[GTER] Problemas com Bind 9.5.0-p2
Herlon Alcantara Matos
herlon at lcimt.com.br
Mon Sep 8 08:12:57 -03 2008
Estou tendo o mesmo problema, apos a atualização.
Achei ser problema de configuração de meu DNS, que aparentemente em todos os
testes que fiz, com as mais diversas ferramentas não consegui detectar.
Meus servidores trabalham como autoritarios/recursivos para rede interna
atraves de views.
O que farei para tentar resolver o problema é separar os servidores
recursivos dos autoritarios.
Já foi anunciado apos a correção do patch, que poderia trazer uma queda de
performance.
----- Original Message -----
From: <gter-request at eng.registro.br>
To: <gter at eng.registro.br>
Sent: Saturday, September 06, 2008 11:00 AM
Subject: gter Digest, Vol 66, Issue 8
> Send gter mailing list submissions to
> gter at eng.registro.br
>
> To subscribe or unsubscribe via the World Wide Web, visit
> https://eng.registro.br/mailman/listinfo/gter
> or, via email, send a message with subject or body 'help' to
> gter-request at eng.registro.br
>
> You can reach the person managing the list at
> gter-owner at eng.registro.br
>
> When replying, please edit your Subject line so it is more specific
> than "Re: Contents of gter digest..."
>
>
> Today's Topics:
>
> 1. Re: Netenforcer e P2P criptografado
> (Leandro Pereira de Lima e Silva)
> 2. Problemas com Bind 9.5.0-p2 (Eduardo Schoedler)
> 3. Re: Problemas com Bind 9.5.0-p2 (Juli?o Braga)
> 4. Re: DNSSEC Substituicao da KSK do .br (Frederico A C Neves)
>
>
> ----------------------------------------------------------------------
>
> Message: 1
> Date: Fri, 5 Sep 2008 11:56:35 -0300
> From: "Leandro Pereira de Lima e Silva" <leandro at limaesilva.com.br>
> Subject: Re: [GTER] Netenforcer e P2P criptografado
> To: "Grupo de Trabalho de Engenharia e Operacao de Redes"
> <gter at eng.registro.br>
> Message-ID:
> <761ea0990809050756u5a39da32u70983c2c25200145 at mail.gmail.com>
> Content-Type: text/plain; charset=ISO-8859-1
>
> Fabricio,
>
> Como assim que aplica??o est? gerando? Vc diz se ? edonkey, torrent, etc?
>
> A an?lise n?o ? feita somente em rela??o ? quantidade de informa??o
> transferida, mas a padr?es espec?ficos de cada protocolo p2p. Uma vez
> identificados peers p2p, voc? tamb?m pode imaginar que os pacotes que
> v?o para ou vem daquele ip tem maior probabilidade de ser p2p.
>
> Agora, de fato, pelo que eu li at? hoje, o match n?o ? de 100% e pode
> levar algum tempo (segundos ou minutos) at? que um determinado fluxo
> seja identificado.
>
> []s Leandro
>
> 2008/9/5 Fabr?cio Cabral <fabriciofx at gmail.com>:
>> Ol? todos!
>>
>>> Trabalho com a solu??o da Allot aqui em SC. Segundo a documenta??o, o
>>> que a solu??o faz com rela??o a criptografia ? trabalhar com o
>>> comportamento do tr?fego, para poder identific?-lo como p2p, uma vez
>>> que, sendo criptografado ela s? consegue verificar o cabe?alho.
>>> Acredito que o comportamento analisado deve ser com rela??o a conex?es
>>> e outras informa??es nesse sentido, mas ? claro que os m?todos
>>> utilizados realmente, dificilmente saberemos ;).
>>
>> ? justamente a? que me confunde. Se ele est? fazendo uma an?lise em cima
>> do comportamento do tr?fego, ent?o, possivelmente, eles est?o fazendo
>> esta
>> an?lise em cima dos fluxos (agrega??o) gerados na rede. Atrav?s do
>> comportamento
>> destes fluxos ? poss?vel estimar que tr?fego ? aquele. Por exemplo,
>> tr?fego P2P
>> se caracteriza por possuirem fluxos de longa dura??o e de centenas de MB.
>> Assumindo isso, me ocorrem as seguintes perguntas:
>>
>> 1. Se ? feita uma agrega??o do tr?fego para ent?o fazer uma estimativa da
>> aplica??o que est? gerando esse tr?fego, ent?o o reconhecimento desta
>> aplica??o n?o ? realizada em tempo real, tendo em vista que primeiro ?
>> preciso realizar a agrega??o pra depois tentar avaliar a aplica??o;
>>
>> 2. Al?m de reconhecer o tipo de aplica??o (HTTP, P2P e etc) ele tamb?m
>> reconhece qual aplica??o est? gerando aquele tr?fego? Como, se os pacotes
>> s?o criptografados? Para fazer isso acredito que eles est?o buscando mais
>> informa??es no tr?fego do que apenas uma an?lise dos fluxos.
>>
>>> Tecnicamente o
>>> produto ? realmente muito bom, entretanto a avalia??o do retorno s?
