Ir al contenido principal

El servicio más extraño de NIC Chile

Uno de los servicios más extraños que nos ha tocado entregar dentro de NIC Chile desde tiempos históricos, es el de "verificador de la Internet funcionando" ;)

Muchos administradores de red en sus organizaciones, cuando necesitan confirmar que su conexión a Internet está funcionando, hacen una prueba muy sencilla llamada "ping". Este test es básicamente enviar un paquete especial a un servidor determinado, que te responde con una copia del mismo paquete recibido. De hecho, el nombre original del servicio es "eco". Lo de ping es el nombre de una de sus primeras implementaciones, que hacía ese sonido por los parlantes del computador cada vez que tenía una respuesta, al estilo de los sonares de submarinos :) Se trata de  una herramienta sencilla y básica de cualquier administrador de red, que provee una primera prueba de que un sitio remoto es alcanzable.

Imagen © tunnelsup.com, publicada con permiso.

¿Y hacia qué servidor puedo enviar mis ping? En teoría, ¡a cualquiera! El servicio "eco" es prácticamente universal. Pero si uno quiere probar su conexión a Internet, es mejor que sea hacia un sitio estable y que esté siempre arriba, para evitar falsos negativos. Entonces, ¿qué sitio me conviene? Pues nada menos que el sitio web www.nic.cl :)




Desde hace muchos años que somos merecedores del sitio más estable en el país. ¡No por nada nos eligen 8 de cada 10 administradores de red! ;)

Alguna vez llegó a nuestros oídos una historia de una empresa que tenía problemas con su router de acceso a Internet. Al parecer, se les "colgaba" cada cierto tiempo, sin una razón aparente. Como parche, instalaron un monitor que hacía ping a www.nic.cl y le daba un reinicio al router en caso de no poder llegar. Lástima que eso ocurrió hacia fines de la década de 1990s, en que NIC Chile hizo una "renumeración" de sus redes, y la dirección www.nic.cl cambió de número IP. Cuando la antigua dejó de responder, ¡la empresa quedó con un descalabro de horas, por el router reiniciándose una y otra vez! :(

Ahora quisimos medir qué significa este honor, en términos de consumo y tráfico. Para ello obtuvimos una captura de todos los pings hechos hacia www.nic.cl dentro de 1 hora, alrededor del mediodía del martes 9 de julio.

Los resultados confirman la historia: ¡en 1 hora atendimos casi medio millón de pings, dando un promedio de 122 paquetes de red por segundo! Esto no se compara a las consultas DNS por dominios .CL, que en promedio atienden un  aproximado de 3.500 consultas por segundo, pero ocupa un honroso segundo lugar, desplazando al tercero las consultas web a www.nic.cl, que llegan en el mismo lapso a 18 consultas por segundo.

Durante esta hora, fueron 280 las direcciones IP que ocasionaron estas consultas de ping, que representarían la cantidad de lugares en que se utiliza nuestro servicio. Un par de ellas lanzan más de 1 ping por segundo, y alrededor de 30 al menos 1 por segundo. Dentro de los usuarios más frecuentes,  identificamos a servidores de red de los mayores Proveedores de Internet (ISP) del país.

Gráfico con la distribución de solicitudes por IP


El tráfico originado por este servicio es de un promedio de 84k bps, parecido al de un stream de música de alta calidad, por ejemplo. En la hora de captura representó un total de 38 MB de datos.

Por el momento es un uso de recursos modesto, aunque tenemos claro que es difícil escalar en caso de que se escape de las manos. No hay que olvidar que el organismo RIPE, el encargado de administrar los recursos IP y ASN de Europa, tuvo que prohibir el uso de ping hacia www.ripe.net, por el alto tráfico y uso de recursos que les llegó a significar.

En NIC Chile estamos felices y orgullosos de entregar este servicio a la comunidad, y encantados de ser parte de la infraestructura importante del país. Además, es una gran responsabilidad. Sabemos que cualquier interrupción en nuestro servicio significa no solo problemas para los usuarios de nuestro sitio web, sino para los administradores de red de todo el país ;) De todas formas es un servicio del que tenemos conciencia y preocupación de entregar, y lo asumimos como uno más de nuestros desafíos.


Comentarios

  1. Excelente servicio!

    Una cosa interesante que podría ayudar a los sysadmines entusiastas y atentos para no abusar del servicio y evitar un DDoS sobre el sitio de prueba, sería limitar el tipo de consultas ping para que no sea tan invasivo.

    Por ejemplo, en BASH sería algo asi como lo siguiente:

    ```
    PINGC=5;
    LIMITE=5;
    SLEEPC=60;
    CONT=0;

    while [ ${CONT} -lt ${LIMITE} ] ; do
    ping -q -c${PINGC} www.nic.cl &>/dev/null ;
    if [ $? -eq 0 ] ; then
    CONT=0;
    echo "$(date +%F\ %H:%M:%S) - ping OK" ;
    sleep 1 ;
    else
    CONT=$((CONT+1)) ;
    echo "$(date +%F\ %H:%M:%S) - ERROR (secuencia ${CONT} de ${LIMITE})" ;
    fi ;
    done ;
    echo "$(date +%F\ %H:%M:%S) - FATAL (${LIMITE} errores consecutivos). ABORTANDO (# Generar acción)"
    ```

    Saludos!

    ResponderEliminar

Publicar un comentario

Entradas más populares de este blog

DNS Flag Day: el fin de los parches provisorios para EDNS

El próximo 1° de febrero de 2019, los cuatro principales proveedores de software para DNS recursivos -Bind, Unbound, PowerDNS y Knot- realizarán un lanzamiento conjunto de nuevas versiones de sus sistemas con una característica en común: el fin de parches provisorios históricos que perdonaban ciertas conductas desviadas del estándar en los servidores DNS autoritativos.

Estas conductas incorrectas según el estándar EDNS ("Extensiones al DNS", disponibles desde 1999 en los RFC2671, actualizado por RFC6891) incluyen la falta de respuesta, encendido de bits incorrectos, demoras en respuesta, etc.; y se suman a ciertos dispositivos en el camino (firewalls, IDS, middleboxes, etc.) que descartan algunos paquetes DNS porque no calzan con la implementacion de DNS que conocen.

Estos problemas fuerzan actualmente a los DNS "resolvers" a implementar una serie de trucos para poder lidiar con muchos casos de borde. Estos trucos ocasionaban un aumento de complejidad en el código …

Cómo aguantar ataques DoS sobre tu DNS usando DNSSEC

Durante el año 2014 estuvo de moda un ataque de denegación de servicio (DDoS) sobre servidores DNS autoritativos llamado "random subdomain attack", donde el atacante orquesta una gran cantidad de servidores DNS recursivos y envía solicitudes normales de resolución de una enorme cantidad de subdominios inexistentes del dominio víctima.

De esta manera, si lo que quiero es atacar el nombre de dominio "ejemplo.cl", envío una gran cantidad de solicitudes de resolución a cientos o miles de (open) resolvers DNS por los nombres "kePhu5ieHui5eaBa.ejemplo.cl", "ieGie4eoEeb9Iwae.ejemplo.cl", etc. Los resolvers, al no tener este nombre en sus cachés, envían la consulta a los autoritativos de "ejemplo.cl", el que al verse amplificado por la capacidad de estos resolvers y el número de ellos, se ve sobrecargado de consultas y tráfico.

En ese momento se tomaron diversos mecanismos para soportar este ataque, algunos fuera del DNS como inspectores de pa…