[GTER] Filtragem de servidores DNS?

[Henrique de Moraes Holschuh]

Fernando Ulisses dos Santos wrote:
> Esse problema não é só privilégio da BrT.
> 
> Isso acontece também nas conexões da Net e no Speedy.

Pelo que sei, a NET tem [no mínimo] uma estrutura independente por 
cidade (inclusive com IPs de DNS diferentes), e nada garante que essa 
estrutura seja igual de uma cidade para outra (no mínimo deve depender 
da quantidade de assinantes na cidade!)...  mas nunca tentei descobrir 
muito à respeito.

Já o Speedy possui diversos servidores DNS recursivos INDEPENDENTES, 
atrás de alguma espécie de load-balancer ou em esquema de any-cast (ou, 
o que é mais provável, de ambos).

E, diga-se de passagem, nem sempre todos os componentes dessa pool de 
DNS estão funcionando bem, e da última vez que tivemos problemas fora do 
comum com DNS no Speedy a impressão que tivemos era que havia uma 
quantidade bem razoável de servidores independentes na pool que atende o 
backbone ADSL da Telefônica em Campinas/SP.

O load-balancer/esquema de any-cast usado no Speedy continua enviando 
requisições para servidores DNS que estão com LAG alto ou perdendo 
requisições.  Isso se não possuirem algo como uma firewall na frente que 
cause estes problemas por si só...

Um pedido perdido em 10 é bem típico do que aconteceria quando um dos 
componentes de uma pool desse tipo está tendo algum problema.

Se quer saber se alguma operadora usa estrutura parecida com a usada 
pelo Speedy, publique algo no DNS com TTL razoável, resolva uma vez, 
altere o registro e republique (não vai atualizar os caches que já 
resolveram, devido ao TTL), resolva outra vez para ver que resposta 
recebe (antiga ou nova)... e assim por diante.  Este teste vai te dar 
uma idéia do tamanho da pool se a estrutura usar servidores 
independentes.  Evidentemente, não vai revelar muito se for uma 
estrutura hierárquica de algum tipo, ou se for uma estrutura sincronizada.

> Infelizmente os grandes provedores ainda não aprenderam a fazer uma rede 
> de servidores de DNS segura (disponível), e concentram em poucos 
> servidores esse papel tão importante. Aí, não tem hardware nem sistema 
> operacional que aguente.

Para atender algo do tamanho do Speedy, a estrutura não é nada trivial 
de montar.

Um setup de DNS any-cast de alta performance (com HA e alta capacidade) 
*E* com perda de respostas extremamente baixa mesmo quando um dos DNS 
membros está lerdo ou com problemas, não é trivial de se projetar e 
implantar.  Eu com certeza gostaria de assistir uma apresentação 
mostrando o caminho das pedras!

> Uma solução seria montar uma rede de servidores DNS distribuída. Quer 
> continuar usando os mesmos IPs? Tudo bem, sigam exemplo dos root-servers 
> e distribuam cópias pela malha da operadora, existem profissionais 
> extremamente capazes de fazer esse serviço no Brasil (o Registro.br está 
> aí para provar isso).

A realidade das operadoras (sejam grandes ou pequenas) [em relação à 
competência técnica] é meio diferente da realidade do registro.br :-)

Acho que uma postura mais educacional ajudaria a todos nesse caso.  Que 
tal alguém que seja perito no assunto aproveitar a próxima reunião do 
grupo e fazer uma apresentação dessas?

> Mas, enquanto as operadoras não fazem isso, fazemos o nosso diferencial 
> em cada servidor instalado, configurando um DNS Cache, e usamos a 

Isso já é considerado boa prática faz tempo... a única parte ruim é a 
falta de DNSSEC, e portanto, os ataques de cache-poison.  De qualquer 
forma, na minha experiência, um cache local bem configurado é quase
sempre muito boa idéia.

-- 
Henrique de Moraes Holschuh <hmh at ima.sp.gov.br>
IM@ - Informática de Municípios Associados
Projetos Especiais
TEL +55-19-3739-6055/CEL +55-19-9293-9464