδιαφέροντος. Για παράδειγμα backbone links όπως λέγονται υπάρχουν ανάμεσα σε Αθήνα και Θεσσαλονίκη, Αθήνα-Σύρος, Σύρος-Ηράκλειο κλπ.
Οι Root Name Servers δεν είναι μόνο 13. Στο root-servers.org φαίνεται πόσοι (πάνω από 120) και πού είναι διασκορπισμένοι γεωγραφικά. Ο λόγος που φαίνονται μόνο 13 είναι λόγω περιορισμού στο πρωτόκολλο επικοινωνίας των NS. Πιο συγκεκριμένα χρησιμοποιούν το User Datagram Protocol το οποίο μπορεί να μεταφέρει μέχρι 512bytes αξιόπιστα, το οποίο σημαίνει ότι θα αναγράφονται μόνο 13 μέσα σε κάθε πακέτο. Οι 6 από τους 13 είναι στατικοί και μοναδικοί στις ΗΠΑ, οι υπόλοιποι 7 είναι εικονικοί και αντιστοιχούν σε πολλούς περισσότερους που βρίσκονται παντού ανά τον κόσμο. Αν κάποιος ζητήσει πληροφορία από κάποιον εκ των 7 εικονικών servers το πρωτόκολλο anycast που χρησιμοποιείται σε αυτήν την περίπτωση θα τον στείλει στον πιο κοντινό. Όλα αυτά είναι λίγο σπάνια, όμως, γιατί οι Root NS χρησιμοποιούνται πολύ σπάνια. Οι αλλαγές που τους γίνονται είναι σπάνιες και πρακτικά όλοι οι μεγάλοι NS έχουν ένα αντίγραφο της ζώνης τους ώστε να μη χρειάζεται να τους ρωτάνε συνέχεια. Έτσι ακόμα και αν κάποιος κατέστρεφε τους 120+ Root NS πάλι θα κάναμε τη δουλειά μας. Σχετικά με τη θεωρητική επίθεση DDoS που αναφέρεις από zombies μηχανήματα προς τους Root NS, υπάρχουν μηχανήματα που αναλαμβάνουν να φιλτράρουν την κίνηση προς κάποιο server, δίκτυο ή link που είναι ζωτικής σημασίας και να καθαρίζουν την κίνηση από τα κακόβουλα πακέτα, προωθώντας στο server τελικά μόνο την "καλή" κίνηση. (βλ. Cisco Anomaly Detector και Guard). Είναι σχετικά καινούργιο φρούτο οπότε πλέον δεν πρέπει να έχουν πρόβλημα τα critical μηχανήματα από τέτοιες επιθέσεις.
Τώρα σχετικά με τις επιπτώσεις που θα είχε μία κατάρρευση του internet.
Αυτό είναι πολύ φλου γιατί δεν αναφέρεται ποιο κομμάτι του internet θα πέσει. Επαναλαμβάνω ότι το να χτυπηθούν όλοι οι Root DNS ταυτόχρονα και να βγουν offline λίγη σημασία έχει για τη λειτουργία του internet. Οι δρομολογητές του internet μπορούν να προωθούν τα πακέτα είτε υπάρχει dns είτε όχι. Επίσης οι δρομολογητές φροντίζουν να δρομολογούν τα πακέτα από τη βέλτιστη διαδρομή (σύμφωνα με τα κριτήρια αυτού που ρύθμισε το δρομολογητή) οπότε αν κάποια ζεύξη "πέσει" και υπάρχει εναλλακτική δε θα χάσουμε τη σύνδεσή μας. Αν όμως γίνονται κακές μελέτες και δεν προβλέπονται εφεδρικές ζεύξεις και μηχανήματα τότε καταλήγουμε στο φαινόμενο του να μην έχει internet η Ελλάδα, ή τέλος πάντων οι ISPs που διασυνδέονται μόνο μέσω της OTEglobe. Επίσης ένα πρόβλημα "κάπου" στο internet πιθανότατα δε θα μας επηρεάσει ως χώρα. Όσον αφορά τα δίκτυα σταθερής τηλεφωνίας μία πιθανή κατάρρευση του internet στην Ελλάδα θα είχε αντίκτυπο μόνο στις voip κλήσεις. Οι κλασσικές PSTN-ISDN δρομολογούνται σε δικό τους δίκτυο ανεξάρτητο του internet. Όπως επίσης και οι φωτεινοί σηματοδότες που υπήρχαν πολύ πριν την εφεύρεση του internet. Τέλος κάποιες critical υπηρεσίες όπως οι επικοινωνίες των αεροδρομίων δε βασίζονται στο internet. Γενικότερα τα δίκτυα τόσο σημαντικών τοποθεσιών είναι κρυμμένα αν όχι αποκομμένα από το υπόλοιπο internet. Υπάρχει επικοινωνία μόνο με τις τοποθεσίες που χρειάζεται και η κίνηση περνάει μέσα από τα λεγόμενα tunnels, συνήθως ισχυρώς κρυπτογραφημένα. Γενικά να πω ότι επίθεση στο internet γίνεται σε κάτι που μπορεί να φανεί, που ξέρουμε την ύπαρξή του, όπως για παράδειγμα το site του ebay.com για να προκαλέσουμε απώλεια κερδών από το downtime, το δίκτυο της Microsoft για να πουλήσει μούρη ο επιτιθέμενος στην underground κοινότητα. Ένα ιδιωτικό δίκτυο που δεν έχει άμεση επικοινωνία με το internet, αλλά το χρησιμοποιεί ως μέσο για να εξυπηρετήσει την επικοινωνία των απομακρυσμένων γραφείων του με μία καλή πολιτική ασφάλειας είναι σχεδόν απίθανο να πληγεί από εξωτερικό παράγοντα.
Γενικά η εντύπωση που αποκομίζει κάποιος που δεν ξέρει και πολλά από υπολογιστές είναι ότι αν κάποιοι επιτεθούν σε 13 κτίρια στον κόσμο, δε θα δουλεύουν τα φανάρια στους δρόμους, τα ΑΤΜ της τράπεζας, οι πίνακες στα αεροδρόμια, τα τηλέφωνα και ό,τι έχει να κάνει με τηλεπικοινωνίες. Κάτι τέτοιο φυσικά δε στέκει".