Google chce zmenu v DNS protokole

DSL.sk, 28.1.2010

Spoločnosť Google v stredu oznámila svoj zámer rozšíriť DNS protokol tak, aby sa k autoritatívnemu DNS serveru prekladajúcemu napríklad doménu webového servera na IP adresu dostala aj skutočná IP adresa koncového užívateľa.

Na základe skutočnej IP adresy užívateľa tak bude môcť autoritatívny DNS server pre doménu vrátiť IP adresy webových serverov, ktoré sú k užívateľovi najbližšie.

V súčasnosti absolútna väčšina užívateľov využíva pre preklad DNS domén rekurzívne DNS servery, ktoré pre DNS dotaz vrátia odpoveď buď z cache pamäte alebo DNS dotaz ďalej prepošlú autoritatívnemu DNS serveru. Autoritatívny server tak v súčasnosti vidí len IP adresu rekurzívneho servera používaného užívateľom a nie jeho skutočnú IP adresu.

V závislosti na tom, aký rekurzívny DNS server užívateľ využíva, sa môže optimálna najbližšia preložená IP adresa vrátená na základe IP adresy odosielateľa dotazu výrazne líšiť pre skutočnú IP adresu užívateľa a IP adresu jeho rekurzívneho servera.

Google spolu s niekoľkými ďalšími spoločnosťami navrhol rozšírenie DNS protokolu, podľa ktorého rekurzívny DNS server zašle pri preposlaní dotazu autoritatívnemu DNS serveru aj najvyšších 24 bitov IP adresy užívateľa, pre ktorého preklad doménového mena uskutočňuje.

Autoritatívny DNS server tak bude môcť na základe IP adresy užívateľa v prípade veľkých webov prevádzkovaných na viacerých serveroch respektíve clusteroch vo svete preložiť doménové meno na IP adresu respektíve IP adresy serverov, ktoré sú k užívateľovi najbližšie. Prístup užívateľa k danému webu tak bude rýchlejší a zároveň prevádzkovatelia veľkých webov dokážu efektívnejšie rozkladať záťaž medzi jednotlivé servery.

Okrem preposlania 24 bitov IP adresy užívateľa vyžaduje toto rozšírenie DNS protokolu aj zmenu v cachovaní odpovedí rekurzívnym DNS serverom, keď odpovede budú závislé na IP užívateľa. Autoritatívny DNS server tak bude v odpovedi vracať aj sieťovú masku IP adries, pre ktoré odpoveď platí.

Návrh rozšírenia DNS protokolu je možné nájsť na ietf.org, Google podľa svojho oznámenia spolu s ďalšími predkladateľmi plánuje presadzovať, aby sa rozšírenie začalo reálne používať.


Najnovšie články:



Diskusia:

titulok Od: plesnovy_syr | Pridané: 28.1.2010 8:16 celkom fajn napad Odpovedať Známka: -1.3 Hodnotiť:

Re: titulok Od reg.: Alino | Pridané: 28.1.2010 8:20 ved to je super, dufam ze sa im to podari zrealizovat. Odpovedať Známka: 0.0 Hodnotiť:

Re: titulok Od: joe07 | Pridané: 28.1.2010 11:10 Ked uz robia zmenu v tak vyznamnom protokole, tak by mali zamedzit zosilovaniu utokov pomocou DNS. response je spon 10x vacsia ako query. Inac viete niekto ako presne sa zosiluju utoky? Co som niekde cital, tak zosilnenie uvadzali nad 5 000%(50x) co je celkom efektivne Odpovedať Známka: -1.4 Hodnotiť:

google Od reg.: Hocikto | Pridané: 28.1.2010 8:18 napad je to dobry, co sa tyka rozlozenia zataze, a aj rychlosti dorucenia ip od najblizsieho servera ku klientovi, ale kto vie, ci stryko google nema za tym aj ine umysli, ked uz sa ma posielat ip adresa klienta na server. zasa dajake monitoringy a v uzadi nejake spekulacie. :)) Odpovedať Známka: 6.5 Hodnotiť:

