cache-only DNS

Spusť tcpdump či ethereal a polož dvakrát tentýž dotaz. Pokud se bude ptát dalších serverů i podruhé, tak asi necacheuje, ale jen forwarduje...

9.9.2004 20:49 Petr
Rozbalit Rozbalit vše Re: cache-only DNS - jede?

Dikes testnu to. Spis jsem ale doufal, jestli neexistuje nejakej prikaz jak vypsat cache. Zrejme tedy asi ne.. :-)

9.9.2004 21:04 Petr
Rozbalit Rozbalit vše Re: cache-only DNS - jede?

Vypada to, ze to maka, ale v odchytavani paketu nejsem az zas tak zbehlej. Nemohl bys mi prosim jeste poradit jak pri pouziti tcpdump filtrovat pouze dns dotazy? Dikes

9.9.2004 21:28 unchallenger | skóre: 69 | blog: unchallenger
Rozbalit Rozbalit vše Re: cache-only DNS - jede?

tcpdump -n udp port 53

by mohlo stačit. -n je tam kvůli tomu, aby si tcpdump negenroval DNS dotazy sám...

9.9.2004 21:44 Petr
Rozbalit Rozbalit vše Re: cache-only DNS - jede?

Tak nevim jestli je to to prave orechove. Z nejakeho me neznameho duvodu mi to odchytne pouze dotazy, ktere jsou smerovane ven. Kdyz dam treba lynx www.abclinuxu.cz a pozoruji co to udela, tak vidim, ze se to pta DNS serveru, ktery je nastaveny ve forwarders. Pri pokusu o dalsi spojeni uz se zadny dotaz ven neodchyti, ale neodchyti se ani zadnej dotaz na lo interface.. :-(

Zacinam z toho byt stale min a min moudrej.. :-(

9.9.2004 22:51 Michal Marek (twofish) | skóre: 55 | blog: { display: blog; } | Praha
Rozbalit Rozbalit vše Re: cache-only DNS - jede?

Když všechno selže...

-i     Listen   on  interface.   If  unspecified,  tcpdump
       searches the system interface list for  the  lowest
       numbered,  configured up interface (excluding loop-
       back).  Ties are broken by  choosing  the  earliest
       match.

;-)

9.9.2004 22:53 Michal Marek (twofish) | skóre: 55 | blog: { display: blog; } | Praha
Rozbalit Rozbalit vše Re: cache-only DNS - jede?

Navíc (nevím jestli je to případ zrovna lynxu) si ty výsledky může klidně cachovat i browser.

Pokud chcete vypsat vše co má nameserver v cache, tak na to lze použít příkaz

rndc -y rndckey dumpdb

ve /var/named se Vám uloží soubor named_dump.db

za -y musíte uvézt Váš rndc.key (viz. named.conf)

Jirka

10.9.2004 08:48 Antonín Kolísek | skóre: 33 | blog: PDA | Vyškov
Rozbalit Rozbalit vše Re: cache-only DNS - jede?

Nebo také:

např. rndc -k /var/named/etc/rndc.key dumpdb (za -k dát cestu k rndc.key souboru)

10.9.2004 09:06 Petr
Rozbalit Rozbalit vše Re: cache-only DNS - jede?

Diky, presne neco takovyho jsem si predstavoval. Ted bohuzel nemam moznost to testnout, ale hned jak prijdu domu, tak to vyzkousim a dam vedet. Taky to zkusim nejak rozumnejs otestovat. Vcera to byla zbrklost a uz jsem u toho moc nepremejslel. Stejne je to zajimava ironie. BIND jsem rozchodil za par minut, ale uz druhej den zjistuju jestli spravne funguje... :-)

10.9.2004 17:17 Petr
Rozbalit Rozbalit vše Re: cache-only DNS - jede?

Vitezstvi dosazeno....BIND mi opravdu kesuje. Pro uplnost tohoto threadu prikladam konfiguraky. BIND jsem pouzil z distribuce. Dosti mi pomohl tento odkaz http://langfeldt.net/DNS-HOWTO/BIND-9/DNS-HOWTO-3.html , clanek zde na abicku a v neposledni rade Vase reakce. Takze ted ty slibovane konfiguraky:

named.conf

options {
	directory "/var/named";
	/*
	 * If there is a firewall between you and nameservers you want
	 * to talk to, you might need to uncomment the query-source
	 * directive below.  Previous versions of BIND always asked
	 * questions using port 53, but BIND 8.1 uses an unprivileged
	 * port by default.
	 */
	auth-nxdomain no;
	// Server neposkytuje informace o nasi siti
	
	query-source address * port 53;
	// Pro komunikaci s jinou DNS pouzij port 53
	
	forward first;
	// Pokud neco nevi, pta se nejprve serveru
	// uvedenych ve forwarders
	
	forwarders {
	 10.109.151.1;
	 10.109.140.254;	 
	};
	
	cleaning-interval 259200;
	// Procistuje tabulku pomocnho serveru od zaznamu
	// na ktere se nikdo neptal (v sekundach)
};

key "rndc-key" {
      algorithm hmac-md5;
      secret "8CrFhDQFjoigc9KGDI7jJQ==";
};

controls {
      inet 127.0.0.1 port 953
              allow { 127.0.0.1; } keys { "rndc-key"; };
};


