RELATÓRIO SOBRE A SITUAÇÃO DE DISPONIBILIDADE DE DNS VOLUME 1 EDIÇÃO 1 ABRIL DE 2011 SITES DA WEB E OUTROS SERVIÇOS ONLINE ESTÃO ENTRE AS MAIS IMPORTANTES FERRAMENTAS OPERACIONAIS E DE GERAÇÃO DE RECEITA PARA EMPRESAS DE QUALQUER PORTE E SETOR. CONSEQUENTEMENTE, O FOCO NUNCA ESTEVE TÃO CENTRADO NA QUESTÃO DO DESEMPENHO DE REDE COMO AGORA. NO ENTANTO, UM DOS ELEMENTOS MAIS CRÍTICOS EM RELAÇÃO A UMA INFRAESTRUTURA DE INTERNET CONFIÁVEL, O SISTEMA DE NOMES DE DOMÍNIO (DNS), É MUITAS VEZES ESQUECIDO QUANDO SE TRATA DE MONITORAMENTO DE DESEMPENHO. NA QUALIDADE DE AUTORIDADE EM INTELIGÊNCIA E DISPONIBILIDADE DE REDE, A VERISIGN CRIOU ESSE RELATÓRIO PARA AJUDAR A COMPREENDER E QUANTIFICAR A EXTENSÃO DA DISPONIBILIDADE DE DNS NA INTERNET E OS IMPACTOS POTENCIAIS DE TEMPOS DE INATIVIDADE (PARALISAÇÕES). VerisignInc.com
RELATÓRIO SOBRE A SITUAÇÃO DE DISPONIBILIDADE DE DNS SUMÁRIO EXECUTIVO Em um estudo de mercado recente i encomendado pela Verisign, 60% dos entrevistados afirmam que pelo menos um quarto da receita de suas empresas provém diretamente do site. Este índice foi ainda mais alto para pequenas e médias empresas que dependem decisivamente de seus sites para a geração de receitas e a presença no mercado. Para uma empresa funcionar sem problemas, sua rede tem que funcionar perfeitamente, e para sua rede funcionar perfeitamente, seu DNS deve estar disponível em todos os momentos. De acordo com Jennifer Pigg, analista e vice-presidente do Yankee Group, ii Cada vez mais, as organizações se apoiam no comércio eletrônico como fluxo de receita principal ou primário, e dependem de sua rede externa para funções corporativas de missão crítica, como atendimento ao cliente, vendas e suporte. Elas constataram que não podem se permitir uma paralisação ou violação de segurança do DNS. No entanto, nesta edição inaugural do Relatório Sobre a Situação de Disponibilidade de DNS da Verisign, constatamos que, no primeiro trimestre de 2011, a disponibilidade de DNS foi um problema mesmo para os sites de comércio eletrônico mais cotados. Nossa análise de uma amostra global de sites da Web revelou que, quando ocorrem problemas de disponibilidade, os sites que hospedam seus próprios DNS (característico para a maioria das empresas hoje em dia) são muito mais atingidos do que aqueles que utilizam DNS gerenciados por terceiros. Este relatório analisa e quantifica a extensão dos problemas de disponibilidade de DNS global, e esclarece os riscos e impactos que uma paralisação pode ter sobre a geração de receita, continuidade de negócios, fidelidade dos clientes, etc. DNS: PONTO ÚNICO DE FALHA Um nome de domínio é a chave para praticamente qualquer ação na Internet, seja esta a criação de um site, o envio e recebimento de e-mail ou a construção de uma loja online. Hoje existem mais de 200 milhões de nomes de domínio registrados. iii O DNS, que suporta esses domínios, é o motor que torna a Internet simples e acessível para usuários no mundo inteiro. O DNS assegura a disponibilidade de sites, e-mail e sistemas da Web por meio do mapeamento de nomes de domínio a endereços IP (Protocolo de Internet). Cada servidor na Internet tem um endereço IP, que é representado por uma série de números e letras, por exemplo, 123.45.67.254 (IPv4) ou 2001:503:A83:0:0:2:30 (IPv6). Mas, assim como números de telefone, essas longas séries de números e letras podem ser difíceis de lembrar. O DNS permite às pessoas digitarem nomes - ou marcas - em um navegador, em vez de uma sequência de números e letras, para acessar sites da Web e enviar mensagens de e-mail. Assim, o DNS efetivamente serve como a porta de entrada para usuários e clientes a qualquer site da Web. O processo inteiro geralmente acontece em alguns décimos de segundo e é transparente para o usuário final. Durante uma falha do DNS, no entanto, os visitantes normalmente recebem uma mensagem de erro e não podem acessar o site. Este tempo de inatividade (ou paralisação), muitas vezes causa frustração nos visitantes, que passam para um outro site, resultando na perda da lealdade do cliente e reputação da marca, bem em como efeitos imediatos e residuais sobre as vendas e a produtividade dos funcionários. Além disso, com o crescimento dos serviços Web, cada vez mais sites dependem de provedores de serviços Web terceirizados para funcionalidade e conteúdo adicional, por exemplo, sites de mídia social e/ou portais de vendas. A paralisação do DNS nesses sites de terceiros pode ter um impacto negativo nas operações comerciais. 2
