[linux] DNS pre cz hmmmmmmm babo rad
Matus UHLAR - fantomas
uhlar na fantomas.sk
Sobota Listopad 3 16:08:03 CET 2007
> On Fri, Nov 02, 2007 at 04:17:34PM +0100, Matus UHLAR - fantomas wrote:
> > Ak je niekde hanba, tak skor v tom, ze len 3 z uvedenych serverov
> > vracaju A zaznamy v ADDITIONAL sekcii, zo zvysuje pocet potrebnych
> > requestov na DNS.
On 03.11.07 11:24, Miro Bobovsky wrote:
> hej, to som myslel. I ked asi sa mylym ak prave toto podozrievam za stav
> ktory u mna nastal.
> > divne, mne vratil "no NS record", ale referral vratil v poriadku, ako tu
> > nizsie:
> to ci neodpovie nic alebo no NS record zavisi ci mas bind8 alebo bind9
> chapem .. len ma udivilo ze ak sa pytam SK top servrov na sk domeny tak
> vedia poskytnut info kto je NS (ved davam dotaz typ NS)
fpdns mi u a.ns.nic.cz hlasi bind9 a u ns.sk-nic.sk bind8. Rozdiel je ten, ze
bind9 vracia glue NS zaznamy v AUTHORITY zatialco bind8 v ANSWER sekcii.
IP adresy su v oboch pripadoch v ADDITIONAL.
> Uz aj chapem preco je na no NS ..
> zrejme inde aj koli mozno urychleniu proste top servre robili aj takuto
> sluzbu ze povedali rovno kto je NS ...
uprimne povedane, robia to aj teraz, len to inac klasifikuju. bind8 sa tvari
ze ti vratil odpoved, bind9 ta len odkaze na toho, kto ti odpoved vrati.
> Skratka Dik uz mi je to preco sa host sprava tak ako sa sprava a ze je
> to spravne spravanie jasne. DIK. DIK.
> Aj ked mi je to divne v kontraste s tym co odpovie napr sknic ...
> ze authority 0 .. No uz chapem preco sa to tak sprava a ze nieje to bug
za autoritatvnu NS odpoved sa pre xyz.sk povazuje ta, ktoru si vytiahol z
domeny xyz.sk, ak taka existuje.
Moze to ovplyvnit posudzovanie problemu, ak sk-nic vracvia ine glue zaznamy
ako su v domene, co je casty stav u niektorych registrarorov a NS adminov.
Takyto nesulad moze sposobit znacne problemy v DNS, specialne ak su servery
uplne ine, pripadne vracaju ine zaznamy.
(vysvetlenie a popisanie takychto pripadov a problemov by vydalo na celu
prednasku, ak ju niekedy zosmolim ja alebo niekto iny).
> A teraz DRUHY problem - t.j. spadnute CECHY.
> Ono toto bol dovod pre ktory som hladal po pricine a narazil na problem
> s hostom ktory sme uz poriesili.
> Takze mam server (bind8 debian old stable) kde prestali fungovat vsetky
> cz domeny. Odmietol som len jednoducho restartnut bind lebo ma zaujima
> dovod (a tam je pes zakopany).
rozne verzie bind8 trpia mnohymi bugmi, viac a menej problemovymi. ISC
vydalo nejaker patche ale BIND8 je uz v stave end-of-life takze rasej
upgradni.
bind9.2.3 je aj v debian oldstable (momentalne sarge), takze ak upgradnes,
mal by problem ustat. upgradni asap (najlepsie aj debian ;)
> Takze som zistil ze problem je ze moj bind vie kto su top servre pre cz
> ale nevie ani na jeden zistit IP a teda sa nevie ich dotazat a teda nejde
> ziadna cz domena.
k takemuto problemu moze dojst pri roznych domenach (hlavne u bind8), ak je
TTL na NS zaznamoch vyssie ako TTL na im odpovedajucich A zaznamoch (ale
nielen vtedy. bind9 je odolnejsi.
co sa stane je zhruba to, ze bind sice ma NS zaznamy pre domenu, ale nema A
zaznamy k tym NS zaznamom, a kedze tie su v tej istej domene, zistit ich
moze len cez NS zaznamy, ku ktorym vsak nema A zaznamy...
> a o 1604 sekund uz to vyzeralo inak a vsetko slape ok ..
> Moj usudok bol ze od 192.36.148.17 sa mj server niekedy davno (lebo uz
> je malicke cislo expiracie) naucil to ze toto su top DNS servre pre cz a
> bohuzial ani na jeden nemam Ackovy zaznam ale len ipv6 ktory ale
> neprevadzkujem.
192.36.148.17 je root server. vracia referral na CZ s TTL 172800, a kedze CZ
vracia na seba NS aj A zaznamy s TTL 18000, mohlo sa expiraciou stat to co
popisujem hore.
> Rovnako aj 192.58.128.30.
co je tiez root server :)
> Z toho som usudzoval ze chyba bola v saskovani s top domenou cz a mozno
> sa to prejavilo aj inym. Navyse som sa zamotal s host om a jeho inym
> chovanim ako pri inych domenach.
neviem ci s nou niekto saskoval, mas nejake konkretne info? Viem ze kedysi
vyzerali NS pre .cz inac ale tieto uz nejaky cas funguju...
> Takze aky je tvoj nazor preco sa mne odrezali cele cechy ?
> resp preco mi chybali Ackove zaznamy ? a myslis si ze je to korektne
> alebo je to zase len casovana bomba ?
jeden problem je v rozdielnosti TTL, druhy v BIND8.
--
Matus UHLAR - fantomas, uhlar na fantomas.sk ; http://www.fantomas.sk/
Warning: I wish NOT to receive e-mail advertising to this address.
Varovanie: na tuto adresu chcem NEDOSTAVAT akukolvek reklamnu postu.
Spam is for losers who can't get business any other way.
Další informace o konferenci linux