Robusthetstester och övervakning av DNS. Internetdagarna Rickard Dahlstrand

Relevanta dokument
DNS. Linuxadministration I 1DV417

Rotadministration och serverroller

Internetdagarna NIC-SE Network Information Centre Sweden AB

! " #$%&' ( #$!

DNSSEC implementation & test

Varför och hur införa IPv6 och DNSSEC?

Tilläggs dokumentation 4069 Dns

Förutsättningar för övningar och praktiska prov avseende drift av Internet i Sverige oberoende av funktioner utomlands

DNS laboration report Wilhelm Käll YYYY-MM-DD (the date the report was finished)

Grundläggande nätverksteknik. F2: Kapitel 2 och 3

Hur påverkar DNSsec vårt bredband?

Föreläsning 9 Transportprotokoll UDP TCP

Avancerad DNS - Laborationer

IT för personligt arbete F2

Sjunet robust DNS. Teknisk Beskrivning

Webbteknik II. Föreläsning 4. Watching the river flow. John Häggerud, 2011

DNS-test. Patrik Fältström. Ulf Vedenbrant.

Tips: Titta på relevanta genomgångar på webbplatsen

TPTEST program för mätning av genomströmningskapaciteten

Kvalitet i DNS. Lars-Johan Liman Autonomica AB OPTO-SUNET, Tammsvik 1. Vad är dålig kvalitet i DNS?

WWW. Exempel på klientsidan. Överföring av en html-fil. Snyggare variant. Verkligt format. Meddelandeformat för begäran HTTP

DNSSec. Garanterar ett säkert internet

DNSSEC-grunder. Rickard Bellgrim [ ]

Domain Name System DNS

F5 Exchange Elektronikcentrum i Svängsta Utbildning AB

TEKNISK SPECIFIKATION. för TIDOMAT Portal version 1.7

TEKNISK SPECIFIKATION. för TIDOMAT Portal version 1.6.0

IP-adresser, DNS och BIND

We re Still running Rocksolid Internet Services

Datasäkerhet och integritet

RAPPORTNUMMER 19 maj 2004 PTS-ER-2004:19 ISSN Säkra toppdomäner. Vilka funktioner har betydelse för god säkerhet i domännamnssystemet?

Hur integrera Active Directory och DNS? Rolf Åberg, Simplex System

Det nya Internet DNSSEC

NSL Manager. Handbok för nätverksadministratörer

Är Internet i Sverige robust?

DNS Internets vägvisare

DNSSEC Våra erfarenheter

Vad är DNS? DNS. Vad är DNS? (forts.) Vad är DNS utåt? Vad är DNS internt? Vad är DNS internt? (forts.)

TEKNISK SPECIFIKATION. för TIDOMAT Portal version 1.3.1

Prov och övningar avseende Internets robusthet och beroende av funktioner utomlands - lägesrapport

DNS. Måns Nilsson

F2 Exchange EC Utbildning AB

Varför DNSSEC 2007? Varför inte? Det verkade enkelt Ett mervärde för kunderna (? ) Gratis Linux Bind miljö Publicitet?

Systemkrav. Artvise Kundtjänst

Laboration 4 Rekognosering och nätverksattacker

Unix-Säkerhet. Övningsprov. Frågorna skall besvaras på ett sådant sätt att en insatt kollega skall känna sig informerad.

Hälsoläget i.se Anne-Marie Eklund Löwinder kvalitets- och säkerhetschef

Hos Telia kan du enkelt registrera de domännamn du önskar i någon eller alla de klassiska toppdomänerna SE, NU, COM, INFO, NET, ORG, EU, NAME.

Ökad tillit till Internet genom förbättrad säkerhet i domännamnssystemet

Åtgärdsplan. CRL Åtgärdsplan Copyright 2015 SecMaker AB Författare: Jens Alm

Webbservrar, severskript & webbproduktion

Beskrivning av PiiGAB QuickPost

Signering av.se lösningar och rutiner. Anne-Marie Eklund Löwinder Kvalitets- och säkerhetschef

Mattias Wiggberg 1. Orientera på Internet. IP-adress. IP-adresserna räcker inte... Mer om IP-adresser

Föreläsning 6 Mål. Mänskor och IP adresser. Domain Name System (1/3) Numeriska adresser används i Internet

Hå rd- och mjukvårukråv såmt rekommendåtioner fo r 3L Pro from version 2013.Q2

Kvalitetssäkring av nätverk och iptelefoni för operatörer och tjänsteleverantörer

Systemrekommendation. Artvise Contact Center

Olika slags datornätverk. Föreläsning 5 Internet ARPANET, Internet började med ARPANET

Ver Guide. Nätverk

RUTINBESKRIVNING FÖR INSTALLATION AV KAMERA

Remissvar Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36)

Internetdagarna Rickard Dahlstrand

Planering och RA/DHCPv6 i detalj

Hå rd- och mjukvårukråv såmt rekommendåtioner fo r 3L Pro from version 2013.Q3

Verkligheten bakom gratis ISP DNS

Frågor och svar Domännamn

TCP/IP och Internetadressering

ENUM Tier 1 Registry - Rutiner för provdrift Version II-stiftelsen 1 (20) Version

Guide till Inera IdP. Information angående anslutning av Nationella e-tjänster

DIG IN TO. Nätverksadministration

Innehåll. Dokumentet gäller från och med version

Systemkrav. Systemkrav för Hogia Approval Manager. Gäller från och med programversion

DNSSEC. Tester av routrar för hemmabruk. Joakim Åhlund & Patrik Wallström, Februari 2008

Whoisprotokollet. Tjänstebeskrivning

Med Telias domäntjänst Domännamn kan du enkelt administrera alla dina domännamn, oavsett storlek på domänportfölj.

Rutinbeskrivningar Registreringstjänster för toppdomänen.se. Version

DNSSEC DET NÄRMAR SIG...

Enum som en komponent i NGN. Gert Öster Ericsson

Systemkrav Bilflytt 1.4

Web Services. Cognitude 1

Alternativet är iwindows registret som ni hittar under regedit och Windows XP 32 bit.

Remissvar Strategi för ett säkrare Internets Infrastruktur N2004/8306/ITFoU

Dag König Developer Tools Specialist Microsoft Corporation

Vägledning för anskaffning av robust elektronisk kommunikation

Rutinbeskrivningar Registreringstjänster för toppdomänen.nu. Version

Snabbguide IP-kamera Kom igång med din kamera

DNSSEC - Grunderna. Patrik Wallström,

Hälsoläget i.se. DNS och DNSSEC

Systemkrav och tekniska förutsättningar

Rekommendationer teknisk lösning_samsa_ ver

Föreläsning 9. Transportskiktet. User Datagram Protocol (1/2) Introduktion till modern telekommunikation Gunnar Karlsson, Bengt Sahlin 1

F1 SBS EC Utbildning AB

Voice over IP / SIP. Switching Costs SIP. Motivation for VoIP. Internet Telephony as PBX replacement. Internet Telephony Modes.

Nätverksoperativsystem i Datornätverk (Windows Server) DVA202, VT Tentamen

F6 Exchange EC Utbildning AB

IPv6 Beredskap på svenska storföretag och myndigheter. En rapport från.se

Våg 2010 We re all in!

Bilaga 05. Beskrivning av befintlig IT-miljö

Linuxadministration 2 1DV421 - Laborationer Webbservern Apache, Mailtjänster, Klustring, Katalogtjänster

Transkript:

Robusthetstester och övervakning av DNS Internetdagarna 2003-10-08 Rickard Dahlstrand rd@tilde.se

Mål med Robusthetstesterna Hur uppträder DNS-tjänsten och vilka blir konsekvenserna för användare och andra berörda parter vid svåra påfrestningar på tillgängligheten till:.se?.com,.net och.org? En eller flera rotnamnservrar inklusive I-root?

DNS ur användarperspektiv (RFC 1034) applikation fråga svar Domännamnsrymden. (roten) resolver.se.com.pts.www From the user's point of view, the domain system is accessed through a simple procedure or OS call to a local resolver. The domain space consists of a single tree and the user can request information from any section of the tree. - (RFC 1034)

DNS-uppslagning Frågeställare Forwarding server Internet Fråga IP-adress för www.pts.se Fråga IP-adress för www.pts.se Svar Lista över namnservrar för.se-zonen: SE-DNS.GBG.NETNOD.SE SUNIC.SUNET.SE. Fråga IP-adress för www.pts.se Svar Lista över namnservrar för pts.se-zonen:. Rot-zonens namnservrar.se-zonens namnservrar Svar www.pts.se har IP-adress. Fråga IP-adress för www.pts.se Svar www.pts.se har IP-adress. Namnservrar för pts.se