Os serviços voltados à rede tornaram-se mais essenciais para quase todas as empresas, e as empresas muitas vezes esquecem que a sua presença na Internet é apenas tão disponível e segura quanto a sua infraestrutura de DNS, disse Lydia Leong, analista da Gartner. iv VISÃO GERAL DA PESQUISA Metodologia A ThousandEyes, analista de rede e provedora de soluções de planejamento, foi contratada para controlar uma amostra diversificada de nomes de domínio (os 1.000 sites mais importantes classificados por Alexa) quanto à disponibilidade de DNS. Usando um modelo proprietário, a empresa monitorou cada um dos sites uma vez por hora durante os últimos sete dias de janeiro, fevereiro e março de 2011. Cada um dos resolvedores de DNS usados para o monitoramento foi submetido a testes sistemáticos para garantir que seguissem o padrão de resolução de DNS e não apresentassem qualquer comportamento anormal ou não confiável. Dos 1.000 sites Alexa, oito foram excluídos porque pararam de responder durante o teste, restando um total de 992 sites para coleta de dados. Destes 992 sites, o DNS para 142 sites (14%) foi operado por provedores de DNS hospedado conhecidos, enquanto o DNS para 47 sites (5%) foi operado por provedores de CDN conhecidos. O DNS foi considerado indisponível apenas quando uma resposta do resolvedor foi um dos seguintes códigos de erro de DNS conhecidos: Servfail, Nxdomain, sem mapeamento OU truncado. Para a análise dos dados, os domínios da amostra foram classificados em duas categorias: 1) Aqueles que operam o seu próprio DNS, e 2) Aqueles que operam DNS hospedado por provedores. Foram registradas a disponibilidade mínima, média e máxima para todos os domínios em cada categoria. Note-se que o DNS é um pouco difícil de testar quanto ao desempenho uma vez que existem muitos elementos em movimento. Os resultados podem depender de diversas variáveis, como se o servidor tem uma entrada de cache, a distância de um indivíduo do servidor de DNS, a distância do servidor de DNS dos outros servidores, etc. Para ajudar a mitigar tais questões, foram efetuados testes contínuos e coletas de dados em intervalos regulares. Resultados Embora a disponibilidade média de domínios e tempo para sites com DNS gerenciado internamente pareça bastante próxima daquela com DNS gerenciados por terceiros, qualquer tempo de inatividade pode ter impactos reais e duradouros sobre o resultado financeiro. Os possíveis efeitos dessa diferença, aparentemente mínima, são ilustrados na próxima seção. Uma disparidade gritante é observada em relação à disponibilidade mínima (Figura 1). Por este critério, os sites que utilizam DNS próprio são muito mais atingidos do que os sites que utilizam um serviço de DNS gerenciado. Para melhor examinar este aspecto, a distribuição da disponibilidade mínima para todos os sites com DNS gerenciado internamente (Figura 2) e com DNS de provedor foi representada graficamente (Figura 3). Figura 1: Comparação - Disponibilidade mínima de DNS Disponibilidade mínima (média de domínios) Disponibilidade máxima (média de domínios) Disponibilidade (média de domínios e tempo) Figura 2: Disponibilidade mínima de DNS para sites que hospedam o próprio DNS Disponibilidade mín. 0-100% 120 100 80 60 40 20 0 DNS gerenciado internamente DNS gerenciado por provedor Global US Global EUA 90,13 89,17 98,04 97,71 99,98 99,99 99,99 100 99,7 99,85 99,85 99,94 1 101 201 301 401 501 601 701 801 ID de domínio 3
Figura 3: Disponibilidade mínima de DNS para sites que usam DNS de provedor Disponibilidade mín. 0-100% 120 100 80 60 40 20 0 1 21 41 61 81 101 121 141 ID de domínio Os dois índices acima mostram que a disponibilidade de DNS pode cair até zero para sites que hospedam o seu próprio DNS em comparação com os sites que usam DNS de provedor, cuja disponibilidade nunca foi inferior a 50%. Este resultado se deve provavelmente ao fato de que os provedores de DNS identificados usam um serviço de resolução anycast, onde haja sempre um servidor disponível em algum lugar para responder a consultas de DNS. Neste caso, o usuário final não é muito afetado, mesmo se algumas instâncias físicas de anycast falham ou ficam inacessíveis. Um provedor usa um modelo híbrido de resolução anycast e unicast, que oferece