Re: [FRnOG] [TECH] Serveur DNS employés ?

[Damien Wetzel]

Pascal PETIT writes:
 > Bonjour,
 > 
 > Le jeudi 15 décembre 2022 (13:44), Damien Wetzel écrivait :
 > > 
 > > Au passage, je suis assez surpris de l'importance des requetes venant des 
 > > resolveurs ouverts
 > > cloudflare, google, cisco qui ont l'air de surpasser les resolveurs ISPs 
 > > et du fait
 > > que le edns est assez peu utilisé (cela permet de rediriger au plus pres 
 > > l'initiateur de la requete DNS)
 > >
 > 
 > Vous devez parler de ECS. Ce que vous dites m'étonne car je pensais
 > que les dns récursifs publics de google étaient hégémoniques et ils le
 > supportent tous (au moins les 4 suivant: 8.8.8.8, 8.8.4.4, 
 > 2001:4860:4860:: et 2001:4860:4860::8844)
oui ECS je confonds :( je constate engros une requete ECS pour deux non ECS, 
Cloudflare ne gère pas le ECS pour des questions de privacy.
C'est vrai qu'il doit y avoir un pb de gestion des caches resolvers pour ECS, 
sans doute est ce pour cela que ce n'est pas utilisé par les
operateurs telco ?

 > 
 > ECS doit rendre la gestion du cache dns des dns récursifs bien plus
 > complexe : La réponse dépendant du demandeur, il faut mettre en cache
 > la donnée et depuis quel réseau demandeur elle est valable. Le cache
 > doit aussi être plus volumineux puisqu'au lieu d'avoir simplement les
 > données reçues dans les réponses, on a les couples (donnée, réseau
 > demandeur).
 > 
 > Ça doit aussi rendre le cache moins efficace puisqu'une donnée en
 > cache ne servira que pour les requêtes du réseau demandeur.
 > 
 > J'avais utilisé le service o-o.myaddr.google.com fourni par google pur
 > faire quelques tests (cf
 > https://support.google.com/interconnect/answer/7658602?hl=en )
 > 
 > 8.8.8.8 le supportait mais pas 9.9.9.9 ni 1.1.1.1
 > 
 > host -t TXT o-o.myaddr.google.com 8.8.8.8
 > Using domain server:
 > Name: 8.8.8.8
 > Address: 8.8.8.8#53
 > Aliases: 
 > o-o.myaddr.google.com descriptive text "2a00:1450:400c:c02::10d"
 > o-o.myaddr.google.com descriptive text "edns0-client-subnet 82.66.201.0/24"
 > 
 > 
 > host -t TXT o-o.myaddr.google.com 9.9.9.9
 > Using domain server:
 > Name: 9.9.9.9
 > Address: 9.9.9.9#53
 > Aliases: 
 > 
 > o-o.myaddr.google.com descriptive text "2620:171:f8:f0::239"
 > 
 > 
 > host -t TXT o-o.myaddr.google.com 1.1.1.1
 > Using domain server:
 > Name: 1.1.1.1
 > Address: 1.1.1.1#53
 > Aliases: 
 > 
 > o-o.myaddr.google.com descriptive text "2400:cb00:532:1024::ac47:751d"
 > 
 > 
 > Par contre quad9 fournit aussi un autre serveur dns récursif supportant ecs :
 > 
 > host -t TXT o-o.myaddr.google.com 9.9.9.11
 > Using domain server:
 > Name: 9.9.9.11
 > Address: 9.9.9.11#53
 > Aliases: 
 > 
 > o-o.myaddr.google.com descriptive text "2620:171:f8:f0::236"
 > o-o.myaddr.google.com descriptive text "edns0-client-subnet 82.66.201.0/24"
 > 
 > Évidemment, les dns récursifs ouverts de fdn ne le supportent pas :
 > 
 > host -t TXT o-o.myaddr.google.com 2001:910:800::12
 > Using domain server:
 > Name: 2001:910:800::12
 > Address: 2001:910:800::12#53
 > Aliases: 
 > 
 > o-o.myaddr.google.com descriptive text "2001:910:800::12"
 > 
 > 
 > cordialement
 > -- 
 > Pascal
 > 
 > 
 > ---
 > Liste de diffusion du FRnOG
 > http://www.frnog.org/

-- 



~
Damien WETZEL (ATANAR TECHNOLOGIES)("`-/")_.-'"``-._
http://www.atanar.com  . . `; -._)-;-,_`)
  (v_,)'  _  )`-.\  ``-'
Phone:+33 9 67 35 09 05_.- _..-_/ / ((.'
- So much to do, so little time -   ((,.-'   ((,/
~


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Serveur DNS employés ?

[Pascal PETIT]

Bonjour,

Le jeudi 15 décembre 2022 (13:44), Damien Wetzel écrivait :
> 
> Au passage, je suis assez surpris de l'importance des requetes venant des 
> resolveurs ouverts
> cloudflare, google, cisco qui ont l'air de surpasser les resolveurs ISPs et 
> du fait
> que le edns est assez peu utilisé (cela permet de rediriger au plus pres 
> l'initiateur de la requete DNS)
>

Vous devez parler de ECS. Ce que vous dites m'étonne car je pensais
que les dns récursifs publics de google étaient hégémoniques et ils le
supportent tous (au moins les 4 suivant: 8.8.8.8, 8.8.4.4, 2001:4860:4860:: 
et 2001:4860:4860::8844)

ECS doit rendre la gestion du cache dns des dns récursifs bien plus
complexe : La réponse dépendant du demandeur, il faut mettre en cache
la donnée et depuis quel réseau demandeur elle est valable. Le cache
doit aussi être plus volumineux puisqu'au lieu d'avoir simplement les
données reçues dans les réponses, on a les couples (donnée, réseau
demandeur).

Ça doit aussi rendre le cache moins efficace puisqu'une donnée en
cache ne servira que pour les requêtes du réseau demandeur.

J'avais utilisé le service o-o.myaddr.google.com fourni par google pur
faire quelques tests (cf
https://support.google.com/interconnect/answer/7658602?hl=en )

8.8.8.8 le supportait mais pas 9.9.9.9 ni 1.1.1.1

host -t TXT o-o.myaddr.google.com 8.8.8.8
Using domain server:
Name: 8.8.8.8
Address: 8.8.8.8#53
Aliases: 
o-o.myaddr.google.com descriptive text "2a00:1450:400c:c02::10d"
o-o.myaddr.google.com descriptive text "edns0-client-subnet 82.66.201.0/24"


host -t TXT o-o.myaddr.google.com 9.9.9.9
Using domain server:
Name: 9.9.9.9
Address: 9.9.9.9#53
Aliases: 

o-o.myaddr.google.com descriptive text "2620:171:f8:f0::239"


host -t TXT o-o.myaddr.google.com 1.1.1.1
Using domain server:
Name: 1.1.1.1
Address: 1.1.1.1#53
Aliases: 

o-o.myaddr.google.com descriptive text "2400:cb00:532:1024::ac47:751d"


Par contre quad9 fournit aussi un autre serveur dns récursif supportant ecs :

host -t TXT o-o.myaddr.google.com 9.9.9.11
Using domain server:
Name: 9.9.9.11
Address: 9.9.9.11#53
Aliases: 

o-o.myaddr.google.com descriptive text "2620:171:f8:f0::236"
o-o.myaddr.google.com descriptive text "edns0-client-subnet 82.66.201.0/24"

Évidemment, les dns récursifs ouverts de fdn ne le supportent pas :

host -t TXT o-o.myaddr.google.com 2001:910:800::12
Using domain server:
Name: 2001:910:800::12
Address: 2001:910:800::12#53
Aliases: 

o-o.myaddr.google.com descriptive text "2001:910:800::12"


cordialement
-- 
Pascal


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Serveur DNS employés ?

[Christophe Desnoyer]

Hello

Oui. Soit on a plusieurs points de présence et le load 
balancing/failover est fait en anycast éventuellement et en BGP (on 
publie des mise à jour de routes pour "éteindre" ou diminuer le trafic 
vers le point de présence down ou saturé), soit on n'a qu'un seul point 
de présence où l'on fait le load balancing/failover, mais alors il faut 
que ce POP soit "ultra redondé" pour se prémunir du SPOF que devient son 
accès réseau.


Le "routage" DNS a sa place dans un tel dispositif, en dernier ressort 
du fait de la latence avant que les client voient la modif (cf. 
discussion sur le TTL minimum effectif : on commence à voir des 
résolveurs qui honorent un TTL à 30s, mais on ne verra jamais des 
résolveurs qui honorent un TTL à 0 car cela entraînerait un risque 
d'attaque DDoS sur les serveurs faisant autorité).


