Вопрос: Сколько времени требуется для распространения записей DNS?


Это Канонический вопрос о распространении DNS

Сколько времени требуется для размножения различных типов записей?
Разве некоторые распространяются быстрее других?
Почему для записи DNS-записей требуется время, и как это работает?


64
2018-03-23 13:32


Источник


Примечание. Исторически значительная разница в времени, требуемом для обновления различных типов записей (в зависимости от того, кто их сохранил и т. Д.). Это уже не так. - Chris S
Когда ppl использует слово «распространять» для DNS, это ясно показывает, что они не знают, что такое DNS и как оно работает. Будем надеяться, что документация будет «распространяться» достаточно быстро (пересекая пальцы). - poige
@tonygil См. комментарий Пуги. Нет такой вещи, как распространение dns. Кроме того, интернет-провайдеры не контролируют корневые серверы. Если DNS-серверы этих интернет-провайдеров кэшируются дольше, чем TTL записи, они нарушают RFC. Кажется, у вас несколько недоразумений в том, как работает DNS; но нарушения RFC обычно ломаются так, как предполагается. Это не имеет ничего общего с США или Европой. - Chris S
@tonygil: «cyberpolice», чтобы «сделать» их обновление, - это все системные администраторы, сетевые администраторы и т. д., оказывающие социальное давление на плохих игроков. Интернет работает, потому что мы все согласны с тем, что он должен. Наилучшие интересы наших пользователей, сетей и т. Д. Находятся в явном «лучшем интересе» Интернета. re: «пользователи не technogurus» - это сайт для профессиональных системных администраторов, а не для конечных пользователей. Честно говоря, я ожидаю, что сисадмины будут своего рода «техногуру» (использовать терминологию). сисадминов находятся, по профессии, должен заботиться о том, как это работает. - Evan Anderson
@EvanAnderson я полностью согласен с тем, что давление меняет ситуацию. с другой стороны, реальность такова, что ленивые или некомпетентные системдисты находятся там в полчищах. и чем дальше вы двигаетесь от нас и от Европы, тем чаще они становятся. ваши ожидания оправданы 4 США, но они не могут быть реализованы в большинстве частей реального мира, где правильные системные администраторы являются правилом. поэтому, в то время как вы ожидаете, что все будет в порядке, вы столкнетесь с реальным миром, где они НЕ. во всяком случае, сделал мое мнение, вы сделали свое. давайте согласимся не согласиться. - tony gil


Ответы:


«Распространение DNS» - это не реальное явление, как таковое. Скорее, это проявление эффекта функциональности кэширования, указанной в протоколе DNS. Утверждение, что изменения «распространяются» между DNS-серверами - это удобная ложь, которая, возможно, проще объяснить нетехническим пользователям, чем описать все детали протокола DNS. На самом деле это не так, как работает протокол.

Рекурсивные DNS-серверы делают запросы от имени клиентов. Рекурсивные DNS-серверы, обычно используемые интернет-провайдерами или ИТ-отделами, используются клиентскими компьютерами для разрешения имен интернет-ресурсов. Рекурсивные DNS-серверы кэшируют результаты запросов, которые они делают для повышения эффективности. Запросы на уже кэшированную информацию можно получить без каких-либо дополнительных запросов. Продолжительность в секундах, в результате чего кешируется результат предполагаемый на основе настраиваемого значения, называемого Time To Live (TTL). Это значение задается авторитетным DNS-сервером для запрошенной записи.

На все задаваемые вопросы нет ответа, поскольку DNS является распределенным протоколом. Поведение DNS зависит от конфигурации авторитетного DNS-сервера для данной записи, конфигурации рекурсивных DNS-серверов, выполняющих запросы от имени клиентских компьютеров, и функциональности кэширования DNS, встроенной в операционные системы клиентских компьютеров.

Хорошая практика заключается в том, чтобы указать значение TTL, достаточно короткое, чтобы приспособиться к повседневным изменениям в DNS-записях, но достаточно долго, чтобы создать «выигрыш» в кешировании (т.е. не так короток, чтобы слишком быстро выходить из кеша обеспечить любое повышение эффективности). Использование сбалансированной стратегии со значениями TTL приводит к «победе» для всех. Это снижает нагрузку и использование полосы пропускания для авторитетных DNS-серверов для данного домена, корневых серверов и серверов TLD. Это уменьшает использование пропускной способности восходящего канала для оператора рекурсивного DNS-сервера. Это приводит к более быстрым ответам запросов для клиентских компьютеров.

Поскольку TTL-запись DNS-записи установлена ​​на меньшую нагрузку, а использование пропускной способности на авторитетных DNS-серверах будет увеличиваться, потому что рекурсивные DNS-серверы не смогут кэшировать результат в течение длительного времени. Поскольку TTL в записи больше, изменения в отчетах не будут «быстро вступать в силу», потому что клиентские компьютеры будут продолжать получать кэшированные результаты, хранящиеся на их рекурсивных DNS-серверах. Настройка оптимального TTL сводится к балансированию между использованием и возможностью быстро менять записи и видеть те изменения, которые отражаются на клиентах.

