Hoofdcategorieën
Device Settings

[RSS] [quick] Index » Nieuws » Pro » Internet » 98% van de aanvragen bij DNS-rootservers is onnodig

98% van de aanvragen bij DNS-rootservers is onnodig

Door Matthijs Abma, maandag 3 maart 2003 15:26
Bron: CircleID, submitter: KoeKk, views: 909

De heren van CircleID hebben een interview met Duane Wessels online gezet, waarin het onderzoek van de Cooperative Association for Internet Data Analysis naar het gebruