В 2013 году году системе доменных имен DNS исполняется 30 лет. Заложенная в нее идеология оказалась настолько удачной, что система в неизменном виде сохранилась вплоть до недавнего времени. На протяжении первых 15 лет существования Интернета для адресации узлов использовалась более примитивная, «лобовая» система, которая строилась на том, что каждый из подключенных к сети компьютеров для обмена с остальными скачивал файл HOSTS.TXT с адресами всех остальных хостов сети. Этот файл был уникальным и формировался в единственном экземпляре на сервере, размещенном в Стэнфордском исследовательском институте (SRI International). Как своего рода рудимент того времени, в усеченном виде этот файл сохраняется в большинстве операционных систем, но сейчас он содержит всего одну запись localhost с указанием на адрес 127.0.0.1. До появления DNS все обращения контролировались из одного центра, легко представить себе сложности подобной работы для скромного по размерам Интернета тогда, а также во что бы превратился централизованный подход, если бы сохранился при сегодняшних размерах Сети.
Авторами современной распределенной системы доменных имен стали Джон Постел и Пол Мокапетрис, которые нашли подход, давший свободу подключения новых машин к Интернету и присвоения им имен. Сегодня DNS — крупнейшая в мире распределенная база данных, ежедневно обрабатывающая миллиарды запросов. Предложения Постела и Мокапетриса были сформулированы, как это принято в интернет-сообществе, в виде рабочих предложений, которые тактично назвали всего лишь «запросами на отзывы» (Request for Comments, RFC). Два RFC с изложениями основ DNS получили номера 882 и 883. В первом «Domain Names — Concepts and Facilities» излагались базовые концепции и возможности DNS, во втором «Domain Names — Implementation and Specification» содержалась детализация спецификации и методы внедрения. Оба были подписаны Полом Мокапетрисом, поэтому именно его называют автором DNS.Во время своего визита в Россию Пол ответил на вопросы журнала «Открытые системы».
Есть изобретения, которые даже трудно назвать изобретениями, — это скорее технические открытия, когда, казалось бы, из ничего предлагают такое, чему нет альтернативы. Грань между открытием и изобретением порой размыта: например, полупроводниковый переход считается открытием, а транзистор — изобретением. Складывается впечатление, что такие изобретения объективно существуют, а где-то скрыты важные решения, до которых нужно добраться. К таким вещам относится и DNS — результат оказался настолько удачен, что система органично используется миллиардами...
Строго говоря, были и есть другие, в том числе и распределенные, системы имен, а предложенная мной далеко не единственная, но ей повезло больше — именно она завоевала популярность. Скорее всего, если бы не я, то кто-то другой сделал бы нечто весьма похожее, а может быть, и в точности то же самое: всегда кто-то приходит к финишу первым. Должен признать, что система, которую связывают с моим именем, не была каким-то данным мне свыше откровением, я пришел к ней вполне обычным инженерным путем, она стала компромиссом из пяти-шести возможных рассмотренных вариантов. К тому же мое изобретение не было собственной инициативой, а было заказной работой. Мое достижение лишь в том, что я внимательно рассмотрел существовавшие на тот момент альтернативные подходы, выбрал наиболее перспективные, добавив свой опыт и фантазию. Для самого себя я сравниваю создание DNS c приготовлением кулинарного блюда, которое потом становится невероятно популярным. Ничего нового, известны отдельные ингредиенты, есть похожие рецепты, но возникает необходимость при определенных условиях удовлетворить новые требования, выдумать что-то оригинальное. И вот тогда мы получаем новацию, вспомним классический пример: в распоряжении Цезаря Кардини не было ничего оригинального, но уже много лет мы едим салат его имени.
Хотелось бы больше узнать о предпосылках изобретения и о сотрудничестве с Джоном Постелом на том «романтическом» отрезке времени в истории Интернета, когда он был культовой фигурой.