Donc en synthèse, pour en revenir à la question initialement posée :

 * on peut utiliser DNS pour rerouter du trafic mais cela ne sera
   jamais instantané, donc il est inutile d'affaiblir ses serveurs DNS
   en les faisant dépendre d'un truc à visée de synchro "instantanée"
   comme une BDD, une API, mais qui ne suivra pas des trafics en
   Mreq/sec qu'un serveur DNS doit normalement pouvoir servir
 * pour faire mieux (bascule à le seconde), il faut autre chose que DNS

Cordialement

Le 17/12/2022 à 14:40, Thomas Trupel via frnog a écrit :

Salut Christophe,

"Si on veut un lag en dessous de quelques secondes, il faut autre 
chose (anycast BGP, ou SPOF ultra-redondé où on met un load balancer). "


Pour le "SPOF utra-redondé", tu fais allusion à un cluster de load 
balancer étendu ou pas à plusieurs sites; un seul cluster = SPOF c'est 
bien ça ?


Je demande cela car je pense que l'utilisation d'un seul cluster (load 
balancer, firewall ou autre) ne permet pas de rendre hautement 
disponible une application (un cluster = un SPOF selon moi).


Cordialement,

Thomas



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Serveur DNS employés ?

[Thomas Trupel via frnog]

Salut Christophe,

"Si on veut un lag en dessous de quelques secondes, il faut autre chose 
(anycast BGP, ou SPOF ultra-redondé où on met un load balancer). "


Pour le "SPOF utra-redondé", tu fais allusion à un cluster de load 
balancer étendu ou pas à plusieurs sites; un seul cluster = SPOF c'est 
bien ça ?


Je demande cela car je pense que l'utilisation d'un seul cluster (load 
balancer, firewall ou autre) ne permet pas de rendre hautement 
disponible une application (un cluster = un SPOF selon moi).


Cordialement,

Thomas

On 15/12/2022 13:00, Christophe Desnoyer wrote:
Je confirme (pour l'avoir expérimenté à grande échelle dans une autre 
vie) qu'un TTL DNS en dessous de 30 secondes, c'est pour se donner 
l'illusion qu'on aura une bascule instantanée dans un scénario de 
failover (ou de load balancing). En pratique, ça met plusieurs minutes 
à commuter.


Mais cela dit, la commutation de DNS avec un TTL aussi bas que 
possible reste solution acceptable.. de dernier recours. Si on veut un 
lag en dessous de quelques secondes, il faut autre chose (anycast BGP, 
ou SPOF ultra-redondé où on met un load balancer).


Le 15/12/2022 à 12:51, Pierre-Henry Muller via frnog a écrit :


Email Signature
Le 14/12/2022 à 10:23, Pascal PETIT a écrit :

il y a 2 questions que je me pose :
   - y a-t-il des gens qui utilisent le DNS pour faire de la tolérance
 de panne avec un TTL très très court et une mise à jour du dns en
 cas de soucis ? (je pense que c'est une très mauvaise idée)


orange.fr, facebook.com 60 secondes

www.google.com, yahoo.fr 300 secondes

Ils sont bien plus nombreux qu'on le pense, même si pour Google c'est 
à mon avis plus une raison de traçabilité.




   - et, en défense contre les TTL trop courts, y a-t-il une durée mini
 que les dns récursifs des FAI imposent ?


Tous ceux qui font du DNS menteur sont ceux qui imposent un TTL minimum.
---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Serveur DNS employés ?

[Damien Wetzel]

Je revends une solution DNS multiCDN (feu cedexis) ou l'on met des TTL bas
30-60 sec qui semblent assez respectés par les resolveurs, meme free qui avait
des ttl min à 1 heure dans le passé semble respecter les TTL courts.

Au passage, je suis assez surpris de l'importance des requetes venant des 
resolveurs ouverts
cloudflare, google, cisco qui ont l'air de surpasser les resolveurs ISPs et du 
fait
que le edns est assez peu utilisé (cela permet de rediriger au plus pres 
l'initiateur de la requete DNS)

