Frage Wie lange dauert die Verbreitung von DNS-Datensätzen?


Das ist ein Kanonische Frage über DNS-Propagierung

Wie lange dauert es, bis sich die verschiedenen Arten von Datensätzen verbreiten?
Verbreiten sich manche schneller als andere?
Warum dauert die Verbreitung von DNS-Daten und wie funktioniert sie?


64
2018-03-23 13:32


Ursprung


Hinweis: In der Vergangenheit gab es einen bemerkenswerten und signifikanten Unterschied in der Zeit, die benötigt wird, um verschiedene Arten von Datensätzen zu aktualisieren (abhängig davon, wer sie aufbewahrt hat und so). Dies ist heute nicht mehr der Fall. - Chris S
Wenn ppl das Wort "propagieren" für DNS verwendet, zeigt es deutlich, dass sie nicht wissen, was DNS ist und wie es funktioniert. Hoffen wir, dass sich die Dokumentation schnell genug "fortpflanzt" (Finger kreuzen). - poige
@tonygil Bitte sehen Sie Poiges Kommentar. Es gibt keine DNS-Verbreitung. ISPs kontrollieren auch nicht die Root-Server. Wenn die DNS-Server dieser ISPs länger als die TTL des Datensatzes zwischenspeichern, verstoßen sie gegen RFC. Sie scheinen mehrere Missverständnisse bezüglich der Funktionsweise von DNS zu haben. aber RFC-Verstöße werden normalerweise so funktionieren, wie es funktionieren soll. Das hat nichts mit den USA oder Europa zu tun. - Chris S
@tonygil: Die "Cyberpolizei", um sie zu "updaten", ist eine ganze Reihe von Systemadministratoren, Netzwerkadministratoren usw., die sozialen Druck auf schlechte Akteure ausüben. Das Internet funktioniert, weil wir alle darin übereinstimmen, dass es sollte. Die besten Interessen unserer Benutzer, Netzwerke usw. liegen im manifesten "besten Interesse" des Internets. re: "Benutzer sind nicht Technogurus" - Dies ist eine Website für professionelle Systemadministratoren und nicht Endbenutzer. Ehrlich gesagt erwarte ich, dass Systemadministratoren eine Art "Technoguru" sind (um Ihre Terminologie zu verwenden). Sysadmins sind, nach Beruf, soll sich kümmern, wie das Zeug funktioniert. - Evan Anderson
@EvanAnderson ich stimme völlig zu, dass Druck für Veränderung sorgt. Auf der anderen Seite ist die Realität, dass faule oder inkompetente Systemadministratoren in Horden sind. Je weiter du dich von den USA und Europa entfernst, desto häufiger werden sie. Ihre Erwartungen sind gut 4 US, aber sie sind in den meisten Teilen der realen Welt nicht durchführbar, wo unvorbereitete Sysadmins die Regel sind. Also, während Sie erwarten, dass alles in Ordnung ist, sollten Sie sich mit der realen Welt befassen, wo sie nicht sind. Wie auch immer, machte meinen Standpunkt, du hast deinen gemacht. Lasst uns zustimmen, dass wir nicht übereinstimmen. - tony gil


Antworten:


"DNS-Propagation" ist per se kein echtes Phänomen. Es ist vielmehr der manifeste Effekt der Caching-Funktionalität, die im DNS-Protokoll angegeben ist. Zu sagen, dass sich Änderungen zwischen DNS-Servern "fortpflanzen", ist eine bequeme Unwahrheit, die wohl nicht-technischen Benutzern leichter erklärt werden kann, als alle Details des DNS-Protokolls zu beschreiben. Es ist nicht so, wie das Protokoll funktioniert.

Rekursive DNS-Server führen Abfragen im Auftrag von Clients durch. Rekursive DNS-Server, die normalerweise von ISPs oder IT-Abteilungen ausgeführt werden, werden von Clientcomputern zum Auflösen von Namen von Internetressourcen verwendet. Rekursive DNS-Server speichern die Ergebnisse von Abfragen, die sie zur Verbesserung der Effizienz vornehmen. Abfragen für bereits zwischengespeicherte Informationen können ohne weitere Abfragen beantwortet werden. Die Dauer in Sekunden, die ein Ergebnis zwischengespeichert wird, ist soll basiert auf einem konfigurierbaren Wert namens Time to Live (TTL). Dieser Wert wird vom autorisierenden DNS-Server für den abgefragten Datensatz angegeben.