Fall A Frågeställare Fråga IP-adress för www.pts.se? Forwarding-server Cach Fråga IP-adress för www.pts.se? Rot-zonen Uppgift saknas! Svar Namnservrar för.se Fråga IP-adress för www.pts.se? Svar Namnservrar för pts.se.se-zonen Svar www.pts.se har IP-adress. Fråga IP-adress för www.pts.se? Svar www.pts.se har IP-adress. PTS Fall B Fråga IP-adress för www.pts.se? Svar www.pts.se har IP-adress. Uppgift finns om.se! Fråga IP-adress för www.pts.se? Svar Namnservrar för pts.se Fråga IP-adress för www.pts.se? Svar www.pts.se har IP-adress..se-zonen PTS Fall C Fråga IP-adress för www.pts.se? Svar www.pts.se har IP-adress. Uppgift finns om pts.se! Fråga IP-adress för www.pts.se? Svar www.pts.se har IP-adress. PTS Fall D Fråga IP-adress för www.pts.se? Svar www.pts.se har IP-adress. Uppgift finns om www.pts.se!

Cachning av NS-poster för en TLD Frågeställare Forwarding server Cach sunic.sunet.se nic.lth.se ns.uu.net ttl= räknas ner ttl= räknas ner ttl= räknas ner Rot-zonens namnservrar Start av server fråga z110.se? fråga z111.se? fråga z111.se?... TTL=2d TTL<2d TTL<2d TTL=0 fråga z110.se? svar -Namnservrar för.se är: sunic.sunet.se ttl= 2d nic.lth.se ttl= 2d ns.uu.net ttl= 2d se-dns.sth.netnod.se ttl= 2d se-dns.gbg.netnod.se ttl= 2d se-dns.mmo.netnod.se ttl= 2d se-dns.svl.netnod.se ttl= 2d fråga z210.se? fråga z211.se? fråga z211.se?... TTL=2d TTL=0 svar -Namnservrar för.se är: sunic.sunet.se ttl= 2d nic.lth.se ttl= 2d ns.uu.net ttl= 2d se-dns.sth.netnod.se ttl= 2d se-dns.gbg.netnod.se ttl= 2d se-dns.mmo.netnod.se ttl= 2d se-dns.svl.netnod.se ttl= 2d osv

Värden på TTL (November 2002) Zon Rot Rots uppgift om TLD:er.se-zonens uppgifter om huvuddomäner under.se Verisigns uppgifter om huvuddomäner under.com,.net och.org TTL för NS 6 dygn 2 dygn 1 dygn 2 dygn TTL för A 41 dygn, 16 tim 2 dygn.nu Domains uppgifter om huvuddomäner under.nu www.sverigedirekt.riksdagen.se www.regeringen.se www.pts.se www.tt.se 1 dygn 1 dygn 1 dygn 1 dygn 1 dygn

Resolver Mjukvara Bind 9 Bind 9.2.0 Bind 8 Bind 8.3.3 Microsoft DNS tjänst som kördes på en Windows 2000 5.00.2195 Cisco Cisco Registrar DNS 5.5.1

Testmiljö Frågeställare Forwarding servrar Nätemulator Namnservrar root-zonen Namnservrar TLD-zonen Namnservrar Huvuddomän Labbet Analysator Internet Målsystem

Trafikgenerator

Test 1 Uppdatering av listan över rotnamnservrar vid start Forwarding server Konfig.fil (root hints) Start av server tid Fråga Namnservrar för rot-zonen? Svar Namnservrar för rot-zonen är: H.ROOT-SERVERS.NET med TTL= 6 dagar B.ROOT-SERVERS.NET med TTL= 6 dagar. Namnservrar för rot-zonen Bind 8 Bind 9 MS DNS CNR Används en lokal konfigurationsfil med root hints JA JA JA JA När efterfrågas rotnamnserverlistan? Direkt vid uppstart av BIND Vid första anrop från klient efter uppstart av BIND Vid första anrop från klient efter uppstart Direkt vid uppstart av CNR Från vilken namnserver i root hints hämtas rotnamnserverlistan Slumpvis Slumpvis Slumpvis Den första servern

Test 2 - Val av rotnamnserver Rot-zonens namnservrar Frågeställare Forwarding server Fråga IP-adress för www.iis.se Internet... A.ROOT-SERVERS.NET B.ROOT-SERVERS.NET M.ROOT-SERVERS.NET A-ROOT B-ROOT C-ROOT D-ROOT E-ROOT F-ROOT G-ROOT H-ROOT I-ROOT J-ROOT K-ROOT L-ROOT M-ROOT BIND 8 2,7% 2,2% 1,6% 2,7% 1,1% 1,1% 1,6% 2,2% 70,7% 2,7% 8,7% 1,6% 1,1% BIND 9 100% MS DNS 100% Cisco CNR 13% 4% 4% 10% 3% 3% 9% 7% 16% 8% 16% 4% 3% Metod: Ca 200 anrop mot olika TLD:er, varav de 20 första anropen togs bort

