Ir al contenido principal

El servicio más extraño de NIC Chile

Uno de los servicios más extraños que nos ha tocado entregar dentro de NIC Chile desde tiempos históricos, es el de "verificador de la Internet funcionando" ;)

Muchos administradores de red en sus organizaciones, cuando necesitan confirmar que su conexión a Internet está funcionando, hacen una prueba muy sencilla llamada "ping". Este test es básicamente enviar un paquete especial a un servidor determinado, que te responde con una copia del mismo paquete recibido. De hecho, el nombre original del servicio es "eco". Lo de ping es el nombre de una de sus primeras implementaciones, que hacía ese sonido por los parlantes del computador cada vez que tenía una respuesta, al estilo de los sonares de submarinos :) Se trata de  una herramienta sencilla y básica de cualquier administrador de red, que provee una primera prueba de que un sitio remoto es alcanzable.

Imagen © tunnelsup.com, publicada con permiso.

¿Y hacia qué servidor puedo enviar mis ping? En teoría, ¡a cualquiera! El servicio "eco" es prácticamente universal. Pero si uno quiere probar su conexión a Internet, es mejor que sea hacia un sitio estable y que esté siempre arriba, para evitar falsos negativos. Entonces, ¿qué sitio me conviene? Pues nada menos que el sitio web www.nic.cl :)




Desde hace muchos años que somos merecedores del sitio más estable en el país. ¡No por nada nos eligen 8 de cada 10 administradores de red! ;)

Alguna vez llegó a nuestros oídos una historia de una empresa que tenía problemas con su router de acceso a Internet. Al parecer, se les "colgaba" cada cierto tiempo, sin una razón aparente. Como parche, instalaron un monitor que hacía ping a www.nic.cl y le daba un reinicio al router en caso de no poder llegar. Lástima que eso ocurrió hacia fines de la década de 1990s, en que NIC Chile hizo una "renumeración" de sus redes, y la dirección www.nic.cl cambió de número IP. Cuando la antigua dejó de responder, ¡la empresa quedó con un descalabro de horas, por el router reiniciándose una y otra vez! :(

Ahora quisimos medir qué significa este honor, en términos de consumo y tráfico. Para ello obtuvimos una captura de todos los pings hechos hacia www.nic.cl dentro de 1 hora, alrededor del mediodía del martes 9 de julio.

Los resultados confirman la historia: ¡en 1 hora atendimos casi medio millón de pings, dando un promedio de 122 paquetes de red por segundo! Esto no se compara a las consultas DNS por dominios .CL, que en promedio atienden un  aproximado de 3.500 consultas por segundo, pero ocupa un honroso segundo lugar, desplazando al tercero las consultas web a www.nic.cl, que llegan en el mismo lapso a 18 consultas por segundo.

Durante esta hora, fueron 280 las direcciones IP que ocasionaron estas consultas de ping, que representarían la cantidad de lugares en que se utiliza nuestro servicio. Un par de ellas lanzan más de 1 ping por segundo, y alrededor de 30 al menos 1 por segundo. Dentro de los usuarios más frecuentes,  identificamos a servidores de red de los mayores Proveedores de Internet (ISP) del país.

Gráfico con la distribución de solicitudes por IP


El tráfico originado por este servicio es de un promedio de 84k bps, parecido al de un stream de música de alta calidad, por ejemplo. En la hora de captura representó un total de 38 MB de datos.

Por el momento es un uso de recursos modesto, aunque tenemos claro que es difícil escalar en caso de que se escape de las manos. No hay que olvidar que el organismo RIPE, el encargado de administrar los recursos IP y ASN de Europa, tuvo que prohibir el uso de ping hacia www.ripe.net, por el alto tráfico y uso de recursos que les llegó a significar.

En NIC Chile estamos felices y orgullosos de entregar este servicio a la comunidad, y encantados de ser parte de la infraestructura importante del país. Además, es una gran responsabilidad. Sabemos que cualquier interrupción en nuestro servicio significa no solo problemas para los usuarios de nuestro sitio web, sino para los administradores de red de todo el país ;) De todas formas es un servicio del que tenemos conciencia y preocupación de entregar, y lo asumimos como uno más de nuestros desafíos.


Comentarios

  1. Excelente servicio!

    Una cosa interesante que podría ayudar a los sysadmines entusiastas y atentos para no abusar del servicio y evitar un DDoS sobre el sitio de prueba, sería limitar el tipo de consultas ping para que no sea tan invasivo.

    Por ejemplo, en BASH sería algo asi como lo siguiente:

    ```
    PINGC=5;
    LIMITE=5;
    SLEEPC=60;
    CONT=0;

    while [ ${CONT} -lt ${LIMITE} ] ; do
    ping -q -c${PINGC} www.nic.cl &>/dev/null ;
    if [ $? -eq 0 ] ; then
    CONT=0;
    echo "$(date +%F\ %H:%M:%S) - ping OK" ;
    sleep 1 ;
    else
    CONT=$((CONT+1)) ;
    echo "$(date +%F\ %H:%M:%S) - ERROR (secuencia ${CONT} de ${LIMITE})" ;
    fi ;
    done ;
    echo "$(date +%F\ %H:%M:%S) - FATAL (${LIMITE} errores consecutivos). ABORTANDO (# Generar acción)"
    ```

    Saludos!

    ResponderEliminar

Publicar un comentario

Entradas más populares de este blog

Hora de discontinuar SHA-1 en DNSSEC

Con la introducción de DNSSEC se hizo necesario el manejo de "criptografía asimétrica" en el DNS. Para ello se utilizan diversas tecnologías de seguridad como los clásicos algoritmos RSA y DSA, y otras nuevas que se incorporan a medida que van haciéndose prácticas -como las curvas elípticas el año 2012-, y por supuesto otras que deben irse dando de baja en la medida de que nuevas técnicas matemáticas y el avance de la capacidad de procesamiento hacen riesgoso su uso.


DNS sobre TLS: privacidad en el DNS

Privacidad en el DNS
En el sistema de nombres de dominio (DNS) la información de preguntas y respuestas siempre ha viajado "en plano" por la red. Es decir, sin cifrar. Todo lo que se consulta vía DNS puede ser leído por quienes se encuentren en el camino entre un cliente y su "servidor DNS recursivo", por ejemplo los proveedores de Internet (ISPs) y gente que pueda analizar los paquetes de la red.

Desde hace un tiempo que esto se ha visto con preocupación. Siempre se ha dicho que "los datos del DNS son públicos", lo que es cierto, pero lo que alguien esté consultando debiera ser privado. El sitio de alcohólicos anónimos es público, pero debiera ser privado quiénes están consultando por el. Esa es la diferencia.

Se ha trabajado desde distintos lados las mejoras de privacidad, en especial desde IETF, el organismo que estandariza los protocolos en Internet. Hay avances en TLS (también conocido como SSL) y por supuesto también en DNS, donde hay varias técnic…