Стоит отметить, что некоторые интернет-провайдеры злоупотребляют и игнорируют значения TTL, заданные авторитетными DNS-серверами (заменяя их собственным административным переопределением, что является нарушением RFC). С этим нечего делать, с технической точки зрения. Если операторы оскорбительных DNS-серверов могут быть размещены, жалобы на их системных администраторов могут привести к их внедрению передовой практики (возможно, что соответствует здравому смыслу для любого сетевого инженера, знакомого с DNS). Этот тип злоупотреблений не является технической проблемой.

Если все «игры по правилам» изменяются на записи DNS Можно «вступают в силу» очень быстро. В случае изменения IP-адреса, назначенного для записи «A», например, будет выполнена экспоненциальная отсрочка значения TTL, что приведет к изменению времени изменения. TTL может начинаться, например, через 1 день и уменьшаться до 12 часов в течение 24 часов, затем 6 часов в течение 12 часов, 3 часа в течение 6-часового периода и т. Д. Вплоть до некоторого подходящего небольшого интервала. После отмены TTL запись может быть изменена, и TTL вернется к требуемому значению для ежедневных операций. (Нет необходимости использовать экспоненциальную отсрочку, однако эта стратегия минимизирует время, в течение которого запись будет иметь низкий TTL и уменьшит нагрузку на авторитетный DNS-сервер.)

После создания журнала регистрации DNS-записей необходимо отслеживать попытки доступа, сделанные в результате старой записи DNS. В примере изменения записи «А» для ссылки на новый IP-адрес сервер должен оставаться на прежнем IP-адресе для обработки попыток доступа, возникающих на клиентских компьютерах, все еще использующих старую запись «А». Когда попытки доступа, основанные на старой записи, достигли приемлемо низкого уровня, старый IP-адрес может быть использован. Если запросы, связанные со старой записью, не ускоряются быстро, возможно, что (как описано выше) рекурсивный DNS-сервер игнорирует авторитарный TTL. Однако, зная исходный IP-адрес попытки доступа, он не предоставляет прямую информацию о рекурсивном DNS-сервере, ответственном за поставку старой записи. Если IP-адреса попыток ошибочного доступа связаны с одним провайдером, может оказаться возможным найти злоумышленный DNS-сервер и обратиться к его оператору.

Лично я видел, как изменения «вступают в силу» сразу, через несколько часов, а в некоторых случаях с определенным поврежденным мозгом интернет-провайдером, через несколько дней. Выполнение отсрочки от вашего TTL и осознание того, как работает этот процесс, увеличит ваши изменения для успеха, но вы никогда не сможете быть уверены в том, что может сделать какой-то доброжелательный идиот с их рекурсивными DNS-серверами.


65
2018-03-23 13:47



Это не ответ на вопрос «OpenDNS» - это ответ о DNS. Любой рекурсивный DNS-провайдер может реализовать любые интерфейсы, которые они хотели бы разрешить кеш-чипы, и т. Д. Мы говорим о DNS - не о API-интерфейсах поставщиков. Насколько вы правы: я придерживаюсь фразы «поврежденный мозг» как фраза, давно используемая в хакерской культуре, и я использую ее в этом контексте (см. Файл «Жаргон», «Хакеры» Стивена Леви и т. Д.), , Что касается «идиотских» моментов, я думаю, что разумно установлено, что вне правовых норм это разговорный термин для действий, которые имеют некомпетентный характер. Я тоже поддерживаю это. - Evan Anderson
@tonygil - OpenDNS не является DNS. Это просто услуга, которую предлагает кто-то. Что, если FooDNS откроется завтра и имеет новый захватывающий новый API очистки кеша? Должен ли мой ответ включать это тоже? Где это останавливается? Это вырождается в безумие. re: гражданские права - я не являюсь работодателем или государственным органом, отрицающим гражданские права члена защищенного класса. Конечно ... продолжай и посмотри, найдешь ли ты кого-нибудь, кто хочет преследовать меня. Они могут связаться со мной по почте в P.O. Вставка 852, Трой, Огайо. (866) 569-9799, x801 вперед на мой мобильный телефон 24x7. (Это хорошая детективная работа, смотрящая мой профиль, кстати). - Evan Anderson
u see, u сказал, что давление сверстников приносит изменения. вот что я сделал. привлек внимание, что я не согласен с использованием ура «идиотом» и «поврежденным мозгом», потому что они оскорбительны и уничижительны. тот факт, что кто-то использует его обильно (т. е. хакеры), не делает это правильно. kkk использовал n-слово обильно. PLS уважают тех из нас, кто ухаживает за психически больными людьми. Я понимаю, что вы включили термины метафорически в ур красочный стиль, но поверьте мне: они оскорбительные и ненужные. - tony gil