[GTER] Dúvidas sobre DNS

Gustavo Stocco gustavostocco at gmail.com
Thu Mar 12 11:13:22 -03 2015


Bom dia!

Bem, procurei sobre o conteúdo mas não achei algo em específico que
esclarecesse as dúvidas.
Após ler toda a discussão entre os colegas,a única forma foi retirar esta
discussão do baú, já que se trata exatamente desta assunto.

Utilizávamos, até pouco tempo atrás, a implementação dos DNSs públicos,
como Google, OpenDNS,GigaDNS e afins, em nossos clientes.
Entretanto, de um tempo para cá, reparei que eles estavam resolvendo
endereços de grandes empresas, como Google, para os GCCs de outras
operadoras.
Isso atrapalhou a organização dos circuitos, uma vez que o PTT não estava
mais "servindo" como saída para esses endereços, e sim um Cache do Google
que estava instalado na rede da GVT aqui na região.
Sendo assim todo este fluxo acabou sendo direcionado para o link da GVT,
sobrecarregando em alguns momentos.

Seguindo orientações da melhor forma de proceder com a resolução do assunto
em caráter definitivo, resolvemos montar o nosso próprio recursivo.
Separamos um hardware específico para isso e vamos deixar exclusivamente
para os nossos clientes. Escolhemos o FreeBSD Unbound por razões de
agilidade e segurança. Nâo utilizamos forwarders, apenas os ROOTs para
pesquisa.

Agora, caímos em uma outra situação. O google, por exemplo, resolve em um
GCC dentro da MinasMaisTelecom, passando por dentro do PTT, e não nos
servidores do próprio Google.
A única forma de atingir os servidores do próprio Google está sendo
utilizar os DNSs da GigaDNS, que ai sim ele resolve exclusivamente para os
endereços do AS do Google.

Há alguma forma de resolver isso definitivamente? Como posso fazer para que
o nosso recursivo apenas resolva e armazene os endereços do Google e não
das CDNs espalhadas por ai?

Qualquer ajuda será bem vinda.

Abraços

2014-06-02 18:30 GMT-03:00 Urik B. da Silva <urik at rootz.com.br>:

> Boa tarde,
>
>
> Meus 2 cents.
>
> Uso esses DNS públicos fora da rede corporativa, e têm funcionado muito
> bem.
> Criei o hábito de não utilizar Google DNS.
>
> >>> http://www.gigadns.com.br/
>
>
>     DNS Principal IPv4: 189.38.95.95
>     DNS Secundario IPv4: 189.38.95.96
>
>     DNS Principal IPv6: 2804:10:10::10
>     DNS Secundario IPv6: 2804:10:10::20
>
>
>
> Att,
>
> Urik Barbosa da Silva
> http://www.linkedin.com/in/urikbs
> Linux User #431806
>
> Em 26-05-2014 08:58, Leonardo da Silva Fiuza Pina escreveu:
>
>  Ricardo e Danton,
>>
>> Uma das formas de solucionar um problema é ignorá-lo. Concordo com vocês,
>> servidores DNS devem responder via TCP e UDP, mas muitos administradores de
>> rede só agirão diante de um problema vultoso.
>>
>> Renato,
>>
>> O ideal é você criar um novo tópico com o seu assunto porque o que você
>> fez compromete a objetividade deste tópico.
>>
>> Eu uso e recomendo os servidores DNS da OpenDNS por causa do bom
>> desempenho e das funcionalidades oferecidas a partir da conta doméstica,
>> gratuita. Comecei a usar os OpenDNS quando era assinante da NET. Os
>> servidores DNS da NET Vírtua em Brasília, DF freqüentemente não resolviam
>> sites impopulares como o MSN Hotmail. Hoje, reconheço que os servidores DNS
>> da GVT, da qual sou assinante, têm bom desempenho mas os OpenDNS tem mais
>> funcionalidades.
>>
>> Cordial cumprimento.
>>
>> On 05/23/2014 21:33, Renato Frederick wrote:
>>
>>> Em 23/05/14 16:12, Danton Nunes escreveu:
>>>
>>>> On Fri, 23 May 2014, Ricardo Rodrigues wrote:
>>>>
>>>>  Finalmente, lembre-se que servidores DNS (tanto autoritativos quanto
>>>>> recursivos) devem responder tanto via UDP quanto via TCP. Existem
>>>>> poucas
>>>>> consultas via TCP, mas existem. E isso exige medidas para evitar
>>>>> ataques
>>>>> via TCP (e ao contrário do que parece ser intuitivo, colocar um FW
>>>>> stateful
>>>>> ou IPS na frente não resolve).
>>>>>
>>>>
>>>> isso é particularmente sério em zonas assinadas (DNSSEC) e atributos
>>>> com RRsets grandes. Ainda há idio^H^H^H^Hadministradores que bloqueiam
>>>> 53/tcp indiscriminadamente.
>>>>
>>>>
>>>>  Pessoal, aproveitando o tópico de DNS, confirmem ou corrijam meu
>>> pensamento:
>>>
>>> Eu sempre procuro utilizar o DNS que o provedor(Cable, ADSL) fornece ao
>>> cliente.
>>> Caso seja um cliente business, com  Active Directory, procuro também
>>> usar os IP do DNS do provedor como encaminhadores, do que somente consulta
>>> direta aos root-servers(deixo root-servers caso o encaminhador dê timeout
>>> de 5segundos).
>>>
>>> Faço isto porque acredito que o provedor que cliente assina, possui(ou
>>> no futuro pussuirá) algum tipo de cache que com base nas consultas DNS,
>>> otimizem o tráfego, gerando menor latência, mais velocidade, tipo jogando
>>> para um CDN, ou seja, fazendo não só análise da porta 80.
>>>
>>> Bom, se meu pensamento acima estiver OK, minha questão é:
>>> Devo tentar educar o pessoal a evitar a usar dns públicos, alegando que
>>> isto poderia fazer com que a máquina dele não passe pelo cache e venha a
>>> ter uma navegação mais lenta para abrir algum conteúdo que poderia ter
>>> buscado no cache local?
>>>
>>> Esta dúvida me veio na cabeça porque andei fazendo alguns tcpdumps no
>>> adsl de casa e noto que, por exemplo, quando o XBOX vai fazer alguns
>>> downloads de jogos, se eu altero o DNS dele(da operadora para google), a
>>> origem do Download muda(e o tempo também). Mas ao mesmo tempo, já me
>>> falaram que não tem impacto do DNS, somente do tráfego HTTP que é
>>> analisado...
>>>
>>> E aí, como anda a questão de CDN/cache e o DNS da operadora? E como fica
>>> nesta jogada serviços que são bem conhecidos tipo o google public dns?
>>>
>>> Obrigado!
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>
>>> !DSPAM:82,53800599233532039513939!
>>>
>>>
>>>
>>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter




-- 

Gustavo Stocco
GNet Telecomunicaçõeshttp://www.gnettelecom.com.br
+55 (47) 3373-3322
0800-932-0000 R.3322
INOC-DBA BR 53001*100



More information about the gter mailing list