a combinação ideal de desempenho e confiabilidade para consultas e respostas de DNS. O possível motivo de uma discrepância tão grande pode ser o fato de que a maioria das empresas não têm os recursos e a experiência para instalar tais sistemas extensivos para o seu DNS gerenciado internamente. O QUE TUDO ISSO SIGNIFICA? Com a crescente dependência da presença online para marketing, atendimento ao cliente, geração de receitas, e outras atividades, qualquer tempo de inatividade tem um impacto real e duradouro sobre o resultado financeiro de uma empresa. O exemplo a seguir usa os dados coletados para este relatório para ilustrar como um tempo de inatividade aparentemente curto pode afetar os negócios. Partindo do princípio que o tráfego seja uniforme durante um período de 24 horas para todos os sites analisados neste estudo, eis aqui alguns exemplos baseados nos dados de disponibilidade média, mínima e máxima coletados. Exemplo: Mega Online Advertising A empresa Mega Online Advertising alcançou receitas publicitárias de cerca de 796 milhões de dólares para o primeiro trimestre de 2011. O trimestre tem 90 dias, resultando em uma receita publicitária média de 8,84 milhões de dólares por dia, ou aproximadamente 100 dólares por segundo. Uma paralisação de DNS de uma hora custa cerca de 368,519 dólares. Um tempo de atividade de 99,70%, indicado neste estudo como amostra de disponibilidade média de DNS para domínios globais gerenciados internamente, resultaria em uma perda de aproximadamente 26.534 dólares por dia, ou 2.388.033 dólares no trimestre. Isto representa uma perda duas vezes mais do que teria sido com um serviço de DNS gerenciado, com base nos dados de disponibilidade média deste estudo (99,85%). Em vista desses resultados, seria prudente para a Mega Online Advertising considerar a escolha de um provedor de serviço de DNS com um histórico de alta disponibilidade para reduzir seu risco de paralisações. Embora este exemplo seja muito simplificado e a empresa seja fictícia, os números usados para calcular os impactos podem ser atribuídos a empresas muito reais no setor representado. Tendo em conta que várias empresas incluídas na pesquisa com DNS gerenciados internamente tiveram paralisações totais por diferentes períodos de tempo durante este estudo, é fácil constatar como os impactos da perda de receita, insatisfação de clientes e perda de produtividade podem aumentar rapidamente, atingindo medidas catastróficas para empresas que dependem de seu site e da presença na rede para as operações comerciais. Na melhor das hipóteses, há vários estorvos iminentes no âmbito das relações públicas, que podem ser evitados com bom planejamento e apoio. 4
CONCLUSÃO As empresas têm três opções na decisão sobre como gerenciar seus requisitos de DNS: Realizar tudo internamente Confiar em seu provedor de serviços de Internet (ISP) Fazer parceira com um provedor de serviços de DNS gerenciado Segundo o Yankee Group, a maioria das empresas gerencia os requisitos de DNS internamente ou através de seus ISP.v Muitos, de fato, utilizam os dois, mantendo o gerenciamento de DNS a cargo de sua rede interna e usando o ISP para gerenciar seu ecossistema externo na Internet, composto de clientes, parceiros de negócios, sites, portais da empresa e sites de comércio eletrônico. Isto é suportado pelos dados apresentados neste relatório, que mostra que quase três quartos da amostra gerencia o seu próprio DNS No entanto, o Yankee Group estima que mais de 85% das empresas com DNS próprio não têm uma equipe de DNS especializada, gerenciando seu DNS de modo improvisado, com conhecimentos limitados e poucos processos operacionais definidos. Além disso, uma vez que o gerenciamento de DNS não é a função principal de um ISP, o desempenho do DNS pode ser prejudicado para aqueles que confiam em seu ISP para gerenciar o DNS. Os dados coletados para este relatório apoiam esta afirmação, revelando discrepâncias significativas entre a disponibilidade de DNS de sites para DNS gerenciado internamente em comparação a DNS gerenciado por provedor. Tendências como computação em nuvem, força de trabalho móvel e proliferação de dispositivo estão acentuando a pressão sobre o gerenciamento de DNS e infraestrutura de TI, disse Ben Petro, vice-presidente sênior do grupo de Inteligência de Rede e Disponibilidade da VeriSign. Por isso, ele diz que a