Cordialement,
Damien 

Christophe Desnoyer writes:
 > Je confirme (pour l'avoir expérimenté à grande échelle dans une autre 
 > vie) qu'un TTL DNS en dessous de 30 secondes, c'est pour se donner 
 > l'illusion qu'on aura une bascule instantanée dans un scénario de 
 > failover (ou de load balancing). En pratique, ça met plusieurs minutes à 
 > commuter.
 > 
 > Mais cela dit, la commutation de DNS avec un TTL aussi bas que possible 
 > reste solution acceptable.. de dernier recours. Si on veut un lag en 
 > dessous de quelques secondes, il faut autre chose (anycast BGP, ou SPOF 
 > ultra-redondé où on met un load balancer).
 > 
 > Le 15/12/2022 à 12:51, Pierre-Henry Muller via frnog a écrit :
 > >
 > > Email Signature
 > > Le 14/12/2022 à 10:23, Pascal PETIT a écrit :
 > >> il y a 2 questions que je me pose :
 > >>    - y a-t-il des gens qui utilisent le DNS pour faire de la tolérance
 > >>  de panne avec un TTL très très court et une mise à jour du dns en
 > >>  cas de soucis ? (je pense que c'est une très mauvaise idée)
 > >
 > > orange.fr, facebook.com 60 secondes
 > >
 > > www.google.com, yahoo.fr 300 secondes
 > >
 > > Ils sont bien plus nombreux qu'on le pense, même si pour Google c'est 
 > > à mon avis plus une raison de traçabilité.
 > >
 > >>
 > >>    - et, en défense contre les TTL trop courts, y a-t-il une durée mini
 > >>  que les dns récursifs des FAI imposent ?
 > >>
 > > Tous ceux qui font du DNS menteur sont ceux qui imposent un TTL minimum.
 > > ---
 > > Liste de diffusion du FRnOG
 > > http://www.frnog.org/
 > 
 > 
 > ---
 > Liste de diffusion du FRnOG
 > http://www.frnog.org/

-- 



~
Damien WETZEL (ATANAR TECHNOLOGIES)("`-/")_.-'"``-._
http://www.atanar.com  . . `; -._)-;-,_`)
  (v_,)'  _  )`-.\  ``-'
Phone:+33 9 67 35 09 05_.- _..-_/ / ((.'
- So much to do, so little time -   ((,.-'   ((,/
~


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Serveur DNS employés ?

[Christophe Desnoyer]

Je confirme (pour l'avoir expérimenté à grande échelle dans une autre 
vie) qu'un TTL DNS en dessous de 30 secondes, c'est pour se donner 
l'illusion qu'on aura une bascule instantanée dans un scénario de 
failover (ou de load balancing). En pratique, ça met plusieurs minutes à 
commuter.


Mais cela dit, la commutation de DNS avec un TTL aussi bas que possible 
reste solution acceptable.. de dernier recours. Si on veut un lag en 
dessous de quelques secondes, il faut autre chose (anycast BGP, ou SPOF 
ultra-redondé où on met un load balancer).


Le 15/12/2022 à 12:51, Pierre-Henry Muller via frnog a écrit :


Email Signature
Le 14/12/2022 à 10:23, Pascal PETIT a écrit :

il y a 2 questions que je me pose :
   - y a-t-il des gens qui utilisent le DNS pour faire de la tolérance
 de panne avec un TTL très très court et une mise à jour du dns en
 cas de soucis ? (je pense que c'est une très mauvaise idée)


orange.fr, facebook.com 60 secondes

www.google.com, yahoo.fr 300 secondes

Ils sont bien plus nombreux qu'on le pense, même si pour Google c'est 
à mon avis plus une raison de traçabilité.




   - et, en défense contre les TTL trop courts, y a-t-il une durée mini
 que les dns récursifs des FAI imposent ?


Tous ceux qui font du DNS menteur sont ceux qui imposent un TTL minimum.
---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Serveur DNS employés ?

[Pierre-Henry Muller via frnog]

Email Signature
Le 14/12/2022 à 10:23, Pascal PETIT a écrit :

il y a 2 questions que je me pose :
   - y a-t-il des gens qui utilisent le DNS pour faire de la tolérance
 de panne avec un TTL très très court et une mise à jour du dns en
 cas de soucis ? (je pense que c'est une très mauvaise idée)


orange.fr, facebook.com 60 secondes

www.google.com, yahoo.fr 300 secondes

Ils sont bien plus nombreux qu'on le pense, même si pour Google c'est à 
mon avis plus une raison de traçabilité.




   - et, en défense contre les TTL trop courts, y a-t-il une durée mini
 que les dns récursifs des FAI imposent ?


Tous ceux qui font du DNS menteur sont ceux qui imposent un TTL minimum.
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Serveur DNS employés ?

[Pascal PETIT]

Bonjour,

Le mercredi 14 décembre 2022 (08:56), David Ponzone écrivait :
> 
> > Le 14 déc. 2022 à 08:53, Stephane Bortzmeyer  a écrit :
> >
> > - la durée de séjour dans les mémoires du résolveur est choisie par
> > vous (quand vous gérez des serveurs faisant autorité). Ni minutes, ni
> > heures, ni jours, ça dépend de vos choix.
> >
> 
> Sauf avec les résolveurs qui trichent mais c’est probablement un faible 
> pourcentage des utilisateurs.
> 


il y a 2 questions que je me pose :

  - qui fait ça ? tous les FAI ?

