pamiec DNS

[rip]

Zalozmy ze mam serwer dns. Dodaje jakas domeme xyz.
Wyzsze serwery 'widza' moj serwer, (jak nazywa sie ten rekord ktory odsyla do innych serverow?). Teraz jest sobie jakas podsiec na 2 koncu swiata z wlasnym dns. I jakis user go odpyta o domene xyz, dostanie odpowiedz. Ale za chwile zmienie wpis w moim dns. I czy jak user tej sieci odpyta swoj dns poraz 2, to dostanie odswierzona odpowiedz, czy stara? I ile wynosi zazwyczaj ttl dnsa?
A moze jest jakas flaga w ramce dns ktora zmusza serwer do odpytania zrodla /w co watpie, jest dns poisonong/.

No i czy pisanie programu w zalozeniu 'niemozliwosci wytropienia serwera' opartego wlasnie na przerzucaniu na rozne serwery i aktualizacji ma sens?
Czy jest jakies 'prawo' ktore moze wywalic moja domene xyz z serwera?
Wiem ze sie da... Ale zalozmy ze nie bede stanowil zagrorzenia dla calej planety to czy to moga zrobic

2. Jak sie ma sprawa dns na tcp? A tak woguje to po co jest tez na tcp, chyba zeby dos poszedl szybciej

[TQM]

I jakis user go odpyta o domene xyz, dostanie odpowiedz. Ale za chwile zmienie wpis w moim dns. I czy jak user tej sieci odpyta swoj dns poraz 2, to dostanie odswierzona odpowiedz, czy stara? I ile wynosi zazwyczaj ttl dnsa?

Jak dobrze zauwazyles zalezy to od TTL. Generalnie koles nie pyta sie Twojego serwera tylko swojego - tego co mu wskazal ISP na przyklad. Ten serwer pyta dalej, i dalej i dalej az w koncu zapyta Twoj serwer albo ktos inny zapyta Twoj serwer i przekaze odpowiedz w dol calego lancuszka do usera wlacznie.
Teraz kazdy z tych DNS'ow ktory posredniczyl w przeplywie zapytania zapamietuje sobie odpowiedz na wypadek gdyby ktos jeszcze o to samo pytal. Ta odpowiedz bedzie pamietana przez czas rowny TTL wlasnie. Jak TTL wygasnie i ktos ponownie zapyta o ten sam rekord, serwer DNS zacznie znowu poszukiwania.

Ile wynosi TTL? W moich sieciach od 5 minut (widzialem mniej ale to sie mija z celem najczesciej) do 42 dni - ustawiane z dokladnoscia do 1 sekundy hihi.
Dlatego wlasnie tak wazne jest, ze jesli mam TTL 7 dni i wiem ze bede zmienial w przyszlym tygodniu adres IP tej maszyny to musze co najmniej 7 dni przed zmiana obnizyc TTL do powiedzmy 1h. W przeciwnym wypadku czest serwerow bedzie zglaszac stare IP swoim klientom (bo TTL jeszcze nie wygasl) a ci co pytali pozniej beda miec nowe IP - w praktyce oznacza to, ze musze utrzymywac on-line 2 serwery i synchronizowac content miedzy nimi (a u mnie aktualizacje sa kilkadziesiat razy dziennie jesli nie czesciej).

Krotki TTL, zmiana IP, jak dziala to pozniej podnosimy TTL...

A moze jest jakas flaga w ramce dns ktora zmusza serwer do odpytania zrodla /w co watpie, jest dns poisonong/.

Zmusic serwer do ponownego odpytania gdy TTL nie wygasl? Hmmmm... restart serwera najczesciej

No i czy pisanie programu w zalozeniu 'niemozliwosci wytropienia serwera' opartego wlasnie na przerzucaniu na rozne serwery i aktualizacji ma sens?

Nie bardzo... sa gotowe uslugi gdzie firma daje DNS z krotkim TTL i gwarantuje za odpowiednia oplata ze nie zdejma domeny z DNSow Jak myslisz... jak botnety wiedza gdzie jest serwer C&C? Dokladnie tak!

