[GTER] RES: RES: Dúvidas sobre DNS

diegocanton at ensite.com.br diegocanton at ensite.com.br
Sat May 24 15:18:27 -03 2014


Ah, só mais um detalhe, nem o 8.8.8.8 e 8.8.4.4 não nos envia para o GGC local, apenas nosso DNS o faz.

Att,
_______________________________________________________________________



-----Mensagem original-----
De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em nome de diegocanton at ensite.com.br
Enviada em: sábado, 24 de maio de 2014 15:08
Para: 'Grupo de Trabalho de Engenharia e Operacao de Redes'
Assunto: [GTER] RES: Dúvidas sobre DNS

Renato, você pode até reduzir o tempo desses servidores Cache dos corporativos para 1 Segundo, o servidor local envia a consulta com IP do ISP, recebendo de uma CDN como Akamai o endereço do servidor mais próximo baseado nesse IP dele.

Quanto a usar o da Operadora, bom se já usar um cache local o resultado deve ser igual, usa-lo como encaminhador, pode reduzir o tempo de resolução para registros externos.

Já em relação a DNS Públicos, não recomendo exatamente por causa das CDN's, posso dizer que a diferença é visível. Temos acesso a Servers Akamai de um parceiro e usamos ele enquanto aguardamos a chegada dos servidores que conseguimos e posso dizer, os destinos que o Google, Level3, OpenDNS e GigaDNS nos enviam é de longe o melhor caminho, enquanto ao usar os nossos DNS a resposta sempre é um Cache do parceiro ou do Trânsito.

Att,
_______________________________________________________________________


-----Mensagem original-----
De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em nome de Renato Frederick Enviada em: sexta-feira, 23 de maio de 2014 21:33
Para: Grupo de Trabalho de Engenharia e Operacao de Redes
Assunto: Re: [GTER] Dúvidas sobre DNS

Em 23/05/14 16:12, Danton Nunes escreveu:
> On Fri, 23 May 2014, Ricardo Rodrigues wrote:
>
>> Finalmente, lembre-se que servidores DNS (tanto autoritativos quanto
>> recursivos) devem responder tanto via UDP quanto via TCP. Existem 
>> poucas consultas via TCP, mas existem. E isso exige medidas para 
>> evitar ataques via TCP (e ao contrário do que parece ser intuitivo, 
>> colocar um FW stateful ou IPS na frente não resolve).
>
> isso é particularmente sério em zonas assinadas (DNSSEC) e atributos 
> com RRsets grandes. Ainda há idio^H^H^H^Hadministradores que bloqueiam 
> 53/tcp indiscriminadamente.
>
>
Pessoal, aproveitando o tópico de DNS, confirmem ou corrijam meu pensamento:

Eu sempre procuro utilizar o DNS que o provedor(Cable, ADSL) fornece ao cliente.
Caso seja um cliente business, com  Active Directory, procuro também usar os IP do DNS do provedor como encaminhadores, do que somente consulta direta aos root-servers(deixo root-servers caso o encaminhador dê timeout de 5segundos).

Faço isto porque acredito que o provedor que cliente assina, possui(ou no futuro pussuirá) algum tipo de cache que com base nas consultas DNS, otimizem o tráfego, gerando menor latência, mais velocidade, tipo jogando para um CDN, ou seja, fazendo não só análise da porta 80.

Bom, se meu pensamento acima estiver OK, minha questão é:
Devo tentar educar o pessoal a evitar a usar dns públicos, alegando que isto poderia fazer com que a máquina dele não passe pelo cache e venha a ter uma navegação mais lenta para abrir algum conteúdo que poderia ter buscado no cache local?

Esta dúvida me veio na cabeça porque andei fazendo alguns tcpdumps no adsl de casa e noto que, por exemplo, quando o XBOX vai fazer alguns downloads de jogos, se eu altero o DNS dele(da operadora para google), a origem do Download muda(e o tempo também). Mas ao mesmo tempo, já me falaram que não tem impacto do DNS, somente do tráfego HTTP que é analisado...

E aí, como anda a questão de CDN/cache e o DNS da operadora? E como fica nesta jogada serviços que são bem conhecidos tipo o google public dns?

Obrigado!
--
gter list    https://eng.registro.br/mailman/listinfo/gter

--
gter list    https://eng.registro.br/mailman/listinfo/gter




More information about the gter mailing list