[GTER] Dúvidas sobre DNS
Michel L. M. B. Perez
michelmbperez at gmail.com
Sat May 24 01:37:14 -03 2014
Eu sempre também fico nesse impasse, usar ou não Forwarders nos DNS dos
Clientes, visto que os Root Servers estão em alguns dos PTTs. Inclusive
isso recentemente me gerou uma grande dor de cabeça.
Pois o cliente usava DNS do Google (8.8.8.8) e na época o acesso dele ao
Google estava horrível sendo que o Provedor que ele usava tinha acesso
"turbinado" no PTT regional onde tem Root Server.
Acho que depende muito de alguns fatores, onde o cliente está, e como o
provedor onde ele está se conecta a "grande teia" leia-se internet. Daí
também tem que analisar um pouco a necessidade, se tem ASN ou não, essas
coisas.
Att.,
--
Michel Perez
Skype: michelmbperez
michelmbperez at gmail.com
http://br.linkedin.com/in/michelmbperez
Em 24 de maio de 2014 00:31, Rodrigo Brito <rodrigobrito at bsd.com.br>escreveu:
> Olá Renato,
>
> Sobre o cache de DNS há algumas questões que devem ser consideradas. Alguns
> provedores de fato realizam cache de respostas, porém, o que vale para o
> S.O é o cache fornecido pelo DNS autoritário, exemplo:
>
> ; <<>> DiG 9.8.3-P1 <<>> www.xbox.com
>
> ;; global options: +cmd
>
> ;; Got answer:
>
> ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 33651
>
> ;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 0
>
>
> ;; QUESTION SECTION:
>
> ;www.xbox.com. IN A
>
>
> ;; ANSWER SECTION:
>
> *1 -* *www.xbox.com <http://www.xbox.com>. 300 IN CNAME www.gtm.xbox.com
> <http://www.gtm.xbox.com>.*
>
> *2 - *www.gtm.xbox.com. 19 IN CNAME wildcard.xbox.com-c.edgekey.net.
>
> *3 -* wildcard.xbox.com-c.edgekey.net. 11105 IN CNAME
> wildcard.xbox.com-c.edgekey.net.globalredir.akadns.net.
>
> *4 -* wildcard.xbox.com-c.edgekey.net.globalredir.akadns.net. 576 IN CNAME
> e2820.dspb.akamaiedge.net.
>
> *5 -* *e2820.dspb.akamaiedge.net <http://e2820.dspb.akamaiedge.net>. 19 IN
> A 184.85.43.141*
>
> Nesse caso, o TTL (Time to Live) de cada registro é apresentado na coluna
> 2, onde nesse caso a informação para o registro - www.xbox.com - será
> válida por 300 segundos e após esse período o S.O fará uma nova consulta.
> Prioritariamente, qualquer cache de DNS nas operadoras deveria respeitar
> esse dado, já que ele é definido pela RFC, mas isso não é garantia, então
> há casos em que o TTL poderá ser ignorado.
>
> Sobre a questão de CDN, de fato existe uma prerrogativa que definirá qual o
> melhor servidor para lhe servir o conteúdo. Veja que no meu caso, o
> endereço IP fornecido foi: 184.85.43.141 (que pertence a CDN Akamai).
>
> No caso de grandes player de CDN (como a Akamai) os servidores de DNS
> Global estão adaptado para fornecer o client IP, ou seja, mesmo eu usando o
> Google DNS ou o OpenDNS, estes encaminharão para os autoritativos da CDN o
> meu endereço IP de cliente (ADSL, etc), que será capaz de indicar o host
> mais próximo para atender as minhas requisições para o conteúdo desejado.
> Veja:
>
> GVT Brasília (*Recursive DNS -* *200.175.5.139*):
>
> ; <<>> DiG 9.8.3-P1 <<>> @*200.175.5.139* www.xbox.com
>
> ; (1 server found)
>
> ;; global options: +cmd
>
> ;; Got answer:
>
> ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 28000
>
> ;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 0
>
>
> ;; QUESTION SECTION:
>
> ;www.xbox.com. IN A
>
>
> ;; ANSWER SECTION:
>
> www.xbox.com. 47 IN CNAME www.gtm.xbox.com.
>
> www.gtm.xbox.com. 30 IN CNAME wildcard.xbox.com-c.edgekey.net.
>
> wildcard.xbox.com-c.edgekey.net. 10597 IN CNAME
> wildcard.xbox.com-c.edgekey.net.globalredir.akadns.net.
>
> wildcard.xbox.com-c.edgekey.net.globalredir.akadns.net. 68 IN CNAME
> e2820.dspb.akamaiedge.net.