>>> ser? real se ele realmente atender ?s suas necessidades e ainda, tenha
>>> sido dimensionado corretamente. Acredito ainda que n?o cabe comparar
>>> valores com cisco, at? pelo segmento de atua??o da solu??o.
>>>
>>> Tenho registros reais de detec??o de tr?fego criptografado de
>>> aplica??es P2P. Entretanto, qual ? a vers?o do Ares em quest?o? Assim
>>> que poss?vel posso verificar essa possibilidade de detec??o.
>>
>> Voc? diz "aplica??es P2P" ele reconhece que aquele tr?fego X est? sendo
>> gerado pela aplica??oes P2P Y? Al?m disso, ela ? em tempo real?
>>
>> E s? respondendo aos outros e-mails: pouco importa se o appliance ?
>> baseado em Slack, Linux ou *BSD. O importante ? funcionar e ser
>> est?vel. ;)
>>
>> []'s
>>
>> --fx
>>
>>
>>
>>
>> --
>> --fx
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
>
>
>
> --
> Leandro Pereira de Lima e Silva
>
>
> ------------------------------
>
> Message: 2
> Date: Fri, 5 Sep 2008 15:38:38 -0300
> From: "Eduardo Schoedler" <eschoedler at viavale.com.br>
> Subject: [GTER] Problemas com Bind 9.5.0-p2
> To: "Grupo de Trabalho de Engenharia e Operacao de Redes"
> <gter at eng.registro.br>
> Message-ID: <3FBC7A92834E431A875BCD92FDCDD169 at viaadmredesold>
> Content-Type: text/plain; charset="iso-8859-1"
>
> Pessoal.
>
> Desde que atualizei o Bind para a vers?o 9.5.0-p2 para evitar o problema
> de
> cache poisoning, estou notando uma certa lentid?o.
> Os dom?nios que est?o em cache ele resolve bem.
> Por?m os que n?o est?o em cache, d? timeout de 2s... coisa que n?o
> acontecia
> na vers?o anterior.
> Vejam:
>
> C:\>nslookup
>> server 200.xxx.xxx.2
> Servidor padr?o: dns.dominio.com.br
> Address: 200.xxx.xxx.2
>
>> dominio.com.br
> Servidor: dns.dominio.com.br
> Address: 200.xxx.xxx.2
>
> Nome = dominio.com.br
> Address: 200.143.116.11
>
>> terra.com.br
> Servidor: dns.dominio.com.br
> Address: 200.xxx.xxx.2
>
> N?o ? resposta de autoriza??o:
> Nome = terra.com.br
> Address: 200.176.3.142
>
>> cnn.com
> Servidor: dns.dominio.com.br
> Address: 200.xxx.xxx.2
>
> DNS request timed out.
> timeout was 2 seconds.
> *** A requisi??o para dns.dominio.com.br esgotou o tempo limite
>
>> cnn.com
> Servidor: dns.dominio.com.br
> Address: 200.xxx.xxx.2
>
> N?o ? resposta de autoriza??o:
> Nome = cnn.com
> Addresses: 64.236.16.20, 64.236.16.52, 64.236.24.12, 64.236.29.120
>
>
> Algu?m passou por problema semelhante ?
>
> Abra?o!
> Eduardo.
>
>
>
> ------------------------------
>
> Message: 3
> Date: Fri, 5 Sep 2008 22:05:20 -0300
> From: Juli?o Braga <juliao at braga.eti.br>
> Subject: Re: [GTER] Problemas com Bind 9.5.0-p2
> To: "Grupo de Trabalho de Engenharia e Operacao de Redes"
> <gter at eng.registro.br>
> Message-ID: <D8EC54EED371473099F9E760658E623D at pegasus.com.br>
> Content-Type: text/plain; format=flowed; charset="iso-8859-1";
> reply-type=original
>
> Estou percebendo uma parada de resolu??o em um Bind recursivo. Mas n?o
> parei
> para analisar, detalhadamente, ainda. Talvez seja esse o problema. Iremos
> verificar.
>
> Quando ocorre isso, passo meu DNS para um dos autoritativos/recursivos
> (com
> views). Ai tudo corre bem. E fico na expectativa de tempo para avalia??o.
> Volto novamente para o recursivo e d? certo.
>
> Temos autoritativos/recursivos (Bind) em diversas redes, funcionando bem.
>
> Temos um outro servidor Unbound e membros da equipe est?o usando sem
> problemas. Instalamos esse Unbound para testes com o DNSSEC. Mesmo assim,
> devemos desistir do Unbound e ficar somente com o Bind. Ap?s verificar, as
> suas e nossas observa??es. E de outros.
>
> []s, Juli?o
>
>
> ----- Original Message -----
> From: "Eduardo Schoedler" <eschoedler at viavale.com.br>
>
>
> Pessoal.
>
> Desde que atualizei o Bind para a vers?o 9.5.0-p2 para evitar o problema
> de
> cache poisoning, estou notando uma certa lentid?o.
> Os dom?nios que est?o em cache ele resolve bem.
> Por?m os que n?o est?o em cache, d? timeout de 2s... coisa que n?o
> acontecia
> na vers?o anterior.