// 
// a caching only nameserver config
// 
zone "." IN {
	type hint;
	file "caching-example/named.ca";
};

zone "localhost" IN {
	type master;
	file "caching-example/localhost.zone";
	allow-update { none; };
};

zone "0.0.127.in-addr.arpa" IN {
	type master;
	file "caching-example/named.local";
	allow-update { none; };
};

named.local

$TTL	86400
@       IN      SOA     localhost. root.localhost.  (
                                      1997022700 ; Serial
                                      28800      ; Refresh
                                      14400      ; Retry
                                      3600000    ; Expire
                                      86400 )    ; Minimum
              IN      NS      localhost.

1       IN      PTR     localhost.

localhost.zone

$TTL	86400
$ORIGIN localhost.
@			1D IN SOA	@ root (
					42		; serial (d. adams)
					3H		; refresh
					15M		; retry
					1W		; expiry
					1D )		; minimum

			1D IN NS	@
			1D IN A		127.0.0.1

named.ca
Jedna se o seznam korenovych nameserveru. Jeho aktualizaci zajistime prikazem dig @a.root-servers.net > named.ca.new. Vznikne nam tak soubor named.ca.new, kterym nahradime stavajici named.ca. Tim je zajistena aktualizace.

rndc.conf

# Start of rndc.conf
key "rndc-key" {
	algorithm hmac-md5;
	secret "8CrFhDQFjoigc9KGDI7jJQ==";
};

options {
	default-key "rndc-key";
	default-server 127.0.0.1;
	default-port 953;
};
# End of rndc.conf

# Use with the following in named.conf, adjusting the allow list as needed:
# key "rndc-key" {
# 	algorithm hmac-md5;
# 	secret "8CrFhDQFjoigc9KGDI7jJQ==";
# };
# 
# controls {
# 	inet 127.0.0.1 port 953
# 		allow { 127.0.0.1; } keys { "rndc-key"; };
# };
# End of named.conf

Ten ziskame pomoci prikazu rndc-confgen resp. rndc-confgen > /etc/rndc.conf

Ted uz staci jen spustit BIND pomoci prikazu named a je hotovo. Pro uplnost jeste dodavam, ze v resolv.conf musi byt polozka nameserver 127.0.0.1, coz je zrejme.

To, ze server kesuje overime bud vypisem databaze viz odpoved Antonina Koliska (rndc -k /var/named/etc/rndc.key dumpdb (za -k dát cestu k rndc.key souboru)) a nebo muzeme pouzit prikaz dig a to nasledovne:

dig www.neco.cz
Jedna z polozek je Query time napr. Query time: 61 msec

Po opetovnem zadani dig www.neco.cz
dostavame Query time: 1 msec

To znamena ze druhy dotaz na www.neco.cz byl zoodpovezen z cache.
Timto vsem dekuji za pomoc a preji hodne stesti lidem co to teprve budou zkouset.

13.9.2004 07:26 rastos | skóre: 63 | blog: rastos
Rozbalit Rozbalit vše Re: cache-only DNS - jede?

Fajn. Az na to, ze tam kde sa pise v konfigurakoch o 'rndc-key' najdes aj slovicko 'secret' - ktore znamena, ze by si ten kluc nemal zverejnovat ;-)

/usr/sbin/rndc-confgen -h

26.5.2005 00:25 Jirka V. | skóre: 13 | blog: Jirka_V | Dobřichov
Rozbalit Rozbalit vše Re: cache-only DNS - jede?

Ahoj, mam na Debian Unstable rozjetej BIND9 a podle všeho to vypadá, že nakonfigurován jako cache-only. Jenže: Nevím proč, ale velikost onoho výpisu po rndc dumpdb se velice mění! Podle toho bych očekával, že se mění i obsah DNS cache. Nevím proč, ale když serfuju, tak si to nechá uložené DNS záznamy, ale velice rychle je zapomene. Rychle snamená řádově v minutách. Procházel jsem konfiguráky a nevím přesně který čas nastavit na "víc", ale u všeho mám default hodnoty a přesně sedí na ty hodnoty, co jsou občas vidět v conf na netu (mimojiné i v této diskuzi). Nevíte kde je zrada?

26.5.2005 10:06 petr_p
Rozbalit Rozbalit vše Re: cache-only DNS - jede?

Kazdy zaznam v zonovem souboru ma definovany TTL. Coz je prave doba, po kterou si ho cachovaci name server smi pamatovat. Ovykle byva radove ve dnech. Bohuzel, nekteri admini (zrovna tak jako webmastri) si mysli, ze vypnuti cache je ten nejlepsi zpusob, jak zajistit klientovi vzdy cerstve informace. Zkus se podivat na autoriatativni server, jaky ma TTL.

Dotaz: cache-only DNS - jede?

Odpovědi