Ir al contenido principal

El servicio más extraño de NIC Chile

Uno de los servicios más extraños que nos ha tocado entregar dentro de NIC Chile desde tiempos históricos, es el de "verificador de la Internet funcionando" ;)

Muchos administradores de red en sus organizaciones, cuando necesitan confirmar que su conexión a Internet está funcionando, hacen una prueba muy sencilla llamada "ping". Este test es básicamente enviar un paquete especial a un servidor determinado, que te responde con una copia del mismo paquete recibido. De hecho, el nombre original del servicio es "eco". Lo de ping es el nombre de una de sus primeras implementaciones, que hacía ese sonido por los parlantes del computador cada vez que tenía una respuesta, al estilo de los sonares de submarinos :) Se trata de  una herramienta sencilla y básica de cualquier administrador de red, que provee una primera prueba de que un sitio remoto es alcanzable.

Imagen © tunnelsup.com, publicada con permiso.

¿Y hacia qué servidor puedo enviar mis ping? En teoría, ¡a cualquiera! El servicio "eco" es prácticamente universal. Pero si uno quiere probar su conexión a Internet, es mejor que sea hacia un sitio estable y que esté siempre arriba, para evitar falsos negativos. Entonces, ¿qué sitio me conviene? Pues nada menos que el sitio web www.nic.cl :)




Desde hace muchos años que somos merecedores del sitio más estable en el país. ¡No por nada nos eligen 8 de cada 10 administradores de red! ;)

Alguna vez llegó a nuestros oídos una historia de una empresa que tenía problemas con su router de acceso a Internet. Al parecer, se les "colgaba" cada cierto tiempo, sin una razón aparente. Como parche, instalaron un monitor que hacía ping a www.nic.cl y le daba un reinicio al router en caso de no poder llegar. Lástima que eso ocurrió hacia fines de la década de 1990s, en que NIC Chile hizo una "renumeración" de sus redes, y la dirección www.nic.cl cambió de número IP. Cuando la antigua dejó de responder, ¡la empresa quedó con un descalabro de horas, por el router reiniciándose una y otra vez! :(

Ahora quisimos medir qué significa este honor, en términos de consumo y tráfico. Para ello obtuvimos una captura de todos los pings hechos hacia www.nic.cl dentro de 1 hora, alrededor del mediodía del martes 9 de julio.

Los resultados confirman la historia: ¡en 1 hora atendimos casi medio millón de pings, dando un promedio de 122 paquetes de red por segundo! Esto no se compara a las consultas DNS por dominios .CL, que en promedio atienden un  aproximado de 3.500 consultas por segundo, pero ocupa un honroso segundo lugar, desplazando al tercero las consultas web a www.nic.cl, que llegan en el mismo lapso a 18 consultas por segundo.

Durante esta hora, fueron 280 las direcciones IP que ocasionaron estas consultas de ping, que representarían la cantidad de lugares en que se utiliza nuestro servicio. Un par de ellas lanzan más de 1 ping por segundo, y alrededor de 30 al menos 1 por segundo. Dentro de los usuarios más frecuentes,  identificamos a servidores de red de los mayores Proveedores de Internet (ISP) del país.

Gráfico con la distribución de solicitudes por IP


El tráfico originado por este servicio es de un promedio de 84k bps, parecido al de un stream de música de alta calidad, por ejemplo. En la hora de captura representó un total de 38 MB de datos.

Por el momento es un uso de recursos modesto, aunque tenemos claro que es difícil escalar en caso de que se escape de las manos. No hay que olvidar que el organismo RIPE, el encargado de administrar los recursos IP y ASN de Europa, tuvo que prohibir el uso de ping hacia www.ripe.net, por el alto tráfico y uso de recursos que les llegó a significar.

En NIC Chile estamos felices y orgullosos de entregar este servicio a la comunidad, y encantados de ser parte de la infraestructura importante del país. Además, es una gran responsabilidad. Sabemos que cualquier interrupción en nuestro servicio significa no solo problemas para los usuarios de nuestro sitio web, sino para los administradores de red de todo el país ;) De todas formas es un servicio del que tenemos conciencia y preocupación de entregar, y lo asumimos como uno más de nuestros desafíos.


