[caiu] DNS do google

Rubens Kuhl rubensk em gmail.com
Domingo Maio 12 23:59:14 BRT 2013


> Cheguei a observar em alguns foruns a questão das falhas entre os clusters
> do google DNS ... me parece que foi isto que ocorreu, não tenho como
> afirmar e eles não entram em detalhes profundos.

Nos tempos recentes as falhas que tenho visto são de domínios com
DNSSEC quebrado de alguma forma... você viu alguma que não seja desse
perfil ?

> Em relaão ao DS, eu assinei algo, ok, depois simplesmente removi a
> assinatura, fiz rollback !

Remover só o DS não basta... precisa remover o DS do parent, remover o
DNSKEY da zona e remover as assinaturas dos RRs.

> A janela de erros foi maior que 2h, muitissimo maior. Ainda tem o fato
> (Reportei ao google) que em algumas consultas que fiz em modo debug usando
> 8.8.8.8, observei valores de TTL que eu não tinha declarado.

Por TTL você está dizendo TTL ou parâmetro do SOA ?

> Me encomodou pois, durante alguns minutos eu tive problemas com um IDC, que
> num primeiro momento um troubleshotting ficou prejudicado pois a falha em
> 8.8.8.8 era ignorada !!!!! E eles estavam se baseando justamente nisto para
> julgar um erro. Que o domínio não existia !!!!

A cultura de suporte ainda precisa absorver a existência de DNSSEC. É
para isso que promovemos atividades como esta:
ftp://ftp.registro.br/pub/gter/gter33/TutorialDNSSEC201205.pdf
ftp://ftp.registro.br/pub/gter/gter33/videos/TUTORIAL_01-DNS_e_DNSSEC.mp4

Com DNSSEC, não existência pode ser tanto que de fato não exista,
quanto falha na cadeia de validação.

> O histórico post-mortem, contem o horário exato penso eu da modificação que
> fiz ... o que julguei erro e estranho por parte do 8.8.8.8 e 8.8.4.4 é que,
> isto DUROU MUITO !!! Estou falando de quase 20 horas no total geral...

Se a sua mensagem tiver sido mesmo lida e gerado uma ação de Google,
eles podem ter colocado seu domínio numa lista que sabidamente o
Google e a Comcast mantém, cada um a sua, com domínios com DNSSEC
quebrado. E talvez eles tenham colocado o .com.br, o net.br ou ambos.
E talvez você ainda esteja com uma configuração potencialmente
problemática

> Sim, por favor me envie então para eu ver do outro lado, se possível e
> existir, favor enviar também um log de propagação. O máximo de dados que
> tiver eu vou agradeçer.

Nisso a melhor informação histórica que você tem é a do DNSViz, que
retesta em intervalos e guarda o histórico dos testes. O que podemos
mandar é quando foi alterado, não quando se propagou... não existe
esse conceito num sistema distribuído baixamente acoplado como é DNS,
quem faz push da informação não sabe quando ele chegou ao último nó.


Rubens


More information about the caiu mailing list