registrar-tag andreas papst.at nameservice wer fragt wen was wann? datum: 26.11.2009
TRANSCRIPT
Registrar-Tag
Andreas Papst.at nameservice
Wer fragt Wen Was Wann?
Datum:26.11.2009
Registrar-Tag
2
Das Unvermeidliche
Stub-Resolver Rekursive Resolver Autoritative Nameserver
Root-Nameserver TLD-Nameserver
Registrar-Tag
3
Stub Resolver Rumpffunktionalität Aufgabe: Weiterleitung der Fragen Lokale Konfiguration Cache Kein Schutz durch DNSsec
Registrar-Tag
4
Stub-Cache löschen
Windows:ipconfig /flushdns
Linux:/etc/rc.d/init.d/nscd restart
MacOS X (Leopard):lookupd -flushcachedscacheutil -flushcache.
Registrar-Tag
5
Rekursiver Resolver Übernimmt Hauptarbeit Cache Einfluß der TTL Hier endet DNSsec-Schutz
Registrar-Tag
6
Autoritativer Namerserver Datenquelle Delegationskette
Root-Nameserver TLD-Nameserver ...
Registrar-Tag
7
Sensible Daten? Abfragen nur durch rekursive Resolver Nur einmal pro TTL und Domain Nur .at-Domains
Kein Enduser-Host Kontakt Bruchteil aller DNS-Abfragen sichtbar
(Stichprobe)
Publizieren nur Summenstatistik
Registrar-Tag
8
Enduser-IP Adressen im Logfile
19-Nov-2009 21:41:26.219 update-security: client 84.xxx.xxx.xxx#53230: update 'co.at/IN' denied
19-Nov-2009 21:45:12.677 update-security: client 86.xxx.xxx.xxx#32810: update 'at/IN' denied
Registrar-Tag
9
Überwachung des DNService Lastanalyse
Last auf Nameserver Verteilung der Abfragen
Erreichbarkeit RIPE DNSmon
Registrar-Tag
10
Traffic-Statistiken (Tag)
Registrar-Tag
11
RIPE DNSmon (.at total)
Registrar-Tag
12
RIPE DNSmon (sss-jp)
Registrar-Tag
13
Traffic-Statistiken (2005-2009)
Registrar-Tag
14
Anycast-Nameserver +
Mehr Nameserverinstanzen als NS-Delegationen
Lokale Senke bei DDOS Betriebsunterbrechungsfreie Wartung
- Netzwerktopologie vs. Latenz Domino-Effekt
Registrar-Tag
15
Registrar-Tag
16
Registrar-Tag
17
DNS2DB Stichprobe: 5 Minuten/Stunde Land der Quelladresse Record-Type Name
Alle „eigene“ Nameserver tcpdump Zentrale Datenspeicherung
Registrar-Tag
18
Verkehrsanalyse Nameserverstandorte Hoher lokaler Anteil Einfluß der Netzwerkopologie
Registrar-Tag
19
Registrar-Tag
20
Registrar-Tag
21
Registrar-Tag
22
Registrar-Tag
23
Registrar-Tag
24
Registrar-Tag
25
Registrar-Tag
26
Nachbarländer CH
Geringes Gesamtaufkommen Gleichmäßig verteilt auf AT und DE
TR Lastverteilung gelungen
SK Das Original bevorzugt
Registrar-Tag
27
Registrar-Tag
28
Registrar-Tag
29
Registrar-Tag
30
Nachverfolgung von Umstellungen Verzögerte Wirkung Topologie-Änderung (Prepending) 3 Beispiele
Umstellung ns2f Umstellung ns9b->ns2d Umstellung sss-us2->ns9b Miami
Registrar-Tag
31
Registrar-Tag
32
Registrar-Tag
33
Registrar-Tag
34
Registrar-Tag
35
Registrar-Tag
36
BR Instanz Analyse: hoher Bedarf Inbetriebnahme zu Jahreswechsel Hohe lokale Akzeptanz
Registrar-Tag
37
Registrar-Tag
38
Registrar-Tag
39
Hinzufügen eines Standorts Neue Anycast-Instanz Standort US Globale Auswirkungen
Registrar-Tag
40
Registrar-Tag
41
Registrar-Tag
42
Registrar-Tag
43
Registrar-Tag
44
Identifizierung neuer Standorte Abfragerate Topologie IXPs Lokale ISPs Peering Verhalten Hardware
Registrar-Tag
45
Registrar-Tag
46
Registrar-Tag
47
Registrar-Tag
48
Registrar-Tag
49
Analyse möglicher Kandidaten PL RU VN Entlastung anderer Standorte
gewünscht?
Registrar-Tag
50
Registrar-Tag
51
Registrar-Tag
52