[GTER] Problemas com Bind 9.5.0-p2

Ricardo Rodrigues rcr.listas at ig.com.br
Sat Sep 6 17:43:08 -03 2008


Eduardo,

Seguem alguns comentários. Se eu estiver equivocado, podem me corrigir. :-)

Pelo que você comentou, o timeout é do cliente, não do servidor DNS.
Portanto não há como "aumentar o timeout" no servidor DNS.

Um cliente que usava BNID apresentou este cenário em um ambiente de
laboratório. No caso dele, o servidor DNS estava fazendo forward para
outro servidor, e este outro é que estava com tempo de resposta muito
alto. Vale a pena verificar se não é o seu caso. Arquiteturas com
servidores DNS cache acessando diretamente os autoritativos da
Internet apresentam maior segurança e minimizam pontos de falha.

A versão anterior que você usava também implementava UDP Source Port
Randomization? Se não, a dica do Durval pode ser o caminho (verificar
se todas as portas estão habilitadas na rede e no S.O. para receber as
respostas DNS).

Vale lembrar que a randomização de portas, por si só, não é garantia
contra a vulnerabilidade a cache poisoning descoberta pelo Kaminsky.
Segundo matéria do NY Times
(http://www.nytimes.com/2008/08/09/technology/09flaw.html?_r=1&adxnnl=1&adxnnlx=1220732112-quFEa7rzvIrGZz9HavGJCw&oref=slogin),
um físico russo conseguiu envenenar o BIND 9.5.0-P2 em menos de 10
horas. São necessárias técnicas adicionais nos servidores DNS para se
prevenir contra este tipo de ataque.

O comentário do Rubens está correto. O BIND suporta
multiprocessamento. Porém, nem toda aplicação tem benefícios com o
multiprocessamento. Se por um lado existe o ganho por utilizar vários
processadores em paralelo, por outro há aumento do "custo
computacional" para comunicação entre os processos. Por exemplo,
multiprocessamento é muito bom para aplicações SGBD (banco de dados)
pois há muito acesso a disco. Mas para aplicações DNS, onde a maioria
das informações estão disponíveis na memória RAM, soluções
monoprocessadas possuem desempenho muito superior.

Finalmente, existem ferramentas gratuitas desenvolvidas pela Nominum
(citada pelo Rubens quando comentava sobre DNSCurve) que permitem
fazer teste de servidores DNS e DHCP. Talvez seja útil para realizar
testes de desempenho e estabilidade em laboratório antes de colocar um
novo servidor DNS em produção. O site é http://www.nominum.com. Entre
em Services -> Measurement Tools.

Se puder ajudar em algo mais, entre em contato.

Abraços,
Ricardo

2008/9/6 Durval Menezes <durval at tmp.com.br>:
> Prezados,
>
> Passei por um problema parecido: no meu  caso, o que acontecia e' que a
> maquina onde o BIND rodava tinha regras de packet filter para restringir
> as portas UDP onde a mesma podia receber pacotes ao range de portas
> usado pelo BIND antigo, e como a faixa do novo BIND e' bem maior, a
> tendencia e' que as primeiras N resolucoes falhem ate' o BIND "acertar"
> numa porta que esteja na faixa permitida.
>
> Um Grande Abraco,
> --
>   Durval Menezes (durval AT tmp DOT com DOT br, http://www.tmp.com.br/)
>
>
> On Sat, Sep 06, 2008 at 02:38:52PM -0300, Rubens Kuhl Jr. wrote:
>> O BIND 9.5 tem suporte a threads; pode ser que algum tuning no host OS
>> ajude a melhorar sua performance. Pode ser até que devido a tentativa
>> de aproveitar múltiplos processadores a performance esteja pior, pode
>> ser que a utilização de memória esteja alta; novo código (em parte),
>> novos desafios de tuning.
>>
>> Rubens
>>
>> 2008/9/5 Eduardo Schoedler <eschoedler at viavale.com.br>:
>> > Pessoal.
>> >
>> > Desde que atualizei o Bind para a versão 9.5.0-p2 para evitar o problema de
>> > cache poisoning, estou notando uma certa lentidão.
>> > Os domínios que estão em cache ele resolve bem.
>> > Porém os que não estão em cache, dá timeout de 2s... coisa que não acontecia
>> > na versão anterior.
>> > Vejam:
>> >
>> > C:\>nslookup
>> >> server 200.xxx.xxx.2
>> > Servidor padrão:  dns.dominio.com.br
>> > Address:  200.xxx.xxx.2
>> >
>> >> dominio.com.br
>> > Servidor:  dns.dominio.com.br
>> > Address:  200.xxx.xxx.2
>> >
>> > Nome =   dominio.com.br
>> > Address:  200.143.116.11
>> >
>> >> terra.com.br
>> > Servidor:  dns.dominio.com.br
>> > Address:  200.xxx.xxx.2
>> >
>> > Não é resposta de autorização:
>> > Nome =   terra.com.br
>> > Address:  200.176.3.142
>> >
>> >> cnn.com
>> > Servidor:  dns.dominio.com.br
>> > Address:  200.xxx.xxx.2
>> >
>> > DNS request timed out.
>> >    timeout was 2 seconds.
>> > *** A requisição para dns.dominio.com.br esgotou o tempo limite
>> >
>> >> cnn.com
>> > Servidor:  dns.dominio.com.br
>> > Address:  200.xxx.xxx.2
>> >
>> > Não é resposta de autorização:
>> > Nome =   cnn.com
>> > Addresses:  64.236.16.20, 64.236.16.52, 64.236.24.12, 64.236.29.120
>> >
>> >
>> > Alguém passou por problema semelhante ?
>> >
>> > Abraço!
>> > Eduardo.
>> >
>> > --
>> > gter list    https://eng.registro.br/mailman/listinfo/gter
>> >
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list