Es gibt keine einzige Antwort auf alle Fragen, da DNS ein verteiltes Protokoll ist. Das Verhalten von DNS hängt von der Konfiguration des autorisierenden DNS-Servers für einen bestimmten Datensatz, der Konfiguration rekursiver DNS-Server für Abfragen von Clientcomputern und der integrierten DNS-Cachingfunktionalität auf den Betriebssystemen der Clientcomputer ab.

Es empfiehlt sich, einen TTL-Wert anzugeben, der kurz genug ist, um tägliche Änderungen an DNS-Datensätzen zu ermöglichen, aber lang genug, um einen "Gewinn" beim Caching zu erzielen (dh nicht so kurz, um den Cache zu schnell auslaufen zu lassen) eine Verbesserung der Effizienz bieten). Eine ausgewogene Strategie mit TTL-Werten führt zu einem "Gewinn" für alle. Es reduziert sowohl die Auslastung als auch die Bandbreitennutzung für die autorisierenden DNS-Server für eine bestimmte Domäne, die Stammserver und die TLD-Server. Es reduziert die Upstream-Bandbreitennutzung für den Betreiber des rekursiven DNS-Servers. Dies führt zu schnelleren Abfrageantworten für Clientcomputer.

Wenn die TTL eines DNS-Eintrags festgelegt wird, erhöht sich die Auslastung und die Bandbreitennutzung auf den autorisierenden DNS-Servern wird erhöht, da rekursive DNS-Server das Ergebnis nicht für längere Zeit zwischenspeichern können. Da die TTL eines Datensatzes höher ist, scheinen Änderungen an Datensätzen nicht schnell wirksam zu werden, da Clientcomputer weiterhin zwischengespeicherte Ergebnisse erhalten, die auf ihren rekursiven DNS-Servern gespeichert sind. Das Festlegen der optimalen TTL ist auf einen Balanceakt zwischen der Verwendung und der Fähigkeit zum schnellen Ändern von Datensätzen zurückzuführen und zeigt diese Änderungen auf den Clients.

Es ist erwähnenswert, dass einige ISPs missbräuchlich sind und die TTL-Werte ignorieren, die von den autoritativen DNS-Servern angegeben werden (die ihre eigene administrative Überschreibung ersetzen, die eine Verletzung von RFC darstellt). Daran lässt sich aus technischer Sicht nichts ändern. Wenn die Betreiber von missbräuchlichen DNS-Servern Beschwerden bei ihren Systemadministratoren ausfindig machen können, führen sie möglicherweise ihre Best Practices ein (was für jeden Netzwerkingenieur, der mit DNS vertraut ist, vernünftig ist). Diese besondere Art von Missbrauch ist kein technisches Problem.

Wenn jeder nach den Regeln "spielt", werden die DNS-Einträge geändert können "Wirkung" sehr schnell. Im Falle der Änderung der IP-Adresse, die beispielsweise einem "A" -Datensatz zugewiesen ist, würde ein exponentieller Backoff des TTL-Wertes durchgeführt werden, der zu der Zeit führt, zu der die Änderung vorgenommen wird. Die TTL könnte beispielsweise bei 1 Tag beginnen und für einen Zeitraum von 24 Stunden auf 12 Stunden reduziert werden, dann 6 Stunden für einen 12-Stunden-Zeitraum, 3 Stunden für einen 6-Stunden-Zeitraum usw. bis zu einem geeigneten kleinen Intervall. Sobald die TTL zurückgesetzt wurde, kann der Datensatz geändert und die TTL auf den gewünschten Wert für den täglichen Betrieb zurückgebracht werden. (Es ist nicht erforderlich, einen exponentiellen Backoff zu verwenden, diese Strategie minimiert jedoch die Zeit, in der der Datensatz eine niedrige TTL aufweist und die Belastung des autorisierenden DNS-Servers verringert.)

Nach dem Erstellen eines DNS-Datensatzes sollten Änderungsprotokolle auf Zugriffsversuche überwacht werden, die als Ergebnis des alten DNS-Eintrags durchgeführt wurden. In dem Beispiel, in dem ein "A" -Datensatz geändert wird, um auf eine neue IP-Adresse zu verweisen, sollte ein Server an der alten IP-Adresse vorhanden sein, um Zugriffsversuche von Client-Computern zu verarbeiten, die immer noch den alten "A" -Datensatz verwenden. Sobald Zugriffsversuche basierend auf dem alten Datensatz ein akzeptables niedriges Niveau erreicht haben, kann die alte IP-Adresse außer Kraft gesetzt werden. Wenn die Anforderungen bezüglich eines alten Datensatzes nicht schnell abfallen, ist es möglich, dass (wie oben beschrieben) ein rekursiver DNS-Server die autorisierende TTL ignoriert. Die Kenntnis der Quell-IP-Adresse eines Zugriffsversuchs liefert jedoch keine direkte Information über den rekursiven DNS-Server, der für die Bereitstellung eines alten Datensatzes verantwortlich ist. Wenn die IP-Adressen von fehlgeschlagenen Zugriffsversuchen alle auf einen einzelnen ISP bezogen sind, kann es möglich sein, den betreffenden DNS-Server zu lokalisieren und sich an seinen Betreiber zu wenden.

Persönlich habe ich gesehen, dass Änderungen sofort, in einigen Stunden und in einigen Fällen mit einem bestimmten hirngeschädigten ISP nach einigen Tagen wirksam werden. Ein Back-off Ihrer TTL und die Achtsamkeit, wie der Prozess funktioniert, werden Ihre Änderungen für den Erfolg erhöhen, aber Sie können sich nie sicher sein, was ein wohlmeinender Idiot mit seinen rekursiven DNS-Servern tun könnte.


66
2018-03-23 13:47



Dies ist keine Antwort auf "OpenDNS" - es ist eine Antwort über DNS. Jeder rekursive DNS-Anbieter könnte beliebige Schnittstellen implementieren, die Cache-Bereinigungen ermöglichen sollen. Wir reden hier von DNS - nicht von Hersteller-APIs. Soweit deine Bearbeitungen: Ich stehe bei der Phrase "brain damaged" als eine Phrase die lange in der Hackerkultur benutzt wurde, und ich benutze sie in diesem Kontext (siehe Jargon-Datei, Steven Levys "Hacker", etc.) . Soweit es "idiotisch" geht, denke ich, dass es ziemlich begründet ist, dass dies außerhalb der gesetzlichen Vorschriften eine umgangssprachliche Bezeichnung für Handlungen ist, die inkompetent sind. Ich stehe auch dazu. - Evan Anderson
@tonygil - OpenDNS ist kein DNS. Es ist nur ein Service, den jemand anbietet. Was ist, wenn FooDNS morgen öffnet und einige aufregende neue Cache Clearing API hat? Sollte meine Antwort das auch beinhalten? Wo hört es auf? Dies degeneriert in den Wahnsinn. re: Bürgerrechte - Ich bin kein Arbeitgeber oder eine staatliche Einrichtung, die einem Mitglied einer geschützten Klasse Bürgerrechte verweigert. Sicher-- gehen Sie voran und sehen Sie, ob Sie jemanden finden können, der mich verfolgen will. Sie können mich per Post bei P.O erreichen. Postfach 852, Troy, OH. (866) 569-9799, sendet x801 zu meinem Handy 24x7. (Das ist eine gute Detektivarbeit, die dort mein Profil ansieht, BTW.) - Evan Anderson
Du siehst, du sagtest, dass Gruppenzwang Veränderung bringt. das war was ich getan habe. Ich habe darauf hingewiesen, dass ich nicht einverstanden bin mit der Verwendung von "Idioten" und "Gehirnschäden", weil sie beleidigend und abwertend sind. die Tatsache, dass jemand es reichlich nutzt (z. B. Hacker) macht es nicht richtig. Der KKK benutzte das N-Wort reichlich. Bitte respektieren Sie diejenigen von uns, die sich um geistig Behinderte kümmern. Ich verstehe, dass Sie die Begriffe metaphorisch in Ihren bunten Stil integrieren, aber glauben Sie mir: Sie sind beleidigend und unnötig. - tony gil
Über TTL honoring: Die TTL ist der maximale Wert, um Dinge im Cache zu behalten, ein Caching-Resolver kann die Daten davor löschen. So können sie es senken, wenn sie wollen. Es ist jedoch richtig, dass sie es nicht erhöhen sollten, das ist eine Verletzung des Protokolls. Aber für die Leute, die wie 1 Sekunde in der TTL setzen, verteidigen sich einige Caches, indem sie einfach nicht das ehren und stattdessen bei 5 Minuten klemmen. - Patrick Mevzek
Rekursive DNS-Server, die normalerweise von ISPs oder IT-Abteilungen ausgeführt werden, Heutzutage sind sie riesige Flotten (Anycast Cloud) offener rekursiver Nameserver wie 1.1.1.1 oder 8.8.8.8 oder 9.9.9.9 oder 80.80.80.80. Es ist wichtig zu verstehen, dass sie vorhanden sind: Die Antwort kann sich basierend auf der Quell-IP ändern, da sie möglicherweise eine vollständig andere physische Instanz trifft UND der Cache, den sie haben, könnte für alle Instanzen global sein oder nicht. - Patrick Mevzek