>
> *e2820.dspb.akamaiedge.net <http://e2820.dspb.akamaiedge.net>. 10 IN A
> 184.85.43.141*
>
> GVT Brasília by OpenDNS (*Recursive DNS* *- 189.38.95.96*):
>
> ; <<>> DiG 9.8.3-P1 <<>> @*189.38.95.96* www.xbox.com
>
> ; (1 server found)
>
> ;; global options: +cmd
>
> ;; Got answer:
>
> ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 9120
>
> ;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 0
>
>
> ;; QUESTION SECTION:
>
> ;www.xbox.com. IN A
>
>
> ;; ANSWER SECTION:
>
> www.xbox.com. 61 IN CNAME www.gtm.xbox.com.
>
> www.gtm.xbox.com. 61 IN CNAME wildcard.xbox.com-c.edgekey.net.
>
> wildcard.xbox.com-c.edgekey.net. 19560 IN CNAME
> wildcard.xbox.com-c.edgekey.net.globalredir.akadns.net.
>
> wildcard.xbox.com-c.edgekey.net.globalredir.akadns.net. 189 IN CNAME
> e2820.dspb.akamaiedge.net.
>
> *e2820.dspb.akamaiedge.net <http://e2820.dspb.akamaiedge.net>. 130 IN A
> 184.85.139.141*
>
> Em resumo, usar o DNS da própria operadora irá poupar que a requisição DNS
> percorra alguns peerings na internet para chegar até servidores de DNS
> Global, porém, vale lembrar que essa soluções usam MultiCast IP e atendem
> ao mesmo endereço (Ex. 8.8.8.8) em várias regiões do país e do mundo.
>
> [ ]'s
>
>
>
>
> 2014-05-23 21:33 GMT-03:00 Renato Frederick <renato at frederick.eti.br>:
>
> > Em 23/05/14 16:12, Danton Nunes escreveu:
> >
> > On Fri, 23 May 2014, Ricardo Rodrigues wrote:
> >>
> >> Finalmente, lembre-se que servidores DNS (tanto autoritativos quanto
> >>> recursivos) devem responder tanto via UDP quanto via TCP. Existem
> poucas
> >>> consultas via TCP, mas existem. E isso exige medidas para evitar
> ataques
> >>> via TCP (e ao contrário do que parece ser intuitivo, colocar um FW
> >>> stateful
> >>> ou IPS na frente não resolve).
> >>>
> >>
> >> isso é particularmente sério em zonas assinadas (DNSSEC) e atributos com
> >> RRsets grandes. Ainda há idio^H^H^H^Hadministradores que bloqueiam
> 53/tcp
> >> indiscriminadamente.
> >>
> >>
> >> Pessoal, aproveitando o tópico de DNS, confirmem ou corrijam meu
> > pensamento:
> >
> > Eu sempre procuro utilizar o DNS que o provedor(Cable, ADSL) fornece ao
> > cliente.
> > Caso seja um cliente business, com Active Directory, procuro também usar
> > os IP do DNS do provedor como encaminhadores, do que somente consulta
> > direta aos root-servers(deixo root-servers caso o encaminhador dê timeout
> > de 5segundos).
> >
> > Faço isto porque acredito que o provedor que cliente assina, possui(ou no
> > futuro pussuirá) algum tipo de cache que com base nas consultas DNS,
> > otimizem o tráfego, gerando menor latência, mais velocidade, tipo jogando
> > para um CDN, ou seja, fazendo não só análise da porta 80.
> >
> > Bom, se meu pensamento acima estiver OK, minha questão é:
> > Devo tentar educar o pessoal a evitar a usar dns públicos, alegando que
> > isto poderia fazer com que a máquina dele não passe pelo cache e venha a
> > ter uma navegação mais lenta para abrir algum conteúdo que poderia ter
> > buscado no cache local?
> >
> > Esta dúvida me veio na cabeça porque andei fazendo alguns tcpdumps no
> adsl
> > de casa e noto que, por exemplo, quando o XBOX vai fazer alguns downloads
> > de jogos, se eu altero o DNS dele(da operadora para google), a origem do
> > Download muda(e o tempo também). Mas ao mesmo tempo, já me falaram que
> não
> > tem impacto do DNS, somente do tráfego HTTP que é analisado...
> >
> > E aí, como anda a questão de CDN/cache e o DNS da operadora? E como fica
> > nesta jogada serviços que são bem conhecidos tipo o google public dns?
> >
> > Obrigado!
> >
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> >
>
>
>
> --
> Atenciosamente,
>
> Rodrigo Brito
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list