DNSSEC-statistieken uit SIDN's ENTRADA big data platform

Gepubliceerd op 06-04-2015

SIDN Labs heeft een statistieken-pagina opgezet. Hoewel die moet uitgroeien tot een veel breder overzicht van het .nl-domein, laat die nu nog alleen de DNSSEC -statistieken zien. De gegevens worden verkregen uit ENTRADA (ENhanced Top-level domain Resilience through Advanced Data Analysis), SIDN's big data platform voor DNS . De informatie is bedoeld voor iedereen die geïnteresseerd is in de ontwikkeling van Internet en de onderliggende technologie.

We willen deze pagina de komende tijd laten evolueren naar een wat bredere site, vertelt Maarten Wullink, research engineer bij SIDN. maar DNSSEC was een mooie eerste use case. Deze informatie is afkomstig uit ons ENTRADA-platform — een Hadoop-cluster — en daar zitten natuurlijk veel meer gegevens in. We gebruiken die data voor onderzoek, bijvoorbeeld naar phishing en botnet-detectie. De TU Delft gebruikt deze informatie bijvoorbeeld voor onderzoek naar Internetveiligheid.

Open data

Met deze statistieken-pagina is de eerste aanzet gegeven tot meer. Het werk zit 'm in het opzetten van de eerste pagina, aldus Wullink, daarna is het een kwestie van nieuwe queries schrijven en die informatie door de webpagina laten ophalen uit de tussenliggende statistieken-database. Voor de diagrammen gebruiken we de JavaScript-library Highcharts.

Anderen zijn vrij om de onderliggende data te hergebruiken voor eigen analyses en visualisaties. Daarvoor kunnen zij gewoon de URL's uit de HTML-pagina gebruiken. Het is de bedoeling dat we die data op termijn gaan delen, dus zie dit als een voorschot op een open data portal waar bijvoorbeeld onderzoekers en journalisten straks terecht kunnen als zij op zoek zijn naar gegevens over het .nl-domein of over het gebruik van DNSSEC of DANE.

Duiding

De diagrammen op de statistieken-pagina laten duidelijk de gevolgen zien van acties bij registrars en ontwikkelingen in software. Zo laat het laatste kwartaaloverzicht van vorig jaar zien hoe het aantal ondertekende domeinen in de eerste week van december sterk toenam toen de registrars Yourhosting en Antagonist in één keer een paar honderdduizend domeinen tegelijk ondertekenden.

DNSSEC stats

Uit de grafieken voor DNS-queries waarbij ook DNSSEC-records opgevraagd worden (middels de DO-vlag) is niet met zekerheid iets te zeggen over het aantal clients of caching resolvers dat DNSSEC-validatie doet, noch in absolute, noch in relatieve zin. Caching op verschillende niveaus maakt dat deze diagrammen vooral moeten worden beoordeeld op hun (stijgende) tendens.

De locatie van de validerende resolvers laat een opvallende piek zien in Noord-Amerika. Dat heeft zeker te maken met Google's Public DNS service die twee jaar geleden al begon met het opvragen van DNSSEC-records.

DNSSEC validatie & locatie

DANE

Tenslotte is er nog het diagram voor de DANE TSLA-records. Deze werden vrijwel niet opgevraagd, totdat deze afgelopen zomer ineens begonnen op te komen. Volgens Marco Davids, technisch adviseur bij SIDN, heeft dit zeer waarschijnlijk te maken met de ondersteuning van DANE-validatie in Postfix, na Exim de meest gebruikte mail-server.

DANE stats

Terug naar het nieuwsoverzicht