Re: google Od reg.: Alino | Pridané: 28.1.2010 8:21 no to aj mna napadlo ze si takto chcu vylepsit tu svoju tajnu cookie :) Odpovedať Známka: 6.1 Hodnotiť:

Re: google Od reg.: cinko | Pridané: 28.1.2010 9:09 schvalne ake postranne umysli by mohol google tymto mat? fakt ma uz nebavi pod kazdym clankom o google taketo bludy... Odpovedať Známka: -1.5 Hodnotiť:

Re: google Od: gringo | Pridané: 28.1.2010 9:51 To je pravda, ved google aj tak vsetky take informacie uz davno ma ... Odpovedať Známka: 9.0 Hodnotiť:

Re: google Od reg.: Alino | Pridané: 28.1.2010 15:56 jj tymto chcu len vylepsit svoj filter o useroch, zosuladnit lepsie ktora informacia patri ku koho osobe Odpovedať Známka: 5.0 Hodnotiť:

Re: google Od: miso__ | Pridané: 28.1.2010 15:56 tiez ma hned na zaciatku napadlo ze sa bude dat identifikovat uzivatelova IP ktory o query ziadal, ale ak som to spravne pochopil tak to bude rozlisovat iba z ktoreho IP bloku to bolo poslane napr 1.2.3.4/24 co na identifikaciu polohy dostatocne staci. Odpovedať Známka: 10.0 Hodnotiť:

Re: google Od: Paranoik | Pridané: 28.1.2010 16:04 Určite majú aj postranné úmysly... Opäť menej anonymity... Hoci tá je s príchodom IPV6 už nadobro odpísaná... S IPV6 bude mať svoju IP adresu už aj tvoja mraznička a google bude sledovať, čo v nej máš... Tých šmejdov zaujíma všetko. Vedia ako to predať... Google suX. Odpovedať Známka: 4.5 Hodnotiť:

Re: google Od: 432864 | Pridané: 28.1.2010 19:02 to aby si uz prestal pouzivat internet.. kedze na vacsine webov su bud adwords alebo analytics tak sa google akosi nemusi spoliehat na zistovanie tvojej IP pomocou DNS servrov.. brain on pls Odpovedať Známka: -2.0 Hodnotiť:

Re: google Od: Paranoik | Pridané: 28.1.2010 20:34 Vidím, že zasa do toho niekto vidí. Voči tomu čo píšeš sa dá účinne brániť. Ale voči odosielaniu IP sa ubrániš len ťažko. Odpovedať Hodnotiť:

Re: google Od: zippy | Pridané: 28.1.2010 23:10 zaujimave. A co NoScript? Odpovedať Hodnotiť:

Re: google Od: lobo | Pridané: 29.1.2010 1:25 no , kedze google si zriadil vlastny DNS 8.8.8.8 tak bude moct dohladat aj uzivatelov ktori browsuju po inych strankach ako tych s AdWords Odpovedať Hodnotiť:

Re: google Od: Paranoik | Pridané: 29.1.2010 12:08 To môže, ale len keď ten jeho DNS budeš používať. A k tomu ťa nikto nenúti. Odpovedať Hodnotiť:

Re: google Od reg.: Hocikto | Pridané: 29.1.2010 9:12 no ale zamysli sa nad tym, ze tvolju IP max zistia len spravcovia web stranky, ktory ju spravuju, a weby, ktore nemaje nejake googlacke skripty a podobne, ale pri dns nemusis byt ani spravca webu, a uz ip lieta v logoch, ze kde prave surfujes. Odpovedať Hodnotiť:

výmenný obchod Od: rastos | Pridané: 28.1.2010 8:20 Takže ja sa vzdám ďalšej časti svojho súkromia a oni budú o pár milisekúnd rýchlejší a navyše hrozí, že ten bližší DNS server bude úmyselne vracať niečo iné ako by som ja chcel. No super. Štve ma už to, že google berie pri do úvahy moju geologickú polohu už pri vyhľadávaní a dá mi iné výsledky ako číňanovi alebo američanovi. Odpovedať Známka: 2.9 Hodnotiť:

Re: výmenný obchod Od: Jano zxcv | Pridané: 28.1.2010 9:02 pouzivaj bing ked sa ti nepaci ze ti google poda viac relevantnejsie vysledky ako iny vyhladavac ;_) Odpovedať Známka: 5.0 Hodnotiť:

Re: výmenný obchod Od reg.: diosko | Pridané: 28.1.2010 12:58 V tomto pripade neposkytuje informacie google, ale DNS server poskytovatela a hierarchicky az root DNS server. Google len chce, aby si napr. Europania chodili na google v EU a nie v USA - co ale aj tak bude nadalej mozne ak zadas do prehliadaca IP adresu USA googlu. Berte to len ako modelovy priklad a nie, ze takto to bude ;-) Odpovedať Známka: 6.7 Hodnotiť:

Re: výmenný obchod Od: risototh | Pridané: 28.1.2010 9:34 Pokial si uz skamenelina, tak urcite mas aj geologicku polohu, ale predpokladam, ze zatial nie, takze tvoja poloha je geograficka :) Odpovedať Známka: 8.6 Hodnotiť:

Re: výmenný obchod Od: rastos | Pridané: 28.1.2010 13:04 Prichytil si ma. Si dobrý ;-). Odpovedať Známka: 7.5 Hodnotiť:

Re: výmenný obchod Od: siirii | Pridané: 28.1.2010 11:08 Geologickú polohu, no Ty si expert :-D A absolútne nechápem, čo Ťa na tom štve, Tebe nejde o relevanciu výsledkov? O čo Ti vlastne ide, keď vyhľadávaš? Odpovedať Známka: 4.3 Hodnotiť:

Re: výmenný obchod Od: rastos | Pridané: 28.1.2010 13:01 Ide mi presne o to, čo som povedal. Chcem rovnaké výsledky ako človek, ktorý sedí v inom meste/krajine/kontinente. Kde je povedané, že chcem výsledky vzťahujúce sa na moju polohu? Od vyhľadávača chcem výsledky vzťahujúce sa na "kľúčové slová, ktoré som zadal". Nie na "kľúčové slová, ktoré som zadal" + "moja poloha". Keby som to chcel, tak svoju polohu pridám ku kľúčovým slovám. Alebo majú dostať Číňania pri vyhľadávaní slova "democracy" niečo iné ako my? Odpovedať Známka: 7.5 Hodnotiť:

DNS google Od: hdhdhhd | Pridané: 28.1.2010 8:20 aale co ... google by chcel priamo identifikovat uzivatela aj za NAT jeho osobnou IP .. hmmm to by sa nam ale robila reklama ze? usita kazdemu na mieru na zaklade ake stranky navstevuje .... dufam ze toto im neprejde ... Odpovedať Známka: 3.0 Hodnotiť:

Re: DNS google Od reg.: Hocikto | Pridané: 28.1.2010 8:40 no tak toto je uplny zasah do sukromia, pomaly budu xciet aj smer odpadoveho kanalu smerovat spravovat, aby vedeli identifikovat, ze ktore hovno je od koho. :)) Odpovedať Známka: 2.9 Hodnotiť:

Re: DNS google Od reg.: cinko | Pridané: 28.1.2010 9:12 vsetko co tu pisete je uplne krasne len vam unika jeden zasadny detail - google nevlastni vsetky dns servre. takze tieto udaje budu ostavat na dns servroch tretich stran - nie googlu. a k tvojej private adrese za NATom sa ani nebudem vyjadrovat. fakt su neskutocne uzitocne udaje mat milion ip adries z rozsahu 192.168.1.0/24 Odpovedať Známka: 6.7 Hodnotiť:

Re: DNS google Od reg.: noobik | Pridané: 28.1.2010 9:24 toto je jediny rozumny prispevok. Vsimol som si ze cinko uz viackrat napisal rozumny komentar. Odpovedať Známka: 7.3 Hodnotiť:

