[GTER] Dúvidas sobre DNS
Ricardo Rodrigues
rcr.listas at ig.com.br
Fri May 23 14:47:36 -03 2014
Adicionando à resposta do mestre Rubens:
Lembre-se que o conceito de master/slave faz sentido para quem administra
as zonas, mas os recursivos não sabem e nem precisam saber quem é master ou
slave. Além disso, os dados do hidden-master não devem estar declarados
dentro da zona.
DNS nada mais é que uma base de dados. Uma coisa é "quem são os servidores
e quem vai transferir zona para quem", outra coisa é "qual o conteúdo da
zona". Você pode usar rede privada para fazer transferência de zona (usado
na configuração de master e slaves) e rede pública para responder as
consultas (usado no conteúdo da zona).
Finalmente, lembre-se que servidores DNS (tanto autoritativos quanto
recursivos) devem responder tanto via UDP quanto via TCP. Existem poucas
consultas via TCP, mas existem. E isso exige medidas para evitar ataques
via TCP (e ao contrário do que parece ser intuitivo, colocar um FW stateful
ou IPS na frente não resolve).
Abs,
Ricardo
Em 23 de maio de 2014 14:11, Rubens Kuhl <rubensk at gmail.com> escreveu:
> 2014-05-23 13:42 GMT-03:00 Douglas Fischer <fischerdouglas at gmail.com>:
>
> > Olá,
> > nunca fui um cara de DNS, mas para lidar com redes é tema de conhecimento
> > obrigatório.
> >
> > Devido a acontecimentos recentes fui compelido a estudar mais
> profundamente
> > a matéria.
> > Mas ainda tenho dúvidas.
> >
> > Sobre recursivo:
> > R-1) Faz sentido eu manter na config da engine de DNS as tabelas de
> > autoritativos do Brasil?
> > - O objetivo seria evitar a busca nos roots.
> >
>
> Não, não faz. O dia que o Registro.br mudar servidores, fará isso apenas na
> IANA. Há diversos root-servers instalados no Brasil graças a esforços do
> NIC.br custeados pela receita do Registro.br, então você não ficará sem
> acesso a raiz a não ser por eventos que te deixariam também sem acesso aos
> autoritativos de .br.
>
> Vide ftp://ftp.registro.br/pub/gter/gter33/02-AtualizacaoDns.br.pdf
>
>
>
> >
> > Sobre autoritativos:
> > A-1) Na interface de cadastros de autoritativos do registro.br, a
> primeira
> > entrada está definida como "master".
> > Eu creio que isso seja apenas uma referência for dummies.
> > Não necessariamente o NameServer ali cadastrado precisa ser master,
> > confere?
> > Não é esse o conceito de hidden master?
> >
>
> Não necessariamente precisa ser master no sentido de ter o conteúdo da
> zona, mas é bom que ele seja o mesmo servidor que está declarado no SOA.
> Ninguém checa isso, mas ajuda na hora que um terceiro estiver fazendo
> diagnóstico do seu domínio que isso seja assim.
>
>
> >
> > A-2) A ordem que é dada na resposta do autoritativo de um domínio
> superior
> > sobre os NS delegados de um subdomínio implica que os consultantes que
> > receberem a resposta para aquela pergunta vão sempre seguir a hierarquia
> > perguntando para o primeiro da lista?
> > Ex.: fug.com.br
> > ;; AUTHORITY SECTION:
> > fug.com.br. 86400 IN NS ns1.fug.com.br.
> > fug.com.br. 86400 IN NS ns2.fug.com.br.
> >
> > Todos os que consultarem isso, vão seguir perguntando sempre para o
> > ns1?
> > Ou depende dos consultantes fazer um balanceamento?
> >
> > Perguntando em outras palavras: Se eu quiser que um dos meus
> > nameservers receba mais ou menos consultas, faz sentido e colocar ele
> acima
> > ou abaixo na lista?
> >
>
> Não, não faz. Eles inclusive costumam ser reordenadas nos recursivos
> intermediários.
> Este artigo dá uma idéia de estratégia de seleção por softwares recursivos
> razoavelmente recentes:
> http://irl.cs.ucla.edu/data/files/papers/res_ns_selection.pdf
>
> Em resumo, RTT é o fator com maior influência nisso, apesar de não ser
> absoluto. Então se você quer que um servidor seja menos consultado, instale
> o dummynet e gere um atraso na resposta... ;-)
>
>
> Rubens
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list