Portál AbcLinuxu, 14. července 2025 17:31


DNS balancer 1.0.0-alpha2

Vyšla nová verze (druhá alfa chystaného vydání 1.0.0) softwaru dnsdist. Jedná se o inteligentní DNS balancer umožňující realtime inspekci provozu, blokování a omezování dotazů podle mnoha různých pravidel včetně dynamického blokování klientů podle typu a počty generovaných DNS odpovědí. Balancer je skriptovatelný v jazyce Lua.

6.2.2016 00:00 | BigWrigley | Zajímavý software


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

Vložit další komentář

pavlix avatar 7.2.2016 15:47 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: DNS balancer 1.0.0-alpha2
Odpovědět | Sbalit | Link | Blokovat | Admin
To mi trochu připomíná Broken DNS Proxy s tím rozdílem, že zatímco Tomáš cílí na testování, oni na reálný provoz.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
BigWrigley avatar 8.2.2016 04:32 BigWrigley | skóre: 33
Rozbalit Rozbalit vše Re: DNS balancer 1.0.0-alpha2
Je to velmi realne pouzitelne, i kdyz cislo verze zatim ponekud odrazuje. Pokud mate hodne, ale opravdu hodne DNS klientu, je tohle asi nejlepsi vec, na kterou jsem narazil. Vyvojarum velmi fandim, mimochodem, na filtrovani podle QClass dodelali behem jendnoho vecera po zmince na IRC...
Linux is like a wigwam - no windows, no gates and Apache inside.
8.2.2016 08:50 j
Rozbalit Rozbalit vše Re: DNS balancer 1.0.0-alpha2
Odpovědět | Sbalit | Link | Blokovat | Admin
Chm ... a neni jednodussi rozjet dalsi DNS?
BigWrigley avatar 8.2.2016 09:11 BigWrigley | skóre: 33
Rozbalit Rozbalit vše Re: DNS balancer 1.0.0-alpha2
Jak to myslite?
Linux is like a wigwam - no windows, no gates and Apache inside.
8.2.2016 18:46 j
Rozbalit Rozbalit vše Re: DNS balancer 1.0.0-alpha2
Tak jak to pisu, balancer se prevazne pouziva tam, kde jeden srv nestaci. DNS balancuje od prirody, staci jich mit vic. Coz je o dost efektivnejsi, nez nekde na vstupu resit, jestli me nahodou nekdo nedosuje ... protoze dos se stejne zadnym balancerem vyresit neda, tak maximalne dosnu sam sebe.

2pavlix: Vcem? Ze je to scriptovatelny? Muze byt ... ale nac to? Realne tim dos stejne neporesis. Nejak pro to nevidim zadnej usecase.

*aby bylo jasno, dosem samo myslim primarne ddos, protoze o nicem jinym nema smyslu premejslet.
BigWrigley avatar 8.2.2016 20:10 BigWrigley | skóre: 33
Rozbalit Rozbalit vše Re: DNS balancer 1.0.0-alpha2
Nemohu s vami souhlasit. Prectete si dokumentaci a pochopite, ze prave k obrane pred DDoS utoky zrovna toto velmi pomaha. Pro predstavu, mejme DNS klienta, ktery generuje 5 dotazu za sekundu, na nez dostava od serveru SERVFAIL. Jeden klient, zadny problem. 100 klientu taktez. Ale pokud jich ale mate pet nebo deset tisic, a nemuzete je uplne zablokovat, mate velky problem. Pro rekurzor je totiz takove zjisteni pomerne "drahe".

Mate-li vlastni rekurzory za balancerem, muzete napr. upgradovat za bileho dne a zcela bez odstavek. A to nemluvim o takovych vychytavkach, jako je ratelimiting zpozdujici odpovedi nebo nutici klienty prejit na TCP, ratelimiting per host v ramci sitoveho rozsahu (i pro IPv6), smerovani klientu na ruzne poooly rekurzoru podle toho, kolik generuji provozu na jake domeny a mnohe dalsi. Ani na F5 se rada veci, ktere to umi IMHO udelat neda.

Ad skriptovatelnost - vyresili jsme tim situaci, kdy potrebujeme, aby DNS server, ktery za normalnich okolnosti rekurzivne resolvi, v urcitych pripadech, kdy ma totaz specifickou podobu (regex), vracel NXDOMAIN.

Linux is like a wigwam - no windows, no gates and Apache inside.
8.2.2016 22:54 j
Rozbalit Rozbalit vše Re: DNS balancer 1.0.0-alpha2
Tak vygenerujeme milion dotazu za sekundu a slozi se i balancer ... respektive hur, pri vhodne vedenym utoku odstreli legalni klienty, takze je uplne jedno, ze vlastne vse funguje.

Kdyz mam 1+N kde N>0 DNS serveru, tak muzu taktez updatovat/upgradovat za bileho dne, protoze proste odpovi jeden z tech N. Ono je to tak navrzeno. A co se vykonu tyce, stejne potrebuju aby vse zvladalo N stroju, kdyz ten jeden z libovolnyho duvodu nepobezi. Zato kdyz si pred to dam balancer, tak mam uzasny single point of failure.