Test 3 - Val av TLD-namnserver Namnservrar för.se-zonen Frågeställare Fråga IP-adress för www.iis.se Forwarding server Internet... NIC.LTH.SE NS.EN.NET SUNIC.SUNET.SE nic.lth.se ns.eu.net ns.uu.net se-dns.gbg.netnod.se se-dns.sth.netnod.se sunic.sunet.se BIND 8 2% 7% 2% 0% 1% 88% BIND 9 1% 10% 89% MS DNS 100% Cisco CNR 20% 12% 10% 12% 12% 34% Metod: Ca 100 anrop mot olika TLD:er, varav de 20 första anropen togs bort

Test 4 Frånvaro av alla utom en rotnamnserver vid uppstart Rotzonens Forwarding server namnservrar Internet... A.ROOT-SERVERS.NET M.ROOT-SERVERS.NET Bind 8 Bind 9 MS DNS CNR Erhålls svar? Ja Ja Ja Ja Söks rotnamnserverlistan igenom tills den enda servern hittas? Ja Ja Ja Ja Time out mellan frågorna 4 sek 2 sek 3 sek, efter andra försöket efterfrågas två olika servrar per gång 4 sek

Test 5 Frånvaro av alla rotnamnservrarna vid uppstart Forwarding server Rotzonens namnservrar A.ROOT-SERVERS.NET Internet... B.ROOT-SERVERS.NET M.ROOT-SERVERS.NET Bind 8 Bind 9 MS DNS CNR Hur letar resolvern efter rotnamnserver Till synes slumpmässigt Till synes slumpmässigt Till synes slumpmässigt Söker sekventiellt (a-m) Tid mellan anrop 4-8 s 2 sek, ökas till 8 sek efter 52 sek 3 s,.. 4 sek per sekvens,

Test 6 Bortfall av alla utom en rotnamnserver under drift Forwarding server Rot-zonen namnservrar Internet... A.ROOT-SERVERS.NET M.ROOT-SERVERS.NET Bind 8 Bind 9 MS DNS CNR Besvarar resolvern klienternas frågor om: en kvarvarande rootserver är åtkomlig och att TTL har löpt ut för cachad informationen om TLD:ns namnservrar Ja Ja Ja Ja

Test 7 - Bortfall av alla rotnamnservrar under drift Forwarding server Rot-zonen namnservrar A.ROOT-SERVERS.NET Internet... B.ROOT-SERVERS.NET M.ROOT-SERVERS.NET Bind 8 Bind 9 MS DNS CNR Besvarar resolvern klienternas frågor om: ingen rootserver är åtkomliga och att TTL har löpt ut för cachad informationen om TLD:ns namnservrar Nej Nej Nej Nej

Test 8 - test av paketförlust Frågeställare DNStestverktyget Forwarding server Namnservrar på Internet fråga z110.se? Time out = max 60 fråga z110.se? fråga z110.se? fråga z110.se? svar z110.se? svar z110.se?

Svarstidsfördelning vid 0% paketförlust Bind 8 Bind 9 Microsoft Cisco 0,6 Svarstid (s) 0,5 0,4 0,3 0,2 0,1 0 1 7 13 19 25 31 37 43 49 55 61 67 73 79 85 91 97 Antal anrop

Svarstidsfördelning vid 2% paketförlust Bind 8 Bind 9 Microsoft Cisco 4,5 4 3,5 3 2,5 2 1,5 1 0,5 0 1 7 13 19 25 31 37 43 49 55 61 67 73 79 85 91 97 Svarstid (s) Antal anrop

Svarstidsfördelning vid 10% paketförlust Bind 8 Bind 9 Microsoft Cisco 14 12 Svarstid (s) 10 8 6 4 2 0 1 6 11 16 21 26 31 36 41 46 51 56 61 66 71 76 81 86 91 96 Antal anrop

Svarstidsfördelning vid 20% paketförlust Bind 8 Bind 9 Microsoft Cisco 20 Svarstid (s) 15 10 5 0 1 6 11 16 21 26 31 36 41 46 51 56 61 66 71 76 81 86 91 96 Antal anrop