  - y a-t-il des gens qui utilisent le DNS pour faire de la tolérance
de panne avec un TTL très très court et une mise à jour du dns en
cas de soucis ? (je pense que c'est une très mauvaise idée)

  - et, en défense contre les TTL trop courts, y a-t-il une durée mini
que les dns récursifs des FAI imposent ?


cordialement
-- 
Pascal Petit


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Serveur DNS employés ?

[David Ponzone]

> Le 14 déc. 2022 à 08:53, Stephane Bortzmeyer  a écrit :
> 
> On Thu, Dec 08, 2022 at 10:18:38AM +0100,
> Christophe Desnoyer  wrote 
> a message of 41 lines which said:
> 
>> La réplication ne sera jamais en temps réel (en DNS, le temps de
>> propagation d'une modif se compte en minutes à cause des caches
>> qu'il y a partout).
> 
> Deux précisions :
> 
> - le DNS n'est pas BGP, il n'y a pas de propagation
> 
> 
> - la durée de séjour dans les mémoires du résolveur est choisie par
> vous (quand vous gérez des serveurs faisant autorité). Ni minutes, ni
> heures, ni jours, ça dépend de vos choix.
> 

Sauf avec les résolveurs qui trichent mais c’est probablement un faible 
pourcentage des utilisateurs.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Serveur DNS employés ?

[Guillaume Tournat via frnog]

Comme quoi le running gag pédagogique fonctionne :-)


> On 5 Dec 2022, at 17:01, David Ponzone  wrote:
> 
> Ah ouais, je vais réveiller le Bortz.
> 
> :s/autoritaire/faisant autorité/
> 
> 
>> Le 5 déc. 2022 à 16:50, Raphael Mazelier  a écrit :
>> 
>> 
>>> On 05/12/2022 16:37, David Ponzone wrote:
>>> Mais la suite de ton message laisse supposer que tu parles de DNS 
>>> autoritaire.
>> 
>> Ohoho toi tu vas te faire taper sur les doigts :)
>> 
>> --
>> Raphael Mazelier
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Serveur DNS employés ?

[David Ponzone]

Ah ouais, je vais réveiller le Bortz.

:s/autoritaire/faisant autorité/


> Le 5 déc. 2022 à 16:50, Raphael Mazelier  a écrit :
> 
> 
> On 05/12/2022 16:37, David Ponzone wrote:
>> Mais la suite de ton message laisse supposer que tu parles de DNS 
>> autoritaire.
> 
> Ohoho toi tu vas te faire taper sur les doigts :)
> 
> --
> Raphael Mazelier
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Serveur DNS employés ?

[Raphael Mazelier]

On 05/12/2022 16:37, David Ponzone wrote:

Mais la suite de ton message laisse supposer que tu parles de DNS autoritaire.


Ohoho toi tu vas te faire taper sur les doigts :)

--
Raphael Mazelier

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Serveur DNS employés ?

[Bill Woodcock]

> On Dec 5, 2022, at 4:28 PM, Yannick CADIN via frnog  wrote:
> À titre de curiosité, sauriez-vous me dire quel serveur DNS (BIND,
> PowerDNS, NSD, etc) utilisent les principaux registrars, FAI et autres
> acteurs (importants/"gros") de l'Internet ? (Exception faite des serveurs
> racine s'entend.)

PCH utilise NSD, PowerDNS, Knot, et DNSdist dans les rôles publics, et BIND 
dans certains rôles internes.

-Bill



signature.asc
Description: Message signed with OpenPGP

Re: [FRnOG] [TECH] Serveur DNS employés ?

[David Ponzone]

D’après le sujet, on pourrait supposer que tu parles juste d’un DNS résolveur.
Mais la suite de ton message laisse supposer que tu parles de DNS autoritaire.

Ceci dit dans les 2 cas, j’ai jamais trouvé de stats.
Après, sauf si tu dois gérer plusieurs millions de requêtes par jour avec donc 
un objectif de perfs, j’ai envie de te dire de prendre celui que tu préfères.
L’important étant toujours d’appliquer les patch de sécurité assez 
régulièrement.

> Le 5 déc. 2022 à 16:28, Yannick CADIN via frnog  a écrit :
> 
> Bonjour,
> 
> À titre de curiosité, sauriez-vous me dire quel serveur DNS (BIND,
> PowerDNS, NSD, etc) utilisent les principaux registrars, FAI et autres
> acteurs (importants/"gros") de l'Internet ? (Exception faite des serveurs
> racine s'entend.)
> 
> D'avance merci pour vos réponses.
> 
> Sincèrement,
> 
> Yannick
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/