maioria das organizações lutam para manter a alta disponibilidade destes sistemas. À medida que as empresas migram para alternativas baseadas em nuvem para aplicativos, armazenamento e serviços, o gerenciamento de DNS fica mais complicado e surgem novas questões de segurança e desafios. Os provedores de serviços de DNS gerenciado têm ferramentas e recursos que ajudam a proteger a rede, melhorar a disponibilidade e aumentar o desempenho. Na maioria dos casos, as empresas não dispõem de recursos para duplicar tal desempenho por conta própria. As empresas devem equilibrar o grau de controle que gostariam de exercer sobre o seu sistema de DNS com os respectivos custos e disponibilidade dos recursos. Um gerenciamento de DNS abrangente requer um planejamento cuidadoso, sólida experiência e recursos consideráveis. Infelizmente, a maioria das empresas não reconhece as deficiências na infraestrutura de DNS existente, até que seja tarde demais ou já tenham sofrido a perda de produtividade ou receita. VERISIGN MANAGED DNS A resposta para o gerenciamento eficaz de DNS reside em usar um serviço em nuvem, distribuído globalmente e gerenciado com segurança, como o Verisign Managed DNS, para ajudar a garantir a disponibilidade e permitir às empresas poupar custos de capital e operação, associados à implementação e ao gerenciamento da infraestrutura de DNS. O Verisign Managed DNS usa um modelo híbrido de resolução anycast e unicast, que oferece a combinação ideal de desempenho e confiabilidade para consultas e respostas de DNS. A Verisign tem uma longa tradição de liderança em DNS. A empresa gerenciou o DNS para domínios de nível superior (TLD) incluindo.com,.net,.gov,.edu,.tv,.cc,.jobs e.name com tempo de atividade recorde para qualquer registro e resolve uma média de 60 bilhões de consultas de DNS todos os dias com 100% de precisão. Para preencher os requisitos excepcionais na operação de.com e.net, a Verisign desenvolveu seu próprio servidor de nomes denominado ATLAS (Advanced Transaction Lookup and Signaling System, Sistema de Sinalização e Busca de Transação Avançada), que gerencia o tráfego DNS com mais rapidez e eficiência que qualquer outra opção disponível no mercado. 5
Para fornecer redundância e velocidade, a Verisign opera 17 sites de grande resolução em todo o mundo, em importantes hubs de Internet na América do Norte, Europa e Ásia, além de outras dezenas de Sites Regionais de Resolução de Internet (RIRS) no mundo inteiro, que oferecem uma resolução de alta velocidade aos países tradicionalmente deficientes. Esta constelação de servidores de nomes é mantida, monitorada e gerenciada pela equipe de especialistas em DNS, mitigação de DDoS e inteligência de segurança da Verisign. Cada servidor da constelação encontra-se bem conectado com elevada largura de banda e rigorosos controles de segurança. A mesma infraestrutura e experiência que suporta maiores TLDs do mundo foi estendida aos clientes por meio do pacote de serviços Verisign, que inclui Managed DNS, proteção contra DDoS e inteligência de segurança idefense. Para mais informações sobre o pacote de serviços Verisign, visite www.verisigninc.com. SOBRE A VERISIGN Verisign é o provedor confiável de serviços de infraestrutura de Internet para o mundo digital. Bilhões de vezes por dia, empresas e consumidores contam com a nossa infraestrutura de Internet para se comunicar e realizar transações com segurança. i White paper da Verisign. Negação de Serviço Distribuído: Finalmente recebendo a atenção que merece. Maio de 2011. ii Yankee Group. DNS: Risk, Reward and Managed Services (DNS: Risco, Recompensa e Serviços Gerenciados). Fev. de 2011. iii Verisign Domain Name Industry Brief (Dossiê sobre o mercado de domínios), fevereiro de 2011 iv Comunicado à imprensa da Verisign. Verisign Launches Managed DNS to Help Companies Reduce Costly Downtime and Simplify DNS Management (Verisign lança o Managed DNS para ajudar as empresas a reduzir tempos de inatividade e simplificar o gerenciamento de DNS). 11 de agosto de 2010 v Yankee Group. DNS: Risk, Reward and Managed Services (DNS: Risco, Recompensa e Serviços Gerenciados). Fev. de 2011. VerisignInc.com 2011 VeriSign, Inc. Todos os direitos reservados. VERISIGN e outras marcas comerciais, marcas de serviços e designs são marcas comerciais registradas ou não registradas da VeriSign, Inc. e suas subsidiárias nos Estados Unidos da América e em outros países. Todas as outras marcas comerciais são propriedade dos seus respectivos titulares. 6