Czy jest jakies 'prawo' ktore moze wywalic moja domene xyz z serwera?
Wiem ze sie da... Ale zalozmy ze nie bede stanowil zagrorzenia dla calej planety to czy to moga zrobic

j.w. - zaleznie gdzie znajduje sie serwer DNS i firma/podmiot go prowadzacy.

2. Jak sie ma sprawa dns na tcp? A tak woguje to po co jest tez na tcp, chyba zeby dos poszedl szybciej

TCP jest uzywane TYLKO do transferu stref, nie jest uzywane do odpowiadania na zapytania o rekordy... poza tym wyobrazasz sobie ze max 16 tzw. root-server'ow mogloby obsluzyc caly ruch na swiecie gdyby uzywalo TCP zamiast UDP? Ja tego nie widze...

Ostatnio rozmawialem z inzynierami naszego dostawcy uslug DNS'owych i kolesie bardzo ciekawie opowiadali jak te root-servers sa zrobione (sami prowadza jeden z nich)... wiem ze DDoS na te serwerki bylby cholernie trudny a praktycznie ehmmm... niewykonalny. Moze by je zmulilo ale nie doprowadzilo do padaczki.

[rip]

a kiedy powstaly 3 nowe root'y? Zawsze uwazalem ze jest ich 13.

Jak myslisz... jak botnety wiedza gdzie jest serwer C&C? Dokladnie tak!

Dlugo sie nad tym zastanawialem, i rozne ciekawe pomysly przychodzily mi do glowy. No ale jesli sa firmy ktore nie zdejma domeny, to sprawa prosta .


Ale ten ttl mnie troche niepokoi =/
skoro mowisz ze 7 dni... A ja raczej sie nie bede bawil w zmiane dnsow ofiary CHOCIAZ jest przeciez plik hosts /bad idea /

Ale jakby napisac wlasna obsluge protokolu dns i recznie pobierac odpowiedzi z serwera ktory nie zmieni ip... A co jesli zmodyfikuja pakiet dodajac jakis rekord? Also bad idea


No coz, 42 dni to ciut za duzo.


Ale zaraz zaraz, wiele razy gralem w gry sieciowe gdzie serwer byl ze zmiennym ip. Host byl afair na dnsach no-ip.com a nikt nie zglaszal problemu ze sie nie moze polaczyc. Na kilka tysiecu osob ktos musial byc za natem. No ale pewnie 5 min ttlu starczy. A to duzo za dlugo.

Gdybym pisal botnet, to moze dzien w te czy we wte niemialby znaczenia, ale ja chce napisac cos troche innego, gdzie kazda sekunda ma znaczenie.

Jakies rady?

[TQM]

Jest 13 ale w pojedynczy pakiet protokolu DNS mozna max upakowac 16 o ile pamietam - stad taka wartosc... napisalem max 16

TTL 42 ustawiam na takich rzeczach jak max TTL dla SOA itd... dla A, CNAME, MX, TXT ustawiam od 1 do 7 dni, zaleznie od tego jaka jest zmiennosc domeny (poza tym place za kazde zapytanie - na jednej domenie mam prawie 1mln zapytan miesiecznie a TTL ma 3 dni tam). Jesli planuje migrowac hosty itd to stopniowo obnizam TTL - jesli byl 1 dzien to na 2 dni przed obnizam do 1h, na 2h przed obnizam do 5 minut... pozniej robie zmiane i jak calosc dziala ladnie to podnosze TTL do gory.

no-ip.info pozwala na aktualizacje albo co 5 minut (to jest minimum, czesciej sie nie da chyba ze pod *NIX'em - tam jest skrypt i mozna go zmienic, albo za pomoca demona co sam zglasza jak zmieni sie IP o czym on wie z loga PPP na przyklad). Jesli TTL jest za krotki to wiele serwerow go ignoruje i ustawia swoj TTL wpisujac rekord do cache - spotkalem sie z tym pare razy - wielcy ISP wymuszaja swoj TTL wiec nie ma znaczenia czy dasz 5 minut czy 12h... i tak bedzie tyle ile powiedzial ISP.

P.S.
W wypadku botnetow mowimy o TTL w granicach 30-300 sekund a nie o dniach... taki serwer C&C (tez zombie nawiasem mowiac) mozna latwo wyciac wiec botnet musi miec nowy C&C wtedy...