registrar-tag andreas papst.at nameservice wer fragt wen was wann? datum: 26.11.2009

Registrar-Tag

Andreas Papst.at nameservice

Wer fragt Wen Was Wann?

Datum:26.11.2009

Registrar-Tag

2

Das Unvermeidliche

Stub-Resolver Rekursive Resolver Autoritative Nameserver

Root-Nameserver TLD-Nameserver

Registrar-Tag

3

Stub Resolver Rumpffunktionalität Aufgabe: Weiterleitung der Fragen Lokale Konfiguration Cache Kein Schutz durch DNSsec

Registrar-Tag

4

Stub-Cache löschen

Windows:ipconfig /flushdns

Linux:/etc/rc.d/init.d/nscd restart

MacOS X (Leopard):lookupd -flushcachedscacheutil -flushcache.

Registrar-Tag

5

Rekursiver Resolver Übernimmt Hauptarbeit Cache Einfluß der TTL Hier endet DNSsec-Schutz

Registrar-Tag

6

Autoritativer Namerserver Datenquelle Delegationskette

Root-Nameserver TLD-Nameserver ...

Registrar-Tag

7

Sensible Daten? Abfragen nur durch rekursive Resolver Nur einmal pro TTL und Domain Nur .at-Domains

Kein Enduser-Host Kontakt Bruchteil aller DNS-Abfragen sichtbar

(Stichprobe)

Publizieren nur Summenstatistik

Registrar-Tag

8

Enduser-IP Adressen im Logfile

19-Nov-2009 21:41:26.219 update-security: client 84.xxx.xxx.xxx#53230: update 'co.at/IN' denied

19-Nov-2009 21:45:12.677 update-security: client 86.xxx.xxx.xxx#32810: update 'at/IN' denied

Registrar-Tag

9

Überwachung des DNService Lastanalyse

Last auf Nameserver Verteilung der Abfragen

Erreichbarkeit RIPE DNSmon

Registrar-Tag

10

Traffic-Statistiken (Tag)

Registrar-Tag

11

RIPE DNSmon (.at total)

Registrar-Tag

12

RIPE DNSmon (sss-jp)

Registrar-Tag

13

Traffic-Statistiken (2005-2009)

Registrar-Tag

14

Anycast-Nameserver +

Mehr Nameserverinstanzen als NS-Delegationen

Lokale Senke bei DDOS Betriebsunterbrechungsfreie Wartung

- Netzwerktopologie vs. Latenz Domino-Effekt

Registrar-Tag

15

Registrar-Tag

16

Registrar-Tag

17

DNS2DB Stichprobe: 5 Minuten/Stunde Land der Quelladresse Record-Type Name

Alle „eigene“ Nameserver tcpdump Zentrale Datenspeicherung

Registrar-Tag

18

Verkehrsanalyse Nameserverstandorte Hoher lokaler Anteil Einfluß der Netzwerkopologie

Registrar-Tag

19

Registrar-Tag

20

Registrar-Tag

21

Registrar-Tag

22

Registrar-Tag

23

Registrar-Tag

24

Registrar-Tag

25

Registrar-Tag

26

Nachbarländer CH

Geringes Gesamtaufkommen Gleichmäßig verteilt auf AT und DE

TR Lastverteilung gelungen

SK Das Original bevorzugt

Registrar-Tag

27

Registrar-Tag

28

Registrar-Tag

29

Registrar-Tag

30

Nachverfolgung von Umstellungen Verzögerte Wirkung Topologie-Änderung (Prepending) 3 Beispiele

Umstellung ns2f Umstellung ns9b->ns2d Umstellung sss-us2->ns9b Miami

Registrar-Tag

31

Registrar-Tag

32

Registrar-Tag

33

Registrar-Tag

34

Registrar-Tag

35

Registrar-Tag

36

BR Instanz Analyse: hoher Bedarf Inbetriebnahme zu Jahreswechsel Hohe lokale Akzeptanz

Registrar-Tag

37

Registrar-Tag

38

Registrar-Tag

39

Hinzufügen eines Standorts Neue Anycast-Instanz Standort US Globale Auswirkungen

Registrar-Tag

40

Registrar-Tag

41

Registrar-Tag

42

Registrar-Tag

43

Registrar-Tag

44

Identifizierung neuer Standorte Abfragerate Topologie IXPs Lokale ISPs Peering Verhalten Hardware

Registrar-Tag

45

Registrar-Tag

46

Registrar-Tag

47

Registrar-Tag

48

Registrar-Tag

49

Analyse möglicher Kandidaten PL RU VN Entlastung anderer Standorte

gewünscht?

Registrar-Tag

50

Registrar-Tag

51

Registrar-Tag

52