Comentarios

  1. Excelente servicio!

    Una cosa interesante que podría ayudar a los sysadmines entusiastas y atentos para no abusar del servicio y evitar un DDoS sobre el sitio de prueba, sería limitar el tipo de consultas ping para que no sea tan invasivo.

    Por ejemplo, en BASH sería algo asi como lo siguiente:

    ```
    PINGC=5;
    LIMITE=5;
    SLEEPC=60;
    CONT=0;

    while [ ${CONT} -lt ${LIMITE} ] ; do
    ping -q -c${PINGC} www.nic.cl &>/dev/null ;
    if [ $? -eq 0 ] ; then
    CONT=0;
    echo "$(date +%F\ %H:%M:%S) - ping OK" ;
    sleep 1 ;
    else
    CONT=$((CONT+1)) ;
    echo "$(date +%F\ %H:%M:%S) - ERROR (secuencia ${CONT} de ${LIMITE})" ;
    fi ;
    done ;
    echo "$(date +%F\ %H:%M:%S) - FATAL (${LIMITE} errores consecutivos). ABORTANDO (# Generar acción)"
    ```

    Saludos!

    ResponderBorrar

Entradas más populares de este blog

Uso correcto del servicio DNS secundario gratuito

NIC Chile desde hace más de 20 años ha ofrecido el servicio de " Secundario DNS gratuito " para sus clientes. El objetivo siempre fue mejorar la robustez de .CL, ya que disponer de solo 1 NS es demasiado frágil, y este servicio siempre se ha mantenido con los niveles de infraestructura y tiempos de respuesta adecuados a su tiempo. El uso del servicio ha sido sostenido en el tiempo. Actualmente, más de 30 mil de nuestros clientes lo utilizan! Y con la adición de tecnologías como IPv6, se ha permitido que estos miles de dominios CL tengan presencia en la nueva red . Sin embargo, no todo es miel sobre hojuelas. Desde los inicios se ha detectado un problema técnico recurrente. El uso de este servicio, si bien es gratuito para clientes de NIC Chile, requiere una configuración técnica especial para que funcione correctamente. Y esta configuración debe ser realizada por quien administre el servicio DNS del dominio (por ejemplo la empresa de hospedaje (" host

dns-tools: herramienta para verificar zonas (ZONEMD) y firmar DNSSEC en forma distribuida

Actualmente existen diversas soluciones que permiten automatizar la firma DNSSEC de los dominios, integrados a los mismos servicios que normalmente proveen DNS. En el ámbito de código abierto, los más utilizados permiten activar DNSSEC con algunas instrucciones en la configuración, sin preocuparse de llaves ni firmas. Sin embargo, siempre es bueno tener herramientas que permitan hacer verificaciones o incluso firmas de una forma más de bajo nivel. Suelen ocurrir casos de uso donde alguien prefiere tener más control, o integrarse con sistemas internos no estándar. Les presentamos  dns-tools , una herramienta de línea de comandos (CLI), escrita en lenguaje Go, que permite firmar con DNSSEC una zona, crear registros de  integridad  de zona llamados ZONEMD, y a su vez validar estas firmas y registros. Esta herramienta fue creada por NICLabs , el laboratorio de NIC Chile. Es mantenida con código abierto en github , con licencia MIT. Una de las cosas más destacadas, y que lo hace una herrami

DNS sobre TLS: privacidad en el DNS

Privacidad en el DNS En el sistema de nombres de dominio (DNS) la información de preguntas y respuestas siempre ha viajado "en plano" por la red. Es decir, sin cifrar. Todo lo que se consulta vía DNS puede ser leído por quienes se encuentren en el camino entre un cliente y su "servidor DNS recursivo", por ejemplo los proveedores de Internet (ISPs) y gente que pueda analizar los paquetes de la red. Desde hace un tiempo que esto se ha visto con preocupación. Siempre se ha dicho que "los datos del DNS son públicos", lo que es cierto, pero lo que alguien esté consultando debiera ser privado. El sitio de alcohólicos anónimos es público, pero debiera ser privado quiénes están consultando por el. Esa es la diferencia. Se ha trabajado desde distintos lados las mejoras de privacidad, en especial desde IETF, el organismo que estandariza los protocolos en Internet. Hay avances en TLS (también conocido como SSL) y por supuesto también en DNS, donde hay varias t