[GTER] Dúvidas sobre DNS

Sat May 24 00:31:43 -03 2014

Olá Renato,

Sobre o cache de DNS há algumas questões que devem ser consideradas. Alguns
provedores de fato realizam cache de respostas, porém, o que vale para o
S.O é o cache fornecido pelo DNS autoritário, exemplo:

; <<>> DiG 9.8.3-P1 <<>> www.xbox.com

;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 33651

;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:

;www.xbox.com. IN A

;; ANSWER SECTION:

*1 -* *www.xbox.com <http://www.xbox.com>. 300 IN CNAME www.gtm.xbox.com
<http://www.gtm.xbox.com>.*

*2 - *www.gtm.xbox.com. 19 IN CNAME wildcard.xbox.com-c.edgekey.net.

*3 -* wildcard.xbox.com-c.edgekey.net. 11105 IN CNAME
wildcard.xbox.com-c.edgekey.net.globalredir.akadns.net.

*4 -* wildcard.xbox.com-c.edgekey.net.globalredir.akadns.net. 576 IN CNAME
e2820.dspb.akamaiedge.net.

*5 -* *e2820.dspb.akamaiedge.net <http://e2820.dspb.akamaiedge.net>. 19 IN
A 184.85.43.141*

Nesse caso, o TTL (Time to Live) de cada registro é apresentado na coluna
2, onde nesse caso a informação para o registro - www.xbox.com - será
válida por 300 segundos e após esse período o S.O fará uma nova consulta.
Prioritariamente, qualquer cache de DNS nas operadoras deveria respeitar
esse dado, já que ele é definido pela RFC, mas isso não é garantia, então
há casos em que o TTL poderá ser ignorado.

Sobre a questão de CDN, de fato existe uma prerrogativa que definirá qual o
melhor servidor para lhe servir o conteúdo. Veja que no meu caso, o
endereço IP fornecido foi: 184.85.43.141 (que pertence a CDN Akamai).

No caso de grandes player de CDN (como a Akamai) os servidores de DNS
Global estão adaptado para fornecer o client IP, ou seja, mesmo eu usando o
Google DNS ou o OpenDNS, estes encaminharão para os autoritativos da CDN o
meu endereço IP de cliente (ADSL, etc), que será capaz de indicar o host
mais próximo para atender as minhas requisições para o conteúdo desejado.
Veja:

GVT Brasília (*Recursive DNS -* *200.175.5.139*):

; <<>> DiG 9.8.3-P1 <<>> @*200.175.5.139* www.xbox.com

; (1 server found)

;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 28000

;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:

;www.xbox.com. IN A

;; ANSWER SECTION:

www.xbox.com. 47 IN CNAME www.gtm.xbox.com.

www.gtm.xbox.com. 30 IN CNAME wildcard.xbox.com-c.edgekey.net.

wildcard.xbox.com-c.edgekey.net. 10597 IN CNAME
wildcard.xbox.com-c.edgekey.net.globalredir.akadns.net.

wildcard.xbox.com-c.edgekey.net.globalredir.akadns.net. 68 IN CNAME
e2820.dspb.akamaiedge.net.

*e2820.dspb.akamaiedge.net <http://e2820.dspb.akamaiedge.net>. 10 IN A
184.85.43.141*

GVT Brasília by OpenDNS (*Recursive DNS* *- 189.38.95.96*):

; <<>> DiG 9.8.3-P1 <<>> @*189.38.95.96* www.xbox.com

; (1 server found)

;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 9120

;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:

;www.xbox.com. IN A

;; ANSWER SECTION:

www.xbox.com. 61 IN CNAME www.gtm.xbox.com.

www.gtm.xbox.com. 61 IN CNAME wildcard.xbox.com-c.edgekey.net.

wildcard.xbox.com-c.edgekey.net. 19560 IN CNAME
wildcard.xbox.com-c.edgekey.net.globalredir.akadns.net.

wildcard.xbox.com-c.edgekey.net.globalredir.akadns.net. 189 IN CNAME
e2820.dspb.akamaiedge.net.

*e2820.dspb.akamaiedge.net <http://e2820.dspb.akamaiedge.net>. 130 IN A
184.85.139.141*

Em resumo, usar o DNS da própria operadora irá poupar que a requisição DNS
percorra alguns peerings na internet para chegar até servidores de DNS
Global, porém, vale lembrar que essa soluções usam MultiCast IP e atendem
ao mesmo endereço (Ex. 8.8.8.8) em várias regiões do país e do mundo.

[ ]'s

2014-05-23 21:33 GMT-03:00 Renato Frederick <renato at frederick.eti.br>:

> Em 23/05/14 16:12, Danton Nunes escreveu:
>
>  On Fri, 23 May 2014, Ricardo Rodrigues wrote:
>>
>>  Finalmente, lembre-se que servidores DNS (tanto autoritativos quanto
>>> recursivos) devem responder tanto via UDP quanto via TCP. Existem poucas
>>> consultas via TCP, mas existem. E isso exige medidas para evitar ataques
>>> via TCP (e ao contrário do que parece ser intuitivo, colocar um FW
>>> stateful
>>> ou IPS na frente não resolve).
>>>
>>
>> isso é particularmente sério em zonas assinadas (DNSSEC) e atributos com
>> RRsets grandes. Ainda há idio^H^H^H^Hadministradores que bloqueiam 53/tcp
>> indiscriminadamente.
>>
>>
>>  Pessoal, aproveitando o tópico de DNS, confirmem ou corrijam meu
> pensamento:
>
> Eu sempre procuro utilizar o DNS que o provedor(Cable, ADSL) fornece ao
> cliente.
> Caso seja um cliente business, com  Active Directory, procuro também usar
> os IP do DNS do provedor como encaminhadores, do que somente consulta
> direta aos root-servers(deixo root-servers caso o encaminhador dê timeout
> de 5segundos).
>
> Faço isto porque acredito que o provedor que cliente assina, possui(ou no
> futuro pussuirá) algum tipo de cache que com base nas consultas DNS,
> otimizem o tráfego, gerando menor latência, mais velocidade, tipo jogando
> para um CDN, ou seja, fazendo não só análise da porta 80.
>
> Bom, se meu pensamento acima estiver OK, minha questão é:
> Devo tentar educar o pessoal a evitar a usar dns públicos, alegando que
> isto poderia fazer com que a máquina dele não passe pelo cache e venha a
> ter uma navegação mais lenta para abrir algum conteúdo que poderia ter
> buscado no cache local?
>
> Esta dúvida me veio na cabeça porque andei fazendo alguns tcpdumps no adsl
> de casa e noto que, por exemplo, quando o XBOX vai fazer alguns downloads
> de jogos, se eu altero o DNS dele(da operadora para google), a origem do
> Download muda(e o tempo também). Mas ao mesmo tempo, já me falaram que não
> tem impacto do DNS, somente do tráfego HTTP que é analisado...
>
> E aí, como anda a questão de CDN/cache e o DNS da operadora? E como fica
> nesta jogada serviços que são bem conhecidos tipo o google public dns?
>
> Obrigado!
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

-- 
Atenciosamente,

Rodrigo Brito