Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Verslag SIDN Relatiedag: SIDN’s DNS infrastructuur

  • Door
  • Randy ten Have
  • geplaatst op
  • 3 december 2007 08:04 uur

SIDNVrijdagmorgen gaf Antoin Verschuren, technisch adviseur van de SIDN, uitleg over de SIDN DNS infrastructuur tijdens de 2e SIDN relatiedag nieuwe stijl in Maarssen. Tijdens deze lezing vertelde hij over de inrichting van de nameservers, het nieuwe anycast systeem en de zonefilefrequentie.

Nameservers
De SIDN beschikt over 6 unicast nameservers en een anycast nameserver. De eerste zes nameservers staan in Amsterdam, Ede, Nijmegen, Schiphol-Rijk, Palo Alto (Carlifonia) en Saint Quentin (Parijs). Met deze setup mag 33% van de nameservers uitvallen voordat er pas problemen ontstaan in de bereikbaarheid. En over deze redundacy is goed nagedacht. Zo gebruikt de SIDN tenminste twee soorten hardware, twee verschillende besturingssystemen en twee verschillende soorten DNS software. De kans op storingen wordt hierdoor beperkt tot een minimum en mocht er zich een bug in de software of het besturingssysteem gevonden worden, ondervind het DNS cluster hier geen hinder van.

Anycast
Sinds kort heeft de SIDN ook de beschikking over een anycast nameservercloud verspreidt over de gehele wereld bestaande uit meerdere (tenminste 7, maximaal 32) nameservers. Deze bezitten allemaal hetzelfde IP-adres en hostname. Routing bepaald de kortste route naar de server. Door deze techniek is de beveiliging tegen ddos-aanvallen aanzienlijk verbeterd. Immers wordt de aanval over de kortste route naar de nameserver geleid, waardoor andere servers geen hinder ondervinden van de aanval. Naast deze isolatie is er meer capaciteit en zijn er betere responstijden. Er zijn echter ook nadelen: Het is geen DNS infrastructuur meer maar alles gebeurd op routingniveau, het geen alles duurder maakt. Ook de propagatie van de zonefile duurt langer. “De techniek is niet moeilijk, de uitvoering echter wel”, aldus Verschuren.

Zonefilefrequentie
Waar voorheen de zonefile eens per dag bijgewerkt werd, is deze frequentie een paar maanden geleden geüpdate naar twee keer per dag. Sinds kort update de SIDN de zonefile eens per twee uur. “Maar voordat het zover was heeft er veel moeten gebeuren”, zo liet Antoin tijdens zijn lezing weten. In het DRS2 systeem duurde het genereren van de zonefile ca. 2 uur. Sinds de introductie van DRS4 is deze tijd drastisch teruggebracht naar 30 á 40 minuten en met de laatste update naar DRS4.1 duurt het genereren van de zonefile nog slechts 15 á 20 minuten. De zonefile zelf bevat: (meetdatum 16-11-2007)

  • 2.637.417 domeinen
  • 6.033.574 NS records
  • 23.922 glue-records (IPv4) en 19 IPv6 glue-records
  • Aantal mutaties per dag: 2500~3000
  • Zonefile grootte: 156 Mb.

Abuse op de nameservers
Tijdens de lezing ging Antoin ook in op abuse op de nameservers en liet aan de hand van enkele statistieken zien wat de gevolgen van bijvoorbeeld de zoneupdate om de twee uur zijn. Onderstaand plaatje laat zien dat er om de twee uur een bijna driedubbele response is op de nameservers, nadat de zonefile een update heeft gehad. “Volstrekt overbodig”, zegt Verschuren. “Immers, het feit dat een domein in de DNS staat of niet, wil nog niet zeggen dat deze vrij is. Hier is de whois voor”. Hij doelt daarmee op een kleine groep ‘domeinkapers’ die om de twee uur kijken welke domeinen zijn vervallen.
SIDN Relatiedag - DNS - 01

Onderstaand voorbeeld laat de impact van een spamscript zien op een nameserver. In de aanloop zie je enkele tests die uitgevoerd zijn door het script, waarna de spammer de definitieve versie de vrije hand geeft. Ook dit is een voorbeeld van een slechte abuser. Immers, de nameservers van de SIDN bevatten geen MX-records.
SIDN Relatiedag - DNS - 02

Reacties

Wido, 3 december 2007 7:51 pm

Hebben ze ook nog verteld welke DNS software ze gebruiken? Dat vraag ik me namelijk altijd al af.

Daarnaast vind ik 20 minuten best lang, een zone-file is toch niets meer dan plain-text records?

Paul, 3 december 2007 9:04 pm

Bind 9.3sp2 & NSD 3.07

Wido, 4 december 2007 10:20 am

Dan vraag ik me af, waarom nog BIND?

Uiteraard, ik ga er vanuit da de keuzes wel overwogen zijn bij SIDN, maar pak bijvoorbeeld even PowerDNS.

Ik werk hier nu al 4 jaar mee en ik heb nog nooit een DNS uitval gehad. Ik werk dan met MySQL replication, maar PowerDNS kan ook overweg met bijvoorbeeld Oracle.

Wanneer je met zoiets zou werken en dat replicate naar een slave BIND dan hoef je je zonefile niet meer opnieuw te genereren en kan je dat realtime doen door een mutatie in je DNS database.

Zie ik hier iets over het hoofd?

Uiteraard snap ik dat BIND veiliger lijkt door het gebruik van plain-text files als backend in plaats van een database, maar ik denk dat Oracle tegenwoordig aardig volwassen is en wel tegen deze taak bestand?

Al doet MySQL tegenwoordig qua stability niet echt meer onder, ik heb in tijden al geen MySQL crash meer gezien.

Paul, 4 december 2007 11:00 am

Waarom zou je gebruikmaken van een database server waar van alles mee fout kan gaan?, replicatie wat ook allemaal weer mogelijke problemen met zich mee brengt en zeker de nameservers niet echt onafhankelijk maakt.

Uiteindelijk zit je toch altijd vast aan de TTL van de zone gebonden. Alleen voor nieuwe namen kan dit een voordeel zijn maar ook dit kan je makkelijk met bind doen.

PowerDNS is leuk, maar wil je echt stabiel zijn met veel zekerheid dat kan je je configuratie het beste zo simpel mogelijk houden.

Waarom zouden de meeste root nameservers bijvoorbeeld nog op Bind draaien?

Wido, 4 december 2007 11:43 am

Nou, daarom zeg ik ook, ik heb de keus niet gemaakt, daarom vraag ik me de beweegredenen af.

Ik denk dat de keus voor BIND wel overwogen is en dat de mensen die de keuze hebben gemaakt daar goed over na gedacht hebben.

Antoin, 4 december 2007 5:31 pm

Ik vindt PowerDNS een erg goede nameserver voor ISP's of hosters die heel veel kleine zones draaien. De koppelingen die je kunt maken met provisioning systemen is handig voor de vele mutaties die daarop plaatsvinden. SIDN draait echter 1 hele grote zone die heel veel queries krijgt. In die situatie hebben Bind en NSD betere responsetijden. Verder moet de .nl zone vooral integer zijn. De integriteit van een file is iets gemakkelijker te controleren dan de status van een database. Het terugzetten van een vorige versie van de zonefile en daarmee vervolgens de differences berekenen is met een file iets intuitiever dan een database backup. Daarnaast speelt nog mee dat we een goede support hebben van ISC (de maintainer van Bind). ISC draait ook 1 van onze secondaries, zodat ze ook operationele issues met onze zone kunnen constateren. Bind en NSD worden veel gebruikt bij root en TLD servers, en we hebben voor beiden support contracten waardoor we feature requests kunnen maken, en altijd net iets eerder op de hoogte zijn van bugfixes. Features die nodig zijn voor een root of TLD server zijn in Bind of NSD altijd net iets eerder geimplementeerd, omdat daar van meerdere TLD operators requests voor komen. PowerDNS richt zich iets meer op de ISP markt, en voor die situatie heeft PowerDNS waarschijnlijk betere support. Kortom, voor de grote .nl zone hebben Bind en NSD iets betere specificaties, maar voor 2nd level domeinen krijgt PowerDNS van mij zeker een "approved by SIDN" stempel mee.

Wido, 4 december 2007 5:48 pm

Heldere uitleg! Daar zat ik op te wachten.

Ik heb het nooit van die kant bekeken, maar dit maakt een hoop duidelijk.

Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.

Op ISPam.nl worden met ingang van 1 februari 2017 geen nieuwe berichten meer geplaatst. Het platform is daarmee een digitaal museum geworden dat ruim 10 jaar geschiedenis van de branche toont (2006-2017). xCAT.nl Publishing is tegenwoordig als juridische uitgeverij actief op het gebied van wetgeving.

Copyright 2006-2017 individuele auteurs en xCAT.nl Publishing. Alle rechten voorbehouden.
Overname van berichten is alleen toegestaan na toestemming van de auteur en uitgever.