Почему BIND не нравится людям?

[ban]

lissyara, спасибо за трату времени и тыкание носом в RTFM.

хм...
Так получается несмотря на мега-супер-свето-скоростную работу NSD
на корневых используют BIND
Лучшей рекламы и не пожелаешь.

Получается абсурд: Мегаанализы показывают, что те кто примает решение использовать на самых загруженных DNS серверах планеты Земля ПО BIND - профаны...

Да, собственно, какие дальше могут быть аргументы против BIND?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[terminus_]

Винду тоже везде юзают.
BIND это традиция. Не более.

[ban]

Винду тоже везде юзают.
BIND это традиция. Не более.

terminus, при всем уважении, не надо провоцировать неустойчивых идивидов на сравнение с виндовс вцелом какое-либо ПО. Так мы, как обычно, можем уйти вникуда...

Вот если бы ты привел факты использования на загруженных узлах ДНС серверов от гиганта Microsoft, то это был бы уже другой разговор.

[Alex Keda]

2 hizel

Код: Выделить всё

gw01# nmap -A ns.ripn.net ns.spb.su ns2.ripn.net ns5.msk-ix.net

Starting Nmap 5.00 ( http://nmap.org ) at 2010-01-14 15:07 MSK
Interesting ports on ns.spb.ru (193.124.83.69):
Not shown: 998 filtered ports
PORT   STATE  SERVICE VERSION
25/tcp closed smtp
53/tcp open   domain  ISC BIND BIND
Device type: general purpose
Running: FreeBSD 3.X
OS details: FreeBSD 3.5.1 (x86)
Network Distance: 6 hops

TRACEROUTE (using port 80/tcp)
HOP RTT   ADDRESS
1   0.69  static.65.89.40.188.clients.your-server.de (188.40.89.65)
2   0.12  hos-tr2.juniper1.rz10.hetzner.de (213.239.227.161)
3   4.74  hos-bb1.juniper2.ffm.hetzner.de (213.239.240.226)
4   5.56  de-cix1.RT.ACT.FKT.DE.retn.net (80.81.192.73)
5   49.36 ae2-7.RT.BOR.SPB.RU.retn.net (87.245.233.21)
6   48.15 GW-Relcom.retn.net (87.245.250.74)
7   50.27 ns.spb.ru (193.124.83.69)

Interesting ports on ns2.ripn.net (194.226.96.30):
Not shown: 998 filtered ports
PORT    STATE  SERVICE VERSION
53/tcp  open   domain  ISC BIND 9.X
113/tcp closed auth
Device type: general purpose
Running: FreeBSD 6.X
OS details: FreeBSD 6.0-STABLE - 6.2-RELEASE, FreeBSD 6.1-RELEASE - 6.2
Network Distance: 9 hops

TRACEROUTE (using port 113/tcp)
HOP RTT    ADDRESS
1   0.50   static.65.89.40.188.clients.your-server.de (188.40.89.65)
2   0.12   hos-tr2.juniper1.rz10.hetzner.de (213.239.227.161)
3   4.73   hos-bb1.juniper2.ffm.hetzner.de (213.239.240.226)
4   4.80   r1fra1.core.init7.net (77.109.135.17)
5   5.54   decix.xcr1.fra.cw.net (80.81.192.33)
6   11.20  xe-0-1-0.xcr1.amd.cw.net (195.2.25.45)
7   11.78  AS5568-gw1.amd.cw.net (208.173.209.2)
8   197.34 MSK-M9-RBNet-5.RBNet.ru (195.209.14.17)
9   56.34  MSK-M9-RBNet-1.RBNet.ru (195.209.14.153)
10  58.34  ns2.ripn.net (194.226.96.30)

OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 4 IP addresses (2 hosts up) scanned in 58.27 seconds
gw01#   

[hizel]

ну и замечательно, я что-то про tcp dns не вспомнил

[Alex Keda]

Код: Выделить всё

gw01# nmap -P0 -A ns.ripn.net ns5.msk-ix.net

Starting Nmap 5.00 ( http://nmap.org ) at 2010-01-14 15:25 MSK
Interesting ports on ns.ripn.net (194.85.105.17):
Not shown: 999 filtered ports
PORT   STATE SERVICE VERSION
53/tcp open  domain  ISC BIND 9.X
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running (JUST GUESSING) : FreeBSD 7.X (97%)
Aggressive OS guesses: FreeBSD 7.0-RELEASE (97%), FreeBSD 7.0-RELEASE-p1 - 7.1-RELEASE (94%), FreeBSD 7.0-BETA4 - 7.0 (93%), FreeBSD 7.0-RELEASE-p2 - 7.1-PRERELEASE (92%), FreeBSD 7.0-STABLE (91%), FreeBSD 7.1-RELEASE (90%)
No exact OS matches for host (test conditions non-ideal).

TRACEROUTE (using port 53/tcp)
HOP RTT       ADDRESS
1   -10004.86 static.65.89.40.188.clients.your-server.de (188.40.89.65)
2   0.14      hos-tr4.juniper2.rz10.hetzner.de (213.239.227.225)
3   4.74      hos-bb1.juniper2.ffm.hetzner.de (213.239.240.226)
4   5.45      de-cix1.RT.ACT.FKT.DE.retn.net (80.81.192.73)
5   33.31     ae5-4.RT.TC1.STO.SE.retn.net (87.245.233.53)
6   56.22     b57-1-gw.spb.runnet.ru (194.85.40.129)
7   56.19     m9-1-gw.msk.runnet.ru (194.85.40.133)
8   56.18     rbnet.msk.runnet.ru (194.190.255.106)
9   56.20     MSK-M9-RBNet-3.RBNet.ru (195.209.14.155)
10  56.94     MSK-M9-Relarn-2.relarn.ru (194.226.29.34)
11  57.11     MSK-KIAE-Relarn-9.relarn.ru (194.226.29.182)
12  57.97     ns.ripn.net (194.85.105.17)

Interesting ports on ns5.msk-ix.net (193.232.128.6):
Not shown: 999 filtered ports
PORT   STATE SERVICE VERSION
53/tcp open  domain  ISC BIND 9.X
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: FreeBSD 7.X
OS details: FreeBSD 7.0-RELEASE-p1 - 7.1-RELEASE

TRACEROUTE (using port 53/tcp)
HOP RTT    ADDRESS
1   0.56   static.65.89.40.188.clients.your-server.de (188.40.89.65)
2   0.12   hos-tr1.juniper1.rz10.hetzner.de (213.239.227.129)
3   4.71   hos-bb1.juniper1.ffm.hetzner.de (213.239.240.224)
4   21.04  hetzner-gw.noris.net (213.239.242.254)
5   17.58  vl835-rt1-ldn1.core.noris.net (213.95.14.1)
6   76.66  lnn11-ge500.501.transtelecom.net (195.66.224.212)
7   ... 10 no response
11  78.67  msk46.msk119.transtelecom.net (217.150.45.142)
12  62.94  MSK-IX-gw.transtelecom.net (217.150.45.141)
13  61.45  m9-tc-r1.ripn.net (193.232.226.118)
14  61.75  ns5.msk-ix.net (193.232.128.6)

OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 2 IP addresses (2 hosts up) scanned in 83.77 seconds
gw01#    

[ban]

все-таки ярость доказывающих, что BIND гавно заставляет задуматься.
Эти думки спровоцировали гугление, в результате которого у меня сложилась картина, что BIND реально испытывает трудности именно в качестве кеширующего сервера ДНС.

Вообще-то товарищ пошутить попытался, но сам того не ожидая, сказал правду. Многие провайдеры хорошо знают на собственной шкуре недостатки BIND 9 как кэширующего рекурсивного DNS.

При нехватке памяти BIND запускает процедуру поиска устаревших записей. В этот момент он практически перестаёт отвечать на запросы. Разработчики BIND пытались прикрутить патч а-ля "не искать для удаления более 1000 записей и не запускать процедуру очистки чаще 10 секунд", это слегка облегчило ситуацию, но не сильно.

Теперь что касается Корневых серверов. Тут не все так просто. Там какие-то разделения нагрузки:

По сути корни занимаются очень простой задачей. У них есть одна (не очень большая) зона, поэтому памяти на хранение информации зоны им много не надо. Основная память расходуется на запоминание ещё не обслуженных клиентов. После обслужывания вся информация о клиенте со свистом вылетает, фигурально выражаясь, в /dev/null. Процессор по сути занимается поиском информации в памяти и обслуживанием сетевой подсистемы - особо сложной нагрузки на него тоже не приходится.

Корневых DNS-серверов не 13, как говорят легенды. У корневых DNS-серверов 13 IP-адресов - это правда, самих же корневиков до пи..ды. В России расположены два узла двух разных unicast-кластеров: в Москве и Новосибирске. В результате нагрузка не хило распределяется по узлам.

Кэширующий рекурсор требует много памяти во-первых на хранение кэша, во-вторых на хранение информации о ещё необслуженных клиентах. Кэш содержит информацию не из одной небольшой зоны, а из тысяч разных зон, и не порядка сотни записей, а несколько десятков-сотен тысяч записей, поэтому кэш занимает больше памяти, нежели на корневиках. Поскольку выполнение рекурсивного запроса ограничено не скоростью поиска в памяти, а временем получения ответа от другого DNS-сервера, выполнение запроса может затянуться довольно надолго. Не мудрено, что вторая таблица тоже имеет довольно большой размер. Один сервер в провайдерской сети может обслуживать сеть размером x.x.x.x/16 - не хило...

А теперь подумайте, нагрузка на какой из типов серверов сложнее. В первом случае нагрузка очень простая и легко распараллеливается, всё, что требуется от DNS-сервера - это быстро найти в своей памяти нужный ответ. Фактически его производительность больше определяется пропускной способностью канала связи. Во втором случае, распараллелить нугрузку можно, но тогда теряется эффективность кэширования. Нагрузка на кэширующий рекурсивный DNS-сервер более сложная, она грузит разные подсистемы - сеть, память, процессор.

То есть как бы в качестве авторитетных серверов BIND использовать - не вопрос.
А вот когда дело доходит до кеширования, то при возрастании нагрузки BIND выпадает в осадок.

На текущий момент интересен опыт/статистика использования кеширующих ДНС серверов под большой нагрузкой.
Есть ли кто такой статистикой обладает?

[terminus_]

[довольно потирает ладошки при этом мерзко хихикая]
Это я, я натролил!!!

---

тут меряли
http://www.unbound.net/documentation/book_news.html

тут перешли на unbound с BIND
ns.nic.lv - 2K qps
http://www.unbound.net/pipermail/unboun ... 00535.html

seacat на NetBSD 50+K qps
http://forum.lissyara.su/viewtopic.php? ... 75#p136969

[Alex Keda]

как же вы [классический секс]
берём любого крупного провайдера, лучше из америки - там крупней и народу больше.
плюс нет "русской любви к FreeBSD/BIND"

Код: Выделить всё

gw01# nmap -A DNS1.RR.COM DNS2.RR.COM DNS3.RR.COM DNS4.RR.COM

Starting Nmap 5.00 ( http://nmap.org ) at 2010-01-14 16:15 MSK
Stats: 0:01:51 elapsed; 1 hosts completed (3 up), 3 undergoing SYN Stealth Scan
SYN Stealth Scan Timing: About 73.54% done; ETC: 16:18 (0:00:39 remaining)
Stats: 0:03:43 elapsed; 1 hosts completed (3 up), 3 undergoing SYN Stealth Scan
SYN Stealth Scan Timing: About 79.30% done; ETC: 16:20 (0:00:58 remaining)
Interesting ports on dns1.rr.com (24.30.200.3):
Not shown: 993 filtered ports
PORT    STATE  SERVICE VERSION
21/tcp  closed ftp
25/tcp  closed smtp
53/tcp  open   domain
80/tcp  closed http
110/tcp closed pop3
119/tcp closed nntp
443/tcp closed https
Device type: general purpose
Running (JUST GUESSING) : Sun Solaris 8|9|10 (97%)
Aggressive OS guesses: Sun Solaris 8 (SPARC) (97%), Sun Solaris 8 (x86) (93%), Sun Solaris 9 (x86) (91%), Sun Solaris 9 or 10 (87%)
No exact OS matches for host (test conditions non-ideal).

TRACEROUTE (using port 443/tcp)
HOP RTT    ADDRESS
1   0.63   static.65.89.40.188.clients.your-server.de (188.40.89.65)
2   0.13   hos-tr1.juniper1.rz10.hetzner.de (213.239.227.129)
3   2.82   hos-bb2.juniper4.s04.hetzner.de (213.239.240.139)
4   2.80   lambdanet-ffm-gw.hetzner.de (213.239.247.206)
5   6.08   FRA-3-eth110.de.lambdanet.net (217.71.96.161)
6   6.24   ge-5-3-0.ar2.FRA3.gblx.net (64.209.92.57)
7   166.48 TWC-COMMUNICATIONS-LLC.TenGigabitEthernet3-3.ar7.NYC1.gblx.net (64.213.104.194)
8   98.46  ae-2-0.cr0.nyc30.tbone.rr.com (66.109.6.162)
9   105.46 ae-4-0.cr0.dca20.tbone.rr.com (66.109.6.28)
10  106.12 ae-0-0.cr0.dca10.tbone.rr.com (66.109.6.30)
11  106.16 66.109.10.76
12  105.82 66.109.6.125
13  106.44 24.30.192.84
14  106.34 dns1.rr.com (24.30.200.3)

Interesting ports on dns2.rr.com (24.30.201.3):
Not shown: 993 filtered ports
PORT    STATE  SERVICE VERSION
21/tcp  closed ftp
25/tcp  closed smtp
53/tcp  open   domain  ISC BIND Surely
80/tcp  closed http
110/tcp closed pop3
119/tcp closed nntp
443/tcp closed https
Device type: general purpose|printer
Running (JUST GUESSING) : Sun Solaris 8|9 (92%), Lexmark embedded (87%)
Aggressive OS guesses: Sun Solaris 8 (SPARC) (92%), Sun Solaris 8 (x86) (88%), Lexmark X644e printer (87%), Sun Solaris 9 (x86) (85%)
No exact OS matches for host (test conditions non-ideal).

TRACEROUTE (using port 80/tcp)
HOP RTT    ADDRESS
-   Hops 1-6 are the same as for 24.30.200.3
7   97.40  TWC-COMMUNICATIONS-LLC.TenGigabitEthernet3-3.ar7.NYC1.gblx.net (64.213.104.194)
8   98.17  ae-2-0.cr0.nyc30.tbone.rr.com (66.109.6.162)
9   105.26 ae-4-0.cr0.dca20.tbone.rr.com (66.109.6.28)
10  110.40 ae-0-0.cr0.dca10.tbone.rr.com (66.109.6.30)
11  105.34 66.109.10.76
12  105.45 66.109.6.125
13  105.69 hrndvaspk-swt2-ge8-2.hrndva.rr.com (24.30.192.86)
14  111.86 dns2.rr.com (24.30.201.3)

Interesting ports on dns4.rr.com (65.24.0.172):
Not shown: 997 closed ports
PORT     STATE SERVICE           VERSION
22/tcp   open  tcpwrapped
53/tcp   open  domain            ISC BIND BIND
1002/tcp open  ssl/windows-icfw?
|_ sslv2: server still supports SSLv2
Device type: general purpose|printer|PBX
Running (JUST GUESSING) : Sun Solaris 8|7|2.X|9|10 (95%), HP HP-UX 11.X (88%), Lexmark embedded (87%), Linux 2.6.X (86%), Vodavi embedded (86%)
Aggressive OS guesses: Sun Solaris 8 (SPARC) (95%), Sun Solaris 8 (x86) (91%), Sun Solaris 7 (SPARC) (90%), HP HP-UX B.11.11 (88%), Sun Solaris 2.6 (88%), Sun Solaris 9 or 10 (87%), Sun Solaris 9 (x86) (87%), Lexmark E332n printer (87%), Linux 2.6.24 (86%), Vodavi XTS-IP PBX (86%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: 11 hops

TRACEROUTE (using port 23/tcp)
HOP RTT    ADDRESS
1   0.51   static.65.89.40.188.clients.your-server.de (188.40.89.65)
2   0.14   hos-tr2.juniper1.rz10.hetzner.de (213.239.227.161)
3   2.84   hos-bb2.juniper4.s04.hetzner.de (213.239.240.139)
4   2.77   lambdanet-ffm-gw.hetzner.de (213.239.247.206)
5   6.08   FRA-3-eth000.de.lambdanet.net (217.71.96.73)
6   6.23   ge-5-3-0.ar2.FRA3.gblx.net (64.209.92.57)
7   94.98  64.209.111.138
8   95.55  ae-2-0.cr0.dca20.tbone.rr.com (66.109.6.164)
9   103.21 ae15.clevoh1-rtr0.mwrtn.rr.com (66.109.6.71)
10  109.85 tge1-1-0.clboh1-rtr02.ohiordc.rr.com (65.25.137.126)
11  119.47 gig2-2.clboh1-swt01.ohiordc.rr.com (65.24.14.138)
12  109.90 dns4.rr.com (65.24.0.172)

OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 4 IP addresses (3 hosts up) scanned in 687.90 seconds
gw01#

[thefree]

убил он всех, осталось рассортировать
===
удобен, практичен, везде есть ...

[hizel]

Лис а с чего ты взял что клиенты прова используют для рекурсивных запросов именно эти сервера

[ban]

Теперь уже при всем уважении к lissyar'e, выскажусь.
Приведенный им выше nmap'инг одного из крупных провайдеров пендосии показывает, что на 53 порте сидит BIND (надеюсь я правильно интерпретировал).
НО это вовсе не значит, что этот бинд у них помимо авторитетного еще и кеширующий!

В процессе чтения всякой херни по теме бинда родился абзац:

Сервер DNS по умолчанию ожидает/слушает запросы по порту 53 UDP (клиент -> сервер) или 53 TCP (сервер -> сервер). Номер source-порта в запросах идущих от самого DNS сервера может быть как 53, так и любой свободный непривилегированный порт (сейчас чаще встречается именно это вариант).

Касательно source-порта запросов кеширующего сервера DNS это указано в named.conf в изначальном виде.

А значит приведенный вариант nmap'инга не отражает реальной действиетльности на 100%.

Нужна инфа от живых админов кеширующих ДНС серваков провайдеров, только тогда мы познаем истину.

[thefree]

а мне вот кажется он пробежался по всем открытым портам ... были бы другие, мы бы увидели.
Могу быть конечно не прав.

[hizel]

ну я провайдер, стоит bind, проблем не знаю
у моих вышестоящих канальных провайдеров тоже bind

если хочешь больше информации от риальных провайдеров ходи на forum.nag.ru

[ban]

ну я провайдер, стоит bind, проблем не знаю

дядя hizel, дай пожалуйста статистику. Это же не раскроет твои супер-провайдерские секреты. Вот только не знаю в каком разрезе.... Среднее количество машин обращающихся как-то наверное не-то, не показательно. Может знание какая машина(ы) отведена под сервак ДНС что-то даст, но к чему это привязать...

а мне вот кажется он пробежался по всем открытым портам ... были бы другие, мы бы увидели.

а мне кажется ты не правильно думаешь.

[hizel]

дай то низнаю что, ок

[Alex Keda]

максимальное число одновременно находящихся в онлайн клиентов дай
хотьтакое, хоть примерно

[hizel]

не пойму что это даст

~1500 хостов

[ban]

1. Сколько запросов обрабатывает в сутки в среднем
2. Какое ПО помимо BIND'а стоит
3. Какое железо (проц., память, винты, raid'ы)
4. Какая загрузка серваков в пиковое время

[gloom]

еть еще интересные днс
гуглевые 8.8.8.8 8.8.4.4
левел3 4.2.2.1

[hizel]

не я не вижу смысла отдавать эти данные, да и серваков три штуки с разным железом и разными задачами

[terminus]

Тролим дальше?
Про NSD картинки пока не нашел...

[_Сатана]

ну, вот.
старт засерания темы дан.
terminus, не смог сдержать в себе троля.

[terminus]

Меня Lissyara в соседней теме подколол.

К тому же тролизм тут весьма умеренный с обеих сторон:
- Я говорю, что бинд старье с кучей проблем и грабель.
- Мне говорят, что все мол почему-то используют именно его.

Такая вот незадача...

[_9 мая]

ничё-ниче,
щас, zingel придет и всех забанит.