Джон Постел был одним из ведущих создателей Интернета, он видел дальше других, а я придумал DNS по его поручению. Жизнь подарила мне удачу работать под его непосредственным руководством в Институте информационных наук (Information Science Institute) в составе Университета Южной Каролины. Мы тесно взаимодействовали с Полом, но у нас совсем разные натуры и разные интересы. В то время как его привлекали вопросы управления и администрирования доменных имен, для меня гораздо важнее были технологии и протоколы. Им во многом руководило стремление заложить в Интернет демократические принципы будущего развития, поэтому он был вовлечен во взаимодействие с разными странами и организациями, которые хотели создавать свои собственные домены. Я же был в стороне от этого общественного процесса и сосредоточен на технической стороне дела, на проектировании технологий и их реализации. Мне, как инженеру, было важно разработать такую технологию, чтобы она смогла обеспечить техническую свободу для создания имен, чтобы каждая страна, в том числе имеющая альтернативные латинскому алфавиты, например Россия или Иран, могла выбирать собственную систему имен. Хотя должен признать, в подавляющем большинстве попытки создания национальных доменов оканчиваются неудачами. Джон естественным образом был популярнее, он до самой смерти был тем, кто организовывал управление Интернетом, благодаря ему Интернет стал таким, каким мы его сегодня знаем.
Идейный хиппи в молодости, он оставался им всю жизнь и внутренне, и внешне. Я всегда видел его в сандалиях, и, как все постаревшие хиппи, он не брил бороду и придерживался определенных предпочтений в одежде. Но дело не во внешнем облике, он по духу оставался хиппи, верил в право человека на свободу, в то, что красота и свобода тождественны друг другу. Кто знает, что бы стало с Интернетом, если бы не влияние этой философии, может быть, сложилось бы что-то вроде французского Minitel, хотя и на качественно ином уровне. Философия ненасилия помогала Постелу объединять людей на добровольной основе и делать большие дела. Например, Джон предложил почтовый протокол Mail Transfer Protocol, но при обсуждении члены сообщества пришли к выводу, что он слишком сложен, и выработали более простую альтернативу — Simple Mail Transfer Protocol (SMTP). Реализация этого протокола потребовала согласовать совместные действия колоссального количества участников, и Постел это мог.
Все это противоречит распространенному в России убеждению о «милитаристском» происхождении Интернета, каким вы видите соотношение гражданских и военных сил в процессе становления Сети?
Хорошо известно, что начальное финансирование ARPAnet осуществляло Агентство перспективных оборонных исследований Пентагона, отсюда и название первой версии сети. Но DARPA всего лишь управляет процессом финансирования, а не работами по выделенным грантам, поэтому оно направляло деньги в университеты. Думаю, в 70-е годы военное руководство не представляло, что происходило с сетевыми технологиями, и не оценивало будущие последствия — все делали гражданские люди, причем без каких-либо ограничений, вызванных секретностью. Военные иногда хотят перетянуть на себя часть славы, однако не стоит забывать, что в то время DARPA даже подвергалось критике за то, что тратит деньги нецелевым образом. Принципы проектирования сети по открытым стандартам на самом деле противоречат интересам военно-промышленного комплекса — компаниям, входящим в него, намного выгоднее продавать специализированные проприетарные решения, которые всегда выше по цене, чем открытые. К тому же военные охотнее финансируют проекты, не имеющие гражданского выхода; скажем, самолеты, не обнаруживаемые радарами, — для них важно, а гражданские самолеты, наоборот, должны быть как можно лучше видимыми. Первые десять лет истории Интернета так или иначе можно связать с влиянием военных, но потом джинн вырвался из бутылки. Мне кажется, те, кто создавал Интернет, немного блефовали перед военными, чтобы получить фонды, как-то находили возможности отчитаться перед ними, но сами делали то, что хотели.
Джон Постел и управлением Интернетом
В конце 60-х Джон Постел, тогда аспирант Университета Южной Калифорнии — одного из четырех первых узлов ARPAnet, добровольно взял на себя обязанности редактора документов Request For Comments, фиксирующих процедуры создания Сети. Позже под его руководством была создана и много лет успешно функционировала общественная организация IANA (Internet Assigned Numbers Authority), в чье ведение входила координация усилий по разработке системы управления такими ресурсами сети, как адреса, номера, доменные имена и стандарты. (На сайте Координационного центра национального домена сети Интернет это название переводится как «Уполномоченная организация по распределению нумерации в сети Интернет». — Прим. ред.)
IANA — в полной мере общественная организация, не имеющая организационно-правовой формы и с момента своего образования выполняющая значительную часть функций управления Интернетом. По определению, принятому Рабочей группой по руководству Интернетом (Working Group on Internet Governance, WGIG), под управлением в данном случае понимается выработка заинтересованными сторонами — госструктурами, коммерческими компаниями и общественными организациями — общих принципов, норм, правил, процедур принятия решений и программ, регулирующих развитие Сети. До 1998 года финансирование этой деятельности осуществлялось на основе грантов, выделяемых правительством США, — авторитет Постела был настолько велик, что фактически средства выделялись под его честное слово. Сегодня исполнение функций IANA возложено на международную некоммерческую организацию Internet Corporation for Assigned Names and Numbers (ICANN). Развитие ситуации с доменными именами, как и многое другое на заре Интернета, носило стихийный характер, поэтому американское правительство было вынуждено вмешаться. В результате в 1998 году был принят документ A Proposal to Improve Technical Management of Internet Names and Addresses, более известный как Green Paper, где были сформулированы требования к ICANN, и Постел принял активное участие в формировании устава новой организации. Можно с уверенностью сказать, что своей нынешней открытостью, независимостью от власть имущих и регуляторов Интернет обязан именно Джону Постелу.
Чем вы занимались на протяжении тридцати лет существования DNS?
Поначалу мы задумывали DNS как универсальный сервис без какого-то специального предназначения — нас интересовала в чистом виде лишь возможность присваивать имена машинам. Следующим шагом стали приложения, и одно из первых — маршрутизация электронных писем. Сейчас людям, пишущим простой адрес, состоящий из имени, значка @ и адреса сервера, невозможно представить себе все сложности адресации, с которыми эта процедура была связана до появления универсальной системы адресов для писем на основе DNS. Потом было великое множество других приложений, а затем пришлось снова вернуться к почте, на этот раз причиной оказался спам — явление, о котором мы тридцать лет назад даже не задумывались. Выяснилось, что анализ адресов открывает возможность определять, являются ли письма спамом или нет. Таким образом DNS в этой части решает две задачи — доставку почты и фильтрацию спама. Но тестированием на спам аналитический потенциал DNS не ограничивается — огромная часть активности в Сети может стать объектом изучения с использованием DNS.
В 1999 году я создал компанию Nominum с целью коммерциализации имеющихся наработок. С тех пор я ее президент и научный руководитель. Мы имеем дело с открытыми кодами и коммерческими решениями, а нашими первыми разработками стали BIND (Berkeley Internet Name Domain) и DHCP (Dynamic Host Configuration Protocol). В BIND реализован DNS-сервер, преобразующий имя DNS в IP-адрес и обратно, он был создан студентами Беркли как часть Unix BSD 4.3. А протокол динамической настройки узла DHCP позволяет получать необходимые параметры, в том числе IP-адрес для работы в сети. В дальнейшем мы сохранили приверженность этой деятельности, выпустив коммерческие серверы DNS для провайдеров и крупных предприятий Nominum Authoritative Name Server и Nominum Vantio.
С момента обнаружения атаки Каминского в 2008 году нам пришлось заняться проблемами безопасности. Эта атака получила свое название по имени известного эксперта по информационной безопасности Дэна Каминского, описавшего использование бреши в системе DNS, отрывающей возможность для хакерской атаки на сервер. В случае успешной атаки сервер начинает предоставлять своим клиентам неаутентичные данные и может по имени возвращать некорректный IP-адрес, что приводит к искажению трафика. Мы запустили сетевые сервисы SKYE, собрали функционал в платформу N2 Platform, создав экосистему Nominum IDEAL, рассчитанную на провайдеров.
Кто ваши заказчики?
Крупные провайдеры. Сегодня на рынке имеется большое разнообразие свободных программ с такой же функциональностью, как и у Nominum IDEAL, но они не обладают необходимыми для большого бизнеса свойствами. Используя наше ПО, провайдер может предоставлять сервисы более высокого качества. Это происходит за счет анализа DNS-трафика, объем которого стал настолько большим, что открывает возможности судить по нему о происходящем в Интернете. Мы продаем тем, кто управляет Интернетом, такое программное обеспечение, которое может обеспечить защиту сети, обнаруживать источники распределенных атак, выражающихся в отказе от обслуживания (DDoS) и распространении вредоносного кода, оценивать качество обслуживания и многое другое. И все это на основании анализа трафика. Эти новые возможности открылись благодаря тому, что сейчас называют Большими Данными. Анализируя их, можно приходить к таким хитроумным выводам, которые невозможно было сделать прежде. Мы недавно приступили к этой деятельности, но перспективы здесь фантастические.
Как именно вы это делаете?
Анализируя потоки обращений, несложно выделить пользователей, которые порождают аномально большое число обращений, — скорее всего, это спамеры. Точно так же можно выделить узлы, участвующие в DDoS-атаках. Сейчас происходит преобразование DNS из технического средства, служащего для перевода имен в адреса, в своего рода путеводитель по Интернету, где мы можем, в частности, указать те места, которые, по нашему мнению, представляют опасность. DNS есть не что иное, как самая большая распределенная база данных в мире, к которой имеет доступ каждый компьютер. Обращение к ней позволяет разумным способом регламентировать определенные области сети, чтобы, например, осуществлять родительский контроль или ограничить для персонала возможность посещения развлекательных ресурсов на рабочем месте. Такие средства контроля могут использовать госструктуры или какие-то другие регуляторы. Во время Олимпиады в Лондоне по всему городу была развернута свободная сеть Wi-Fi, но власти не хотели, чтобы эту сеть использовали для доступа к нежелательному контенту, и ввели собственный контроль, что разумно. Если кто-то по своей воле делает ресурс свободным, то он несет ответственность за его использование. Если вы платите за ресурс, то можете делать все, что хотите, но в ином случае принимайте предлагаемые вам условия.
Какое влияние на DNS оказывает появление новых мобильных технологий?
Мобильные устройства не могут быть так же качественно защищены от вредоносных программ, как компьютеры, — их больше, а пользователи менее квалифицированны, поэтому на провайдеров ложится большая ответственность, связанная с обеспечением защиты. Продукты Apple с MacOS гораздо лучше защищены, чем устройства на платформе Android, поэтому их пользователей надо предупреждать о потенциальной опасности тех или иных ресурсов. Анализируя сеть, вполне можно это сделать. Нужно разумным образом управлять сетью и делать ее безопасной для пользователя.
Выходит, вы создаете технологии для цензуры?
Серьезно говорить о цензуре в Интернете бессмысленно: если есть желание обойти преграды, то оно может быть удовлетворено без применения особо сложных технологий. Мы хотим создавать комфортную и безопасную среду и работаем на уровне рекомендаций — вся человеческая культура построена на рекомендациях. Если у вас есть дети, вы же не допустите, например, чтобы по дому были разбросаны сомнительного рода издания? Почему же не поступать так же и в Интернете?
А что вы скажете по поводу сервиса для наименования объектов (Object Name Service), который предполагается использовать в Интернете вещей? Можно ли сравнить ONS и DNS?
В свое время специалисты из Auto-ID Labs в Массачусетском технологическом институте обращались ко мне по этому вопросу, и мы даже что-то попытались предложить совместно, но в этой сфере все чудовищно забюрократизировано. Есть такая организация — EPCglobal, стандартизирующая технологию электронных кодов для продуктов (Electronic Product Code, EPC), в нее входят представители ведущих производителей и торговых сетей, но они не могут договориться даже по поводу стандартов на RFID, что уж говорить об ONS. Это слишком долгое дело, к тому же пока каждый понимает Интернет вещей по-своему.