Von Verfluchtnochmal_5987109 am So, 5. August 2018 um 00:19 #
Bla - 90% aller DNS Probleme die ich in der Praxis sehe kommen von ISP resolvern von ignorieren der TTL und damit echten Problemen wenn Server umziehen und entsprechend im Vorfeld die TTL aus gutem Grund auf 5 Minuten runter gesetzt wurde der scheiss ISP aber noch Tage mit den alten Werten daher kommt über extrem schwankende response Zeiten bis hin zu Protokollverletzungen
Ein lokaler unbound kennt prefetch, hat also oft aufgerufene Domains immer aktuell im Cache und ist damit um Längen schneller als es der des ISP jemals sein könnte und bei allem was der ISP nicht "hot" hat ist er zwingend langsamer weil zur recursion noch der hop zu ihm dazu kommt
Mach das mal 10, 15 oder 20 Jahre professionell und dann erzähle mir den Unsinn nochmals
Ganz geil sind übrigens ISP resolver die bei 50% der responses die alte und bei den anderen 50% die neue IP liefern und das tagelang
Der dümmste hat es sogar geschafft 2 a-records zu liefern, alte UND neue IP was es so nie in einem zone file gegeben hat
woher die Erfahrung stammt? Weil ich mal einen Server mit 50 country subdomains gesiedelt habe und wochenlang aus aller Welt Probleme gemeldet wurden bis ich die Schnauze voll hatte und per Script mal alle öffentlich antwortenden resolver gefragt und tagelang abuse Mails geschrieben habe quer über den Planeten ob sie denen allen ins Hirn geschissen haben
Von Romeo Camelot am So, 5. August 2018 um 21:45 #
Bla - 90% aller DNS Probleme die ich in der Praxis sehe kommen von ISP resolvern von ignorieren der TTL und damit echten Problemen wenn Server umziehen und entsprechend im Vorfeld die TTL aus gutem Grund auf 5 Minuten runter gesetzt wurde der scheiss ISP aber noch Tage mit den alten Werten daher kommt über extrem schwankende response Zeiten bis hin zu Protokollverletzungen
Von vermeintlichen Fehlleistungen einiger ISP, wenn es denn überhaupt an denen Lag, darauf zu schließen, dass jetzt jeder seine eigene rekursive Namensauflösung betreiben soll, halte ich für sehr gewagt. Was das für "das Netz" bedeuten würde, wenn die ganzen DNS unter der Last zusammenbrechen muss ich Dir wohl nicht erklären. In dem Kontext anderen Vertrottelung zu unterstellen sagt einiges über Dich aus.
Ein lokaler unbound kennt prefetch, hat also oft aufgerufene Domains immer aktuell im Cache und ist damit um Längen schneller als es der des ISP jemals sein könnte
Ja, genau maximal bis zum nächsten Reboot, da geht der Spass dann wieder von vorne los.
bei allem was der ISP nicht "hot" hat ist er zwingend langsamer weil zur recursion noch der hop zu ihm dazu kommt
Das ist richtig, im Regelfall 30-40msec zusätzliche Latenz bei vernünftig dimensioniertem DNS des ISP. Nur hat der ISP halt viel mehr "hot" als dein eigener DNS Server. Das ist einfache Statistik. Ganz toll ist auch, wenn der lokale unbound dann im Rahmen einer rekursiven Namensauflösung auf irgendeinen überlasteten DNS Server warten muss. Das fällt nämlich so richtig auf beim "Surfen".
Ein DNS Server im lokalen Netz der zwischenspeichert hat natürlich wegen der geringeren Latenz trotzdem seine Einsatzberechtigung, hauptsächlich in Verbindung mit dem DNS des Providers. Die Dinger sind ja auch mehr oder weniger auf jeden DSL Router aktiviert, was je nach "Güte" der darauf laufenden Software tatsächlich problematisch sein kann.
Mach das mal 10, 15 oder 20 Jahre professionell und dann erzähle mir den Unsinn nochmals
Dass Du diese Erfahrung hast, mit Betonung auf professionell die kaufe ich Dir nicht ab. Dafür wirkst Du in deiner Ausdrucksweise hier einfach viel zu unreif. Wenn doch ließe das Schlechtes vermuten im Umgang mit kritischer Infrastruktur...
Von Verfluchtnochmal-05995bd7b am Do, 9. August 2018 um 14:41 #
Klar hat der ISP mehr "hot" nur was interessieren mich 1000000 Domains die ich niemals anfrage? Die Anzahl unterschiedlicher Domains von User x im Zeitraum y ist endenwollend
"wenn die ganzen DNS unter der Last zusammenbrechen"
Lächerlich! Du hast doch keine Ahnung wie DNS funktioniert, jeder Teil der Recursion wird einmal gecacht, der resolver fragt genau einmal beim root nach .com und nicht für jede .com-Domain nochmals, eine relevante Website hat am Webserver tausendfach mehr zu tun unter echtem Ressoruceneinsatz als spottbillige DNS-Requests aus dem RAM zu beantworten, die Registry-Nameserver einer TLD sind überlicherweise Anycast-Netzwerke die auch Angriffen standhalten und du Witzfigur meinst weil du und ein paar Würschtl jetzt ein paar Anfragen mehr machen bricht etwas zusammen?
Sobald du einen Mailserver im lokalen Netz betreibst und der DNS im LAN nicht rekurssion macht bist du einer dieser Trottel die alle paar Tage auf Mailinglisten mit URIBL_BLOCKED aufschlagen und wenn der ISP irgendwann mal auf die Schnapsidee kommt NXDOMAIN nicht mehr unverfälscht wieter zu reichen fallen dir deine Maildienste von heute auf mirgen um die Ohren
Bla - 90% aller DNS Probleme die ich in der Praxis sehe kommen von ISP resolvern von ignorieren der TTL und damit echten Problemen wenn Server umziehen und entsprechend im Vorfeld die TTL aus gutem Grund auf 5 Minuten runter gesetzt wurde der scheiss ISP aber noch Tage mit den alten Werten daher kommt über extrem schwankende response Zeiten bis hin zu Protokollverletzungen
Ein lokaler unbound kennt prefetch, hat also oft aufgerufene Domains immer aktuell im Cache und ist damit um Längen schneller als es der des ISP jemals sein könnte und bei allem was der ISP nicht "hot" hat ist er zwingend langsamer weil zur recursion noch der hop zu ihm dazu kommt
Mach das mal 10, 15 oder 20 Jahre professionell und dann erzähle mir den Unsinn nochmals
Ganz geil sind übrigens ISP resolver die bei 50% der responses die alte und bei den anderen 50% die neue IP liefern und das tagelang
Der dümmste hat es sogar geschafft 2 a-records zu liefern, alte UND neue IP was es so nie in einem zone file gegeben hat
woher die Erfahrung stammt? Weil ich mal einen Server mit 50 country subdomains gesiedelt habe und wochenlang aus aller Welt Probleme gemeldet wurden bis ich die Schnauze voll hatte und per Script mal alle öffentlich antwortenden resolver gefragt und tagelang abuse Mails geschrieben habe quer über den Planeten ob sie denen allen ins Hirn geschissen haben
Bla - 90% aller DNS Probleme die ich in der Praxis sehe kommen von ISP resolvern von ignorieren der TTL und damit echten Problemen wenn Server umziehen und entsprechend im Vorfeld die TTL aus gutem Grund auf 5 Minuten runter gesetzt wurde der scheiss ISP aber noch Tage mit den alten Werten daher kommt über extrem schwankende response Zeiten bis hin zu Protokollverletzungen
Von vermeintlichen Fehlleistungen einiger ISP, wenn es denn überhaupt an denen Lag, darauf zu schließen, dass jetzt jeder seine eigene rekursive Namensauflösung betreiben soll, halte ich für sehr gewagt. Was das für "das Netz" bedeuten würde, wenn die ganzen DNS unter der Last zusammenbrechen muss ich Dir wohl nicht erklären. In dem Kontext anderen Vertrottelung zu unterstellen sagt einiges über Dich aus.
Ein lokaler unbound kennt prefetch, hat also oft aufgerufene Domains immer aktuell im Cache und ist damit um Längen schneller als es der des ISP jemals sein könnte
Ja, genau maximal bis zum nächsten Reboot, da geht der Spass dann wieder von vorne los.
bei allem was der ISP nicht "hot" hat ist er zwingend langsamer weil zur recursion noch der hop zu ihm dazu kommt
Das ist richtig, im Regelfall 30-40msec zusätzliche Latenz bei vernünftig dimensioniertem DNS des ISP. Nur hat der ISP halt viel mehr "hot" als dein eigener DNS Server. Das ist einfache Statistik. Ganz toll ist auch, wenn der lokale unbound dann im Rahmen einer rekursiven Namensauflösung auf irgendeinen überlasteten DNS Server warten muss. Das fällt nämlich so richtig auf beim "Surfen".
Ein DNS Server im lokalen Netz der zwischenspeichert hat natürlich wegen der geringeren Latenz trotzdem seine Einsatzberechtigung, hauptsächlich in Verbindung mit dem DNS des Providers. Die Dinger sind ja auch mehr oder weniger auf jeden DSL Router aktiviert, was je nach "Güte" der darauf laufenden Software tatsächlich problematisch sein kann.
Mach das mal 10, 15 oder 20 Jahre professionell und dann erzähle mir den Unsinn nochmals
Dass Du diese Erfahrung hast, mit Betonung auf professionell die kaufe ich Dir nicht ab. Dafür wirkst Du in deiner Ausdrucksweise hier einfach viel zu unreif. Wenn doch ließe das Schlechtes vermuten im Umgang mit kritischer Infrastruktur...
Klar hat der ISP mehr "hot" nur was interessieren mich 1000000 Domains die ich niemals anfrage? Die Anzahl unterschiedlicher Domains von User x im Zeitraum y ist endenwollend
"wenn die ganzen DNS unter der Last zusammenbrechen"
Lächerlich! Du hast doch keine Ahnung wie DNS funktioniert, jeder Teil der Recursion wird einmal gecacht, der resolver fragt genau einmal beim root nach .com und nicht für jede .com-Domain nochmals, eine relevante Website hat am Webserver tausendfach mehr zu tun unter echtem Ressoruceneinsatz als spottbillige DNS-Requests aus dem RAM zu beantworten, die Registry-Nameserver einer TLD sind überlicherweise Anycast-Netzwerke die auch Angriffen standhalten und du Witzfigur meinst weil du und ein paar Würschtl jetzt ein paar Anfragen mehr machen bricht etwas zusammen?
Sobald du einen Mailserver im lokalen Netz betreibst und der DNS im LAN nicht rekurssion macht bist du einer dieser Trottel die alle paar Tage auf Mailinglisten mit URIBL_BLOCKED aufschlagen und wenn der ISP irgendwann mal auf die Schnapsidee kommt NXDOMAIN nicht mehr unverfälscht wieter zu reichen fallen dir deine Maildienste von heute auf mirgen um die Ohren