Re: [FRnOG] [TECH] Serveur DNS employés ?
Bonjour, Le jeudi 15 décembre 2022 (13:44), Damien Wetzel écrivait : > > Au passage, je suis assez surpris de l'importance des requetes venant des > resolveurs ouverts > cloudflare, google, cisco qui ont l'air de surpasser les resolveurs ISPs et > du fait > que le edns est assez peu utilisé (cela permet de rediriger au plus pres > l'initiateur de la requete DNS) > Vous devez parler de ECS. Ce que vous dites m'étonne car je pensais que les dns récursifs publics de google étaient hégémoniques et ils le supportent tous (au moins les 4 suivant: 8.8.8.8, 8.8.4.4, 2001:4860:4860:: et 2001:4860:4860::8844) ECS doit rendre la gestion du cache dns des dns récursifs bien plus complexe : La réponse dépendant du demandeur, il faut mettre en cache la donnée et depuis quel réseau demandeur elle est valable. Le cache doit aussi être plus volumineux puisqu'au lieu d'avoir simplement les données reçues dans les réponses, on a les couples (donnée, réseau demandeur). Ça doit aussi rendre le cache moins efficace puisqu'une donnée en cache ne servira que pour les requêtes du réseau demandeur. J'avais utilisé le service o-o.myaddr.google.com fourni par google pur faire quelques tests (cf https://support.google.com/interconnect/answer/7658602?hl=en ) 8.8.8.8 le supportait mais pas 9.9.9.9 ni 1.1.1.1 host -t TXT o-o.myaddr.google.com 8.8.8.8 Using domain server: Name: 8.8.8.8 Address: 8.8.8.8#53 Aliases: o-o.myaddr.google.com descriptive text "2a00:1450:400c:c02::10d" o-o.myaddr.google.com descriptive text "edns0-client-subnet 82.66.201.0/24" host -t TXT o-o.myaddr.google.com 9.9.9.9 Using domain server: Name: 9.9.9.9 Address: 9.9.9.9#53 Aliases: o-o.myaddr.google.com descriptive text "2620:171:f8:f0::239" host -t TXT o-o.myaddr.google.com 1.1.1.1 Using domain server: Name: 1.1.1.1 Address: 1.1.1.1#53 Aliases: o-o.myaddr.google.com descriptive text "2400:cb00:532:1024::ac47:751d" Par contre quad9 fournit aussi un autre serveur dns récursif supportant ecs : host -t TXT o-o.myaddr.google.com 9.9.9.11 Using domain server: Name: 9.9.9.11 Address: 9.9.9.11#53 Aliases: o-o.myaddr.google.com descriptive text "2620:171:f8:f0::236" o-o.myaddr.google.com descriptive text "edns0-client-subnet 82.66.201.0/24" Évidemment, les dns récursifs ouverts de fdn ne le supportent pas : host -t TXT o-o.myaddr.google.com 2001:910:800::12 Using domain server: Name: 2001:910:800::12 Address: 2001:910:800::12#53 Aliases: o-o.myaddr.google.com descriptive text "2001:910:800::12" cordialement -- Pascal --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Serveur DNS employés ?
Hello Oui. Soit on a plusieurs points de présence et le load balancing/failover est fait en anycast éventuellement et en BGP (on publie des mise à jour de routes pour "éteindre" ou diminuer le trafic vers le point de présence down ou saturé), soit on n'a qu'un seul point de présence où l'on fait le load balancing/failover, mais alors il faut que ce POP soit "ultra redondé" pour se prémunir du SPOF que devient son accès réseau. Le "routage" DNS a sa place dans un tel dispositif, en dernier ressort du fait de la latence avant que les client voient la modif (cf. discussion sur le TTL minimum effectif : on commence à voir des résolveurs qui honorent un TTL à 30s, mais on ne verra jamais des résolveurs qui honorent un TTL à 0 car cela entraînerait un risque d'attaque DDoS sur les serveurs faisant autorité). Donc en synthèse, pour en revenir à la question initialement posée : * on peut utiliser DNS pour rerouter du trafic mais cela ne sera jamais instantané, donc il est inutile d'affaiblir ses serveurs DNS en les faisant dépendre d'un truc à visée de synchro "instantanée" comme une BDD, une API, mais qui ne suivra pas des trafics en Mreq/sec qu'un serveur DNS doit normalement pouvoir servir * pour faire mieux (bascule à le seconde), il faut autre chose que DNS Cordialement Le 17/12/2022 à 14:40, Thomas Trupel via frnog a écrit : Salut Christophe, "Si on veut un lag en dessous de quelques secondes, il faut autre chose (anycast BGP, ou SPOF ultra-redondé où on met un load balancer). " Pour le "SPOF utra-redondé", tu fais allusion à un cluster de load balancer étendu ou pas à plusieurs sites; un seul cluster = SPOF c'est bien ça ? Je demande cela car je pense que l'utilisation d'un seul cluster (load balancer, firewall ou autre) ne permet pas de rendre hautement disponible une application (un cluster = un SPOF selon moi). Cordialement, Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] Serveur DNS employés ?