"v urcitych pripadech, kdy ma totaz specifickou podobu (regex), vracel NXDOMAIN. " ... aha, proto u O2 nefunguji DNS ... (tyce se samo vsech tech uzasnych kurvitek za "A to nemluvim o takovych vychytavkach" ...).
pavlix avatar 9.2.2016 09:17 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: DNS balancer 1.0.0-alpha2
"v urcitych pripadech, kdy ma totaz specifickou podobu (regex), vracel NXDOMAIN. " ... aha, proto u O2 nefunguji DNS ... (tyce se samo vsech tech uzasnych kurvitek za "A to nemluvim o takovych vychytavkach" ...).
A proto je potřeba nasadit DNSSEC a kontaktovat fallback servery po HTTPS. Tím se celá tahle šaškárna zcela obejde, ledaže by O2 chtěla plně nebo selektivně blokovat HTTPS provoz.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
BigWrigley avatar 9.2.2016 09:57 BigWrigley | skóre: 33
Rozbalit Rozbalit vše Re: DNS balancer 1.0.0-alpha2
Pro upresneni, Tenhle pripad se netykal bezneho (zakaznickeho) DNS, ale situaci v evolved packet core, kde se DNS vyuziva take.
Linux is like a wigwam - no windows, no gates and Apache inside.
pavlix avatar 9.2.2016 10:23 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: DNS balancer 1.0.0-alpha2
Reagoval jsem spíše na j a jeho poznámku o DNS u O2.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
BigWrigley avatar 9.2.2016 10:38 BigWrigley | skóre: 33
Rozbalit Rozbalit vše Re: DNS balancer 1.0.0-alpha2
Jak jste to myslel s tim DNSSEC?
Linux is like a wigwam - no windows, no gates and Apache inside.
BigWrigley avatar 9.2.2016 10:11 BigWrigley | skóre: 33
Rozbalit Rozbalit vše Re: DNS balancer 1.0.0-alpha2
Tak vygenerujeme milion dotazu za sekundu a slozi se i balancer ....
Tak vygenerujeme 10 milionu dotazu... Ne, to opravdu neodola sebelepsi reseni. Pri 1M pps nejspis uvarite i nejakou tu firewall po ceste a provoz se na DNS servery uz nejspis ani nedostane.
Zato kdyz si pred to dam balancer, tak mam uzasny single point of failure.

Ne vzdy muzete nebo chcete pouzit anycast. Nebo mate na mysli jine reseni? Ja netvrdim, ze tenhle produkt je nejlepsi reseni pro vse, ale rozhodne pro nej vidim usecase v momente, kdy mam znacnou, ale nikoliv 100% kontrolu nad tim, kdo se me pta a jak se pta a chci mit moznost nevhodne chovani potlacit, napr. proto, ze nekdo naimplementoval DNS klienta spatne.
... aha, proto u O2 nefunguji DNS ...
Co vam konkretne u O2 nefunuje? Nemam s nimi zkusenost, proto se ptam.
Linux is like a wigwam - no windows, no gates and Apache inside.
9.2.2016 20:16 j
Rozbalit Rozbalit vše Re: DNS balancer 1.0.0-alpha2
Ad O2, ja snimi taktez osobne nic nemam (a pokud to jen trochu pujde, tak nikdy nic mit nebudu) ale uz sem na par mistech resil, proc DNS bud neodpovida, nebo dokonce posila nesmyslne odpovedi/falesne IP. Nekde v hlubinach webu O2 je pak k nalezeni, ze to delaji pro dobro zakazniku, protoze by se nedejboze mohli dostat treba na wikipedii, na ktere je prece to decke porno. Seznam timto zpusobem nedostupnych adres je pochopitelne (pro vasi bezpecnost) tajny.
pavlix avatar 9.2.2016 09:15 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: DNS balancer 1.0.0-alpha2
Mate-li vlastni rekurzory za balancerem, muzete napr. upgradovat za bileho dne a zcela bez odstavek.
Jaký je přesně důvod restartovat dobře napsaný rekurzor, který nelze uplatnit na restart balanceru. Ptám se vážně.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
BigWrigley avatar 9.2.2016 09:47 BigWrigley | skóre: 33
Rozbalit Rozbalit vše Re: DNS balancer 1.0.0-alpha2
Pominu-li upgrade kvuli potrebnym novym vlastnostem a pod., tak napr. zmena parametru, ktere nemuzete zmenit za behu, Napr. pocet threadu, rozsireni poctu zdrojovych portu pro dotazy, uprava rozlozeni cache... Obvykle veci, kterymi nejak reagujete na vyvoj provozu v siti.
Linux is like a wigwam - no windows, no gates and Apache inside.
pavlix avatar 8.2.2016 10:23 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: DNS balancer 1.0.0-alpha2
Není. Jestli jsou mé informace správné, tak jsou vlastnosti toho software naprosto unikátní.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.

Založit nové vláknoNahoru


ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.