PERFIL DOS ATAQUE A DNS O DNS foi desenvolvido há muitos anos, quando a preocupação maior era a eficiência e não a segurança. Como resultado, tornou-se um dos principais alvos de sequestro de sites da Web e de uma variedade de atividades ilícitas para a obtenção de informações sensíveis. Todas as organizações com uma presença na Web estão expostas a ataques de DNS e, por isso, devem saber como eles funcionam e como evitá-los. Envenenamento do cache de DNS O envenenamento do cache de DNS ocorre quando um agente mal-intencionado altera o endereço IP de um determinado registro em um servidor DNS recursivo, enviando uma grande quantidade de respostas falsas, simulando ser o servidor autoritário, enquanto o servidor recursivo está aguardando a resposta do servidor autoritário real. Isso engana o servidor recursivo para que disponibilize e efetue o cache da resposta falsa para os usuários finais de consulta. Uma implementação completa das extensões de segurança de DNS (DNSSEC) protege contra esse tipo de ataque. Ainda é necessário muito trabalho dos registradores, ISPs e empresas para conseguir a completa implementação de DNSSEC, mas a recente assinatura da zona.com pela Verisign foi um grande passo na solução desta vulnerabilidade do DNS. Ataque de amplificação e reflexão de DNS A amplificação e reflexão de DNS é essencialmente um ataque de negação de serviço distribuído destinado a servidores DNS. Uma solicitação de DNS normal tem cerca de 100 bytes, e a resposta tem algo entre 200 e 400 bytes. Uma resposta de DNS mais extensa pode ter entre 500 e 4.000 bytes de informação. Os ataques de amplificação de DNS mascaram o endereço de origem para um grande número de consultas de DNS enviadas a servidores DNS válidos. O endereço falsificado é aquele do alvo de ataque. Os servidores de DNS legítimos participam (involuntariamente) do ataque, enviando um grande número de respostas de DNS extensas para o IP da vítima. Inanição de recursos ou ataque direto O tipo mais fácil de ataque é encontrar um botnet grande de PCs sequestrados e dirigir um fluxo enorme de consultas recursivas de DNS ao servidor DNS autoritário em mira. Adicionalmente, o atacante falsifica o endereço IP de origem do pacote solicitante, fingindo ser de um servidor de DNS recursivo legítimo (um servidor conhecido, que tenha muitos usuários finais). O alvo do ataque não pode simplesmente impedir a recepção desses pacotes por firewall, pois eles estão misturados com consultas legítimas provenientes daquele servidor recursivo. Ataque de modificação de dados O envenenamento do cache não é o único método para modificar dados de DNS. Muitos ataques têm sido bem sucedidos no redirecionamento do tráfego legítimo para sites falsos ao comprometer a conta do registrador da empresa de alvo e alterar seus registros de DNS para apontar para registros de DNS fraudulentos. Os dados de DNS também podem ser modificados diretamente no servidor DNS autoritário que responde às consultas de DNS. Ocorreram algumas violações amplamente divulgadas contra provedores de DNS. Em um determinado caso, o atacante conseguiu entrar no sistema de gerenciamento do provedor de DNS e modificar os dados de DNS do destino. Como proteger o seu DNS Aplicando assinaturas digitais aos dados de DNS para autenticar sua origem e verificar sua integridade durante seu tráfego pela Internet, as extensões de segurança de DNS foram desenvolvidas para proteger a infraestrutura DNS. Enquanto este é o primeiro grande passo para proteger a integridade de DNS, para que DNSSEC possa efetivamente proteger a infraestrutura de DNS global, é imprescindível que os ISPs, operadores de site da Web e registradores implementem DNSSEC em todos os domínios e servidores recursivos que gerenciam. A Verisign acompanha ativamente o progresso da implementação de DNSSEC em todos os TLDs que gerencia e disponibiliza ferramentas para que qualquer um possa - entre outras coisas - ver as informações de DNSSEC em seu ou em qualquer outro site, como também verificar se um resolvedor de DNS está configurado para a validação de DNSSEC. O número de sites da Web com DNSSEC ativado também está disponível nas zonas.com,.net e.edu. Para mais informações, visite http://labs.verisigninc.com/tools. 7