On Thu, Dec 15, 2022 at 12:19:54PM +0100, Christophe Desnoyer wrote a message of 26 lines which said: > Malheureusement, si le TTL peut être spécifié à la seconde, la > plupart des caches donnent à cette "indication" une valeur minimale, > souvent 20 minutes. Source ? Car aucun logiciel résolveur n'est livré par défaut avec cette configuration (qui viole les RFC). Certains permettent de mettre un minimum (si on est prêt à violer les RFC et qu'on en a marre des TTL abusivement bas) mais « la plupart », vraiment ? Je teste avec www.ratp.fr (TTL de 5 minutes) et je ne vois pas de résolveur public qui fasse cela. Pour les résolveurs des FAI, c'est à tester. C'est possible, bien sûr (Free le faisait) mais pas forcément généralisé. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] Serveur DNS employés ?
On Thu, Dec 15, 2022 at 01:44:00PM +0100, Damien Wetzel wrote a message of 70 lines which said: > le edns est assez peu utilisé (cela permet de rediriger au plus pres > l'initiateur de la requete DNS) Vous voulez dire ECS ? (Car, en 2022, EDNS est *très* utilisé.) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Serveur DNS employés ?
Salut Christophe, "Si on veut un lag en dessous de quelques secondes, il faut autre chose (anycast BGP, ou SPOF ultra-redondé où on met un load balancer). " Pour le "SPOF utra-redondé", tu fais allusion à un cluster de load balancer étendu ou pas à plusieurs sites; un seul cluster = SPOF c'est bien ça ? Je demande cela car je pense que l'utilisation d'un seul cluster (load balancer, firewall ou autre) ne permet pas de rendre hautement disponible une application (un cluster = un SPOF selon moi). Cordialement, Thomas On 15/12/2022 13:00, Christophe Desnoyer wrote: Je confirme (pour l'avoir expérimenté à grande échelle dans une autre vie) qu'un TTL DNS en dessous de 30 secondes, c'est pour se donner l'illusion qu'on aura une bascule instantanée dans un scénario de failover (ou de load balancing). En pratique, ça met plusieurs minutes à commuter. Mais cela dit, la commutation de DNS avec un TTL aussi bas que possible reste solution acceptable.. de dernier recours. Si on veut un lag en dessous de quelques secondes, il faut autre chose (anycast BGP, ou SPOF ultra-redondé où on met un load balancer). Le 15/12/2022 à 12:51, Pierre-Henry Muller via frnog a écrit : Email Signature Le 14/12/2022 à 10:23, Pascal PETIT a écrit : il y a 2 questions que je me pose : - y a-t-il des gens qui utilisent le DNS pour faire de la tolérance de panne avec un TTL très très court et une mise à jour du dns en cas de soucis ? (je pense que c'est une très mauvaise idée) orange.fr, facebook.com 60 secondes www.google.com, yahoo.fr 300 secondes Ils sont bien plus nombreux qu'on le pense, même si pour Google c'est à mon avis plus une raison de traçabilité. - et, en défense contre les TTL trop courts, y a-t-il une durée mini que les dns récursifs des FAI imposent ? Tous ceux qui font du DNS menteur sont ceux qui imposent un TTL minimum. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/