Re: DNS google Od: risototh | Pridané: 28.1.2010 9:38 Nemas pravdu s tym, ze tvoja ip ostane na servery tretej strany. Ak si clanok este raz pozorne precitas, tak zistis, ze to nie je pravda. Z principu fungovania DNS musi prvotnu odpoved vracat autoritativny DNS server, v tomto pripade google. Nasledne na to moze tuto odpoved kesovat neautoritativny server, v tomto pripade spominany ako rekurzivny, cez ktory predkladas dotazy. A pokial ide o tu klientsku ip adresu, oni chcu iba 24 bitov adresy, teda nie celu. Odpovedať Známka: -1.4 Hodnotiť:

Re: DNS google Od reg.: cinko | Pridané: 28.1.2010 9:44 nie tak celkom. tato adresa sa dostane na google dns iba v pripade ze sa pripajas na nejaku domenu patriacu google (teda domenu pre ktoru je autoritativnym servrom nejaky google dns server ). v tom pripade ale ziskaju tvoju public ip tak ci tak - jediny rozdiel bude v tom, ze ju ziskaju este predtym nez ti resolvne domenu. v pripade ze chces ist na dsl.sk tak sa tieto udaje na google servre nedostanu. Odpovedať Známka: 10.0 Hodnotiť:

Re: DNS google Od: risototh | Pridané: 28.1.2010 9:53 No to je samozrejme, ze sa pytam dns serverov googlu iba v pripade domen googlu :) To som pokladal za samozrejmost. Ale stale je tam ten fakt, ze moja ip pre google znama nebude, aspon teda nie cez dns. Bude mu znamych iba 24 bitov z nej, nakolko ip adresa ma 32 bitov. Odpovedať Známka: 10.0 Hodnotiť:

Re: DNS google Od reg.: diosko | Pridané: 28.1.2010 13:02 Toto "Bude mu znamych iba 24 bitov z nej, nakolko ip adresa ma 32 bitov" plati iba pre IPv4. IPv6 ma 128 bitov a potom toho budu vediet este menej ;-) Odpovedať Známka: 5.0 Hodnotiť:

Re: DNS google Od reg.: still | Pridané: 28.1.2010 9:53 Alebo ak používaš Google DNS ;) Odpovedať Známka: 10.0 Hodnotiť:

Re: DNS google Od: ropman | Pridané: 28.1.2010 12:46 privatne adresy to ani nebude posielat... tam ide len o to aby vsetky rekurzivne volane dns servery mali k dispozocii povodnu adresu... o ziadnom narusani sukromia nemoze byt rec. Odpovedať Známka: 3.3 Hodnotiť:

Titulok príspevku musí mať dĺžku aspoň 5 znakov. Od: wery1324tg | Pridané: 28.1.2010 9:06 "kluster"??? to co je za slovo pan Redaktor http://slovnik.juls.savba.sk/?w=kluster&s=exact &c=te77&d=kssj4&d=psp&ie=utf-8&oe=utf-8 (odstranit medzeru za "exact" lebo tento primitivny system nedokaze spracovavat URL) Nič nebolo nájdené. Podobné slová: luster Odpovedať Známka: -5.0 Hodnotiť:

Re: Titulok príspevku musí mať dĺžku aspoň 5 znakov. Od reg.: cinko | Pridané: 28.1.2010 9:13 hmm pan grammar Nazi povedz nam ako to ma byt spravne? lebo nejak ani cluster sa tam nenachadza... Odpovedať Známka: 10.0 Hodnotiť:

Re: Titulok príspevku musí mať dĺžku aspoň 5 znakov. Od reg.: still | Pridané: 28.1.2010 9:14 Začína sa to podobať na slovenčinu, ale v takom prípade som skôr za klaster :) Odpovedať Hodnotiť:

Re: Titulok príspevku musí mať dĺžku aspoň 5 znakov. Od reg.: noobik | Pridané: 28.1.2010 9:19 spravne, my sme zacali po slovensky a node clusteru od HP teraz nazyvame vztycnik strapca od HP. Odpovedať Známka: 8.3 Hodnotiť:

Re: Titulok príspevku musí mať dĺžku aspoň 5 znakov. Od: spooxik | Pridané: 28.1.2010 9:54 moreee co to vztycnik... Odpovedať Hodnotiť:

Statefull DNS Od: jumbo01 | Pridané: 28.1.2010 10:00 Zaujimava myslienka, zial ale zasadne meni podstatu DNS vid http://queue.acm.org/detail.cfm?id=1647302. Osvetli mi niekto dovod preco by som chcel pouzit tento mechanismus namiesto Anycastu podobne ako sa anycastuju root DNS servre? Odpovedať Hodnotiť:

Re: Statefull DNS Od reg.: cinko | Pridané: 28.1.2010 10:11 hmm nerad by som sa mylil ale je tu jeden rozdiel: anycast akurat umoznuje to, ze ti odpovie najblizsi dns server ale nezaruci ze odpoved bude smerovat na najblizsi cielovy server (ergo to ze ti odpovie dns server, ktory je geograficky najblizsie este neznamena, ze v odpovedi bude ip geograficky najblizsieho napr google servru) Odpovedať Známka: 10.0 Hodnotiť:

Re: Statefull DNS Od: jumbo01 | Pridané: 28.1.2010 10:23 Pokial tomu rozumiem spravne tak Anycast nieje viazany na aplikaciu (DNS), teda sa da aplikovat na lubovolny prefix , napr. IPcku WEB servera podobne ako IPcky root DNS. V praxi som to ale este na internete nerobil kedze minimalny subnet ktory sa da advertizovat cez BGP je /24 teda ten Anycast funguje "per subnet" a nie "per IP". Toto vsak si mozu dovolit naimplementovat len dost velke firmy (ako Google) ktore si vytvoria kopu /24 subnetov...... V privatnych sietach ale nieje problem advertizovat /32 prefixy tam sa to robi celkom casto. Odpovedať Hodnotiť:

Re: Statefull DNS Od reg.: cinko | Pridané: 28.1.2010 10:34 hmm no ja som to pochopil tak, ze tato zmena v dns protokole by skor zmenila charakter odpovede. teda anycast by sa dalej pouzival v nezmenenej podobe ale dns servre by mohli brat v uvahu zdrojovu ip pri generovani odpovede. Odpovedať Známka: 10.0 Hodnotiť:

Re: Statefull DNS Od reg.: diosko | Pridané: 28.1.2010 13:07 Dobre pochopenie "ze tato zmena v dns protokole by skor zmenila charakter odpovede" :-) Odpovedať Hodnotiť:

IPv6 ... Od: Uhlik (zmazal sa mi kolacik) | Pridané: 28.1.2010 10:50 uz by sa konecne mohli zacat zaoberat aj problematikou IPv6 a nie este viac rozsirovat umierajuci IPv4 ... Odpovedať Známka: 5.0 Hodnotiť:

Re: IPv6 ... Od reg.: OmeGa | Pridané: 28.1.2010 10:59 tu nejde o rozsirovanie, ale o zrychlovanie, navyse je jedno ci mas ip4 alebo ip6, ide o system dorucovania odpovedi od DNS Odpovedať Hodnotiť:

Re: IPv6 ... Od reg.: diosko | Pridané: 28.1.2010 13:11 Nie je celkom jedno ci je to IPv4 alebo IPv6 lebo pri IPv4 prvych 24 bitov staci na (aspon pribliznu) identifikaciu lokality IP adresy. Pri IPv6 to stacit nebude. Odpovedať Hodnotiť:

Re: IPv6 ... Od: joe07 | Pridané: 28.1.2010 14:36 Praveze bude. IPv6 je navrhnuta, aby uvodne bity urcili lokalitu. Zda sa mi, ze prave 24 bitov je na kontinent Odpovedať Hodnotiť:

Re: IPv6 ... Od reg.: diosko | Pridané: 28.1.2010 16:42 Fajn :-)) Ibaze prvych 24 bitov IPv4 adresy staci na urcenie lokality na stat (uzemie asi ako SK ;-) ) presne alebo este aj presnejsie. IPv6 adresy sa teraz bezne poskytuju "provajdrom" s prefixom /32, takze prvych 24 bitov IPv6 nepovie nic este ani o poskytovatelovy danej IPv6 adresy. Mozno sa vsak mylim ;-) Odpovedať Hodnotiť:

Re: IPv6 ... Od reg.: diosko | Pridané: 28.1.2010 16:47 Fiiiha, pardon. Skrtnite si "o poskytovatelovy" a zamente to retazcom "o poskytovatelovi" ;-) Skoda, ze dsl.sk stale nema "Edit" na prispevok :-( Odpovedať Hodnotiť:

Re: IPv6 ... Od: miso__ | Pridané: 28.1.2010 16:02 Myslim ze oni sa zaoberat IPv6 nemusia kedze Google bola jedna z prvych spolocnosti na svete ktora spustila vsetky svoje sluzby aj na IPv6 o com neskor uverejnili na internete informacie pre motivaciu dalsich firiem. Odpovedať Hodnotiť:

sukromie.... Od reg.: XAPOH | Pridané: 28.1.2010 11:08 No neviem ale ja by som tam radsej daval tu verejnu IP nez IP konkretneho uzivatela viď spomenute NAT. Ale neda mi nespomenut to co som sa v clanku docital. Ta ip nebude plnych 32 ale len 24bit co znamena ze ak ked mame verejnu ip nebude tam cela a je dalsich 253IP ciek ktore su pre server prakticky rovnake... Odpovedať Známka: 5.0 Hodnotiť:

Re: sukromie.... Od: miso__ | Pridané: 28.1.2010 16:04 A naco by bola DNS serveru tvoja vnutorna IP? Ako by zistil podla IP 192.168.0.2 kde sa nachadzas? Odpovedať Hodnotiť:

Re: sukromie.... Od reg.: XAPOH | Pridané: 28.1.2010 20:32 ak si cital celu diskusiu tak pochopis moju reakciu :) Odpovedať Hodnotiť:

Google ... Od: kvako22 | Pridané: 28.1.2010 12:02 dalsi krocik k sledovaniu naroda ... uz im nestaci cookies s nekonecnou zivotnostou ... Odpovedať Známka: -3.3 Hodnotiť:

Re: Google ... Od reg.: cinko | Pridané: 28.1.2010 12:07 ok uz tieto odpovede budem skracovat a myslite si co chcete: si blb, nerozumies tomu Odpovedať Známka: 5.0 Hodnotiť:

Re: Google ... Od: kvako22 | Pridané: 28.1.2010 14:58 cinko,cinko,... ked sa zacnu menit protokoly kvoli google tak sme v riti Odpovedať Známka: -3.3 Hodnotiť:

Re: Google ... Od reg.: cinko | Pridané: 28.1.2010 15:35 skus si nieco precitat o IETF a RFC a potom pis podobne bludy ok? protokoly niesu nemenna zalezitost a ktokolvek (prekvapivo vratane google) moze dat navrh na ich zmenu/doplnenie. Odpovedať Známka: 6.0 Hodnotiť:

Re: Google ... Od reg.: kane777 | Pridané: 28.1.2010 13:14 what ^^he said.. Odpovedať Hodnotiť:

DNS by G00GLE Od: PREY | Pridané: 28.1.2010 18:38 toľko paranoidných ľudí som dávno pokope nevidel...určite si Google bude robiť šťatistiku koľkokrát navštívite youporn, aby vás mohol v prípade potreby zdiskreditovať! Odpovedať Známka: 3.3 Hodnotiť:

Dalsia totalita? Od: Michal Bako | Pridané: 1.2.2010 23:21 Tento napad je 'akoze' dobry, ale podla mna nejde o nic ine, len aby google ziskaval dalsie udaje a v pripade potreby ich vedel pouzit. Stale viac a viac mam pocit, ze informacie z google vyuziva tajna sluzba. Nemam ziadne nekale umysly, ani cinnosti, ale sukromie mam rad a zaznamenavanie dns queries je teda ozaj sila. Odpovedať Hodnotiť:

Pridať komentár