[GTER] DNS TTL baixo

Ricardo Rodrigues rcr.listas at ig.com.br
Mon Jul 25 19:52:19 -03 2011


Além do fato de que, com TTL=0, a janela de oportunidade para ataque de
envenenamento de cache (Kaminsky 2008, por exemplo) estará sempre aberta.

Abs,
Ricardo

Em 25 de julho de 2011 16:56, Rubens Kuhl <rubensk at gmail.com> escreveu:

> 2011/7/25 Henrique de Moraes Holschuh <henrique.holschuh at ima.sp.gov.br>:
> > On 06-07-2011 21:34, Renato Frederick wrote:
> >>
> >> Hoje em dia eu não vejo como garantir redundância de forma eficaz - sem
> >> apelar para camadas acima(como registros DNS TTL=0 "a la" linkproof),
> sem
> >
> > Usar TTL zero é pedir para ter problemas:
> > http://mark.lindsey.name/2009/03/never-use-dns-ttl-of-zero-0.html
> >
> > Em geral, não use TTL menor que 600s a menos que saiba o que está fazendo
> > _E_ que não tenha nenhum servidor de email na zona DNS.
> >
> > E não adianta ir muito abaixo de 300s nem para servidores web:
> > http://www.zytrax.com/books/dns/info/minimum-ttl.html
>
> Apesar de estar implícito nas frases acima, é bom relembrar que o TTL
> de registros DNS e MX pode ser tão alto quanto a sua taxa de alteração
> desses registros de infra-estrutura, que é em geral muito baixa. TTLs
> de 24h por exemplo são mais suficientes para SOA, NS, MX; já o de
> servidores Web é que pode estar ligado a redundâncias de telecom com
> 0, alguns segundos ou alguns minutos.
>
>
>
> Rubens
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list