> Vejam:
>
> C:\>nslookup
>> server 200.xxx.xxx.2
> Servidor padr?o: dns.dominio.com.br
> Address: 200.xxx.xxx.2
>
>> dominio.com.br
> Servidor: dns.dominio.com.br
> Address: 200.xxx.xxx.2
>
> Nome = dominio.com.br
> Address: 200.143.116.11
>
>> terra.com.br
> Servidor: dns.dominio.com.br
> Address: 200.xxx.xxx.2
>
> N?o ? resposta de autoriza??o:
> Nome = terra.com.br
> Address: 200.176.3.142
>
>> cnn.com
> Servidor: dns.dominio.com.br
> Address: 200.xxx.xxx.2
>
> DNS request timed out.
> timeout was 2 seconds.
> *** A requisi??o para dns.dominio.com.br esgotou o tempo limite
>
>> cnn.com
> Servidor: dns.dominio.com.br
> Address: 200.xxx.xxx.2
>
> N?o ? resposta de autoriza??o:
> Nome = cnn.com
> Addresses: 64.236.16.20, 64.236.16.52, 64.236.24.12, 64.236.29.120
>
>
> Algu?m passou por problema semelhante ?
>
> Abra?o!
> Eduardo.
>
>
>
>
> ------------------------------
>
> Message: 4
> Date: Fri, 5 Sep 2008 22:51:58 -0300
> From: Frederico A C Neves <fneves at registro.br>
> Subject: Re: [GTER] DNSSEC Substituicao da KSK do .br
> To: GTER <gter at eng.registro.br>, GTS-L <gts-l at eng.registro.br>
> Message-ID: <20080906015158.GB85889 at registro.br>
> Content-Type: text/plain; charset=iso-8859-1
>
> Senhores(as),
>
> Aten??o ao an?ncio abaixo da substitui??o da KSK do .br. Ap?s o
> per?odo de dupla assinatura, a chave antiga foi removida.
>
> Atenciosamente,
> Frederico Neves
>
> On Wed, Jun 25, 2008 at 07:35:24PM -0300, Frederico A C Neves wrote:
>> Senhores(as),
>>
>> Conforme a nossa "Pol?tica de publica??o e administra??o de chaves
>> DNSSEC" [1], desde 24/06/2008 estamos utilizando uma nova chave KSK
>> para a zona .br. A nova chave com key id 18457 juntamente com exemplos
>> de configura??o para BIND e UNBOUND pode ser obtida abaixo [3] ou em
>> nosso site [2].
>>
>> A chave em uso desde 04/06/2007, com key id 61207, deixar? de ser
>> utilizada a partir de 25/08/2008.
>>
>> Se voc? administra servidores DNS recursivos que estejam com DNSSEC
>> habilitado, n?o se esque?a de atualizar a chave do .br na configura??o
>> de seu servidor. A substitui??o da chave ancorada em seu servidor DNS
>> pela nova KSK do .br deve ser feita antes do final do per?odo de
>> rollover, que se encerra em 25/08/2008.
>>
>> Em caso de d?vida, encreva para dnssec at registro.br,
>>
>> Atenciosamente,
>> Frederico Neves
>>
>> [1] http://registro.br/info/dnssec-policy.html
>> [2] https://registro.br/ksk/index.html
>> [3]
>> *DNS RR
>> br. IN DNSKEY 257 3 5 (
>> AwEAAdDoVnG9CyHbPUL2rTnE22uN66gQCrUW5W0NTXJB
>> NmpZXP27w7PMNpyw3XCFQWP/XsT0pdzeEGJ400kdbbPq
>> Xr2lnmEtWMjj3Z/ejR8mZbJ/6OWJQ0k/2YOyo6Tiab1N
>> GbGfs513y6dy1hOFpz+peZzGsCmcaCsTAv+DP/wmm+hN
>> x94QqhVx0bmFUiCVUFKU3TS1GP415eykXvYDjNpy6AM=
>> ) ; key id = 18457
>>
>>
>> *BIND trusted-keys config
>> trusted-keys {
>> br. 257 3 5
>> "AwEAAdDoVnG9CyHbPUL2rTnE22uN66gQCrUW5W0NTXJB
>> NmpZXP27w7PMNpyw3XCFQWP/XsT0pdzeEGJ400kdbbPq
>> Xr2lnmEtWMjj3Z/ejR8mZbJ/6OWJQ0k/2YOyo6Tiab1N
>> GbGfs513y6dy1hOFpz+peZzGsCmcaCsTAv+DP/wmm+hN
>> x94QqhVx0bmFUiCVUFKU3TS1GP415eykXvYDjNpy6AM=";
>> };
>>
>>
>> *UNBOUND trust-anchor config
>> trust-anchor: "br. DS 18457 5 1
>> 1067149C134A5B5FF8FC5ED0996E4E9E50AC21B1"
>
>
>
> ------------------------------
>
> --
> gter digest list https://eng.registro.br/mailman/listinfo/gter
>
> End of gter Digest, Vol 66, Issue 8
> ***********************************
More information about the gter
mailing list