Svarstidsfördelning vid 50% paketförlust Bind 8 Bind 9 Svarstid (s) 70 60 50 40 30 20 10 0 1 6 11 16 21 26 31 36 41 46 51 56 61 66 71 76 81 86 91 96 Time out = 60 s Antalet anrop

Test 9 Svarstid vid 5 sekunders paketfördröjning Bind 8 Bind 9 Microsoft Cisco 12 10 Svarstid (s) 8 6 4 2 0 1 2 3 4 5 6 7 8 9 10 Antal anrop

Test 10 - Frånvaro av alla rootnamnservrar under drift när en TLD namnserver är lagrad i cache Forwarding server Name servers for root A.ROOT-SERVERS.NET Internet... B.ROOT-SERVERS.NET M.ROOT-SERVERS.NET Bind 8 Bind 9 MS DNS CNR Om följande är sant svarar namnservern på anrop: Ingen rootnamnserver är tillgänglig TTL har gått ut för den cachade informationen för rootnamnservern NO NO NO NO TTL har gått ut för domänen TTL har inte gått ut för TLD namnservern

Ej svar på TLD-fråga vid frånvarande Otillgänglighet (ej svar på TLD-frågan) root 100% 50% 10% 4 tim 48 min 24 tim 48 tim Förutsättningar Omstarter görs inte TLD för vilket ett stort antal frågor görs, varför svaret alltid finns cachat i resolvern (gäller ej för ovanliga TLD:er) TTL för TLD:ns namnservrar är 48 timmar m.m.

Exempel på värden för expire -timern Zon rot.se.com.nu Expire 7 days 28 days 7 days 30 days

Applikationer - Email MAIL.E1.SE MAIL.E2.SE 2. smtp POP/IMAP 1. 3. SMTP adam@e1.se bertil@e2.se

Applikationer - Web

Applikationer - Web

Applikationer - Web

Slutsatser av testerna DNS infrastrukturen är väldesignad och fungerar mycket bra i praktiken. DNS hanterar nätverksstörningar mycket väl. Alla testade resolvrar uppfyllde kraven mycket bra. De flesta applikationer som används på Internet utnyttjar DNS och skulle inte fungera speciellt bra utan. Det går inte att ersätta DNS på ett bra sätt ifall det slutar fungera.

Mer information Denna presentation, rapporten från PTS samt en fullständig testspecification kan hämtas på: http://www.iis.se/projekt/robusthetstest.shtml http://www.iis.se/meta/english.shtml (In english)

Övervakning av.se-slavservrar.se finns idag på 8 st olika slavservrar i Sverige & USA När en namnserver frågar efter en domän som slutar på.se så frågas någon av dessa 8 servrar Tidigare tester visar att resolverns valet av.se-namnserver i vissa fall är godtyckligt och i vissa fall baserat på svarstid Svarstiden på dessa servrar från olika delar av Internet är okänd Tillgängligheten på dessa 8 servrar är okänd

Mål Kunna svara på frågorna: Hur tillgänglig är.se? Hur tillgänglig är en enskild slavserver? Vilken tillgänglighet har en operatör till.se? Vilka svarstider har olika slavservrar? Bygga upp en bas av verktyg för att oberoende av leverantör kunna svara på ovanstående frågor.

Systemet 0 16 16 16 16 16 Varje mätpunkt mäter mot alla NS. Varje mätpunkt representerar en operatör. För att.se ska fungera från en mätpunkt så krävs det minst en.se-slavserver. Mätpunkter består av ett antal enkla shellskript som med en minuts intervall lämnar data till mätservern över SSH. Mätservern sammanställer detta informationen till grafer och lagrar mätvärdena i en databas.

Systemet 0 0 16 16 16 16 16 Systemet har idag fyra mätpunkter spridda hos fyra olika operatörer. En slavserver betraktas som otillgänglig när alla fyra mätpunker rapporterar den som otillgänglig En mätpunkt (operatör) betraktas som otillgänglig när alla slavservrar för denna mätpunkt rapporteras som otillgängliga

a.ns.se (Netnod Stockholm)

h.ns.se (uu-net USA)

d.ns.se (Skanova Stockholm)

Slutsatser En slavserver är inte nere bara för att alla mätpunkter säger så. Ju fler mätpunkter som Åttafaldig säkerhet räcker bra, däremot så skulle inte dubbel eller tredubbel räcka till för 100% tillgänglighet. För varje ny graf så kommer man på två till. Vidareutveckling: IIS har initierat ett strategiprojekt med syfte att utreda och utveckla övervakningsfrågan mer.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss