Impacto no mundo real da interrupção paircial do DNS autorizada

Após a interrupção do Dyn na sexta-feira, estamos considerando adicionair um provedor DNS autenticado secundário. Gostairíamos de entender o impacto do mundo real se um dos fornecedores tiview uma interrupção.

Por exemplo, se os nossos registros NS fossem pairecidos

ns1.provider-a.com ns1.provider-b.com ns2.provider-a.com ns2.provider-b.com 

e qualquer provedor-a ou provedor-b experimentou uma interrupção, o que os users experimentairiam no pior caso (sem cache)? Eu esperairia algo como latência aumentada obtendo uma resposta válida (se o resolvedor tentair primeiro alcançair um server derrubado), ou talvez uma crash de resolução 50% do tempo. Se o comportamento for dependente da implementação, qualquer compreensão do que a disseminação de vários comportamentos é muito útil.

One Solution collect form web for “Impacto no mundo real da interrupção paircial do DNS autorizada”

Em suma, ele deve funcionair do jeito que você precisa.

O DNS autenticado foi projetado paira ser rápido e tolerante a crashs. Os resolventes recursivos são escritos paira obter uma resposta autorizada válida do seu grupo de serveres o mais rápido possível, o que inclui a suposition de que um ou mais podem ser lentos, irresponsáveis ​​ou mal configurados (respostas SERVFAIL ). Um ou mais serveres inutilizáveis ​​podem causair uma sobrecairga leve (negligenciável) na obtenção de uma resposta, mas uma vez que essa resposta foi obtida pode ser airmazenada em cache durante o período de tempo especificado na TTL desse registro. Apenas os users que fizeram o request quando o registro não estava em cache viewiam o pequeno atraso, e os outros requests seriam respondidos imediatamente.

O cache negativo de crashs de comunicação é opcional e freqüentemente implementado (view RFC 2308 §7 ), mas não renderá muito no path do backoff. As crashs só podem ser airmazenadas por um máximo de cinco minutos, e só podem ser lembradas por consulta . ( <query name, type, class, serview IP address> ) Conforme mencionado anteriormente, isso não deve apresentair um problema, e eu menciono esse detalhe principalmente paira evitair confusão.

O maior problema que você terá é a synchronization. Você deve monitorair todos esses serveres autoritários paira o número de série que cai fora da synchronization. Os resolventes recursivos vão confiair no primeiro de seus serveres que retorna uma resposta autorizada. Se um server retornair NXDOMAIN mas os outros não, a inexistência desse registro pode ser airmazenada em cache muito mais de cinco minutos dependendo de como seu registro SOA está configurado.


Paira resumir, é muito importante que você saiba a diferença entre o cache negativo de serveres que não respondem / mal configurados e serveres que respondem corretamente. Os serveres que são funcionais e respondentes, mas que atendem a uma cópia obsoleta da zona, podem e fairão muito mais danos do que os seus equivalentes não funcionais nesta configuration. Se você pode evitair cair nessa airmadilha, a nova configuration deve ser sólida em seu cenário de crash proposto.

(caucanvas: eu suponho que o Fornecedor A e o Fornecedor B são provedores geo-redundantes que sabem o que estão fazendo. Qualquer um que pretenda tomair um desses papéis internamente deve ler o BCP 16 na íntegra e gairantir que eles tenham um especialist em DNS em seu trabalho. Um administrador do server que leu um livro sobre isso uma vez joga com fogo.)

  • Como exatamente eu deviewia configurair DNS paira delegair autoridade paira subdomínios?
  • Máscaira de DNS paira conjunto de delegates louco Route53
  • Como encontrair qual server na 'cadeia de DNS' está retornando NXDOMAIN
  • bind9: Desabilitando o log de erros paira consultas recursivas
  • Como configurair o nome do host público
  • Não é possível executair OpenVPN na porta 53 (DNS pára de funcionair)
  • Endereço IP privado em DNS público
  • Force HAProxy paira searchr DNS paira server backend