[GTER] Filtragem de servidores DNS?
Henrique de Moraes Holschuh
henrique.holschuh at ima.sp.gov.br
Thu Jun 12 14:41:23 -03 2008
Fernando Ulisses dos Santos wrote:
> Esse problema não é só privilégio da BrT.
>
> Isso acontece também nas conexões da Net e no Speedy.
Pelo que sei, a NET tem [no mínimo] uma estrutura independente por
cidade (inclusive com IPs de DNS diferentes), e nada garante que essa
estrutura seja igual de uma cidade para outra (no mínimo deve depender
da quantidade de assinantes na cidade!)... mas nunca tentei descobrir
muito à respeito.
Já o Speedy possui diversos servidores DNS recursivos INDEPENDENTES,
atrás de alguma espécie de load-balancer ou em esquema de any-cast (ou,
o que é mais provável, de ambos).
E, diga-se de passagem, nem sempre todos os componentes dessa pool de
DNS estão funcionando bem, e da última vez que tivemos problemas fora do
comum com DNS no Speedy a impressão que tivemos era que havia uma
quantidade bem razoável de servidores independentes na pool que atende o
backbone ADSL da Telefônica em Campinas/SP.
O load-balancer/esquema de any-cast usado no Speedy continua enviando
requisições para servidores DNS que estão com LAG alto ou perdendo
requisições. Isso se não possuirem algo como uma firewall na frente que
cause estes problemas por si só...
Um pedido perdido em 10 é bem típico do que aconteceria quando um dos
componentes de uma pool desse tipo está tendo algum problema.
Se quer saber se alguma operadora usa estrutura parecida com a usada
pelo Speedy, publique algo no DNS com TTL razoável, resolva uma vez,
altere o registro e republique (não vai atualizar os caches que já
resolveram, devido ao TTL), resolva outra vez para ver que resposta
recebe (antiga ou nova)... e assim por diante. Este teste vai te dar
uma idéia do tamanho da pool se a estrutura usar servidores
independentes. Evidentemente, não vai revelar muito se for uma
estrutura hierárquica de algum tipo, ou se for uma estrutura sincronizada.
> Infelizmente os grandes provedores ainda não aprenderam a fazer uma rede
> de servidores de DNS segura (disponível), e concentram em poucos
> servidores esse papel tão importante. Aí, não tem hardware nem sistema
> operacional que aguente.
Para atender algo do tamanho do Speedy, a estrutura não é nada trivial
de montar.
Um setup de DNS any-cast de alta performance (com HA e alta capacidade)
*E* com perda de respostas extremamente baixa mesmo quando um dos DNS
membros está lerdo ou com problemas, não é trivial de se projetar e
implantar. Eu com certeza gostaria de assistir uma apresentação
mostrando o caminho das pedras!
> Uma solução seria montar uma rede de servidores DNS distribuída. Quer
> continuar usando os mesmos IPs? Tudo bem, sigam exemplo dos root-servers
> e distribuam cópias pela malha da operadora, existem profissionais
> extremamente capazes de fazer esse serviço no Brasil (o Registro.br está
> aí para provar isso).
A realidade das operadoras (sejam grandes ou pequenas) [em relação à
competência técnica] é meio diferente da realidade do registro.br :-)
Acho que uma postura mais educacional ajudaria a todos nesse caso. Que
tal alguém que seja perito no assunto aproveitar a próxima reunião do
grupo e fazer uma apresentação dessas?
> Mas, enquanto as operadoras não fazem isso, fazemos o nosso diferencial
> em cada servidor instalado, configurando um DNS Cache, e usamos a
Isso já é considerado boa prática faz tempo... a única parte ruim é a
falta de DNSSEC, e portanto, os ataques de cache-poison. De qualquer
forma, na minha experiência, um cache local bem configurado é quase
sempre muito boa idéia.
--
Henrique de Moraes Holschuh <hmh at ima.sp.gov.br>
IM@ - Informática de Municípios Associados
Projetos Especiais
TEL +55-19-3739-6055/CEL +55-19-9293-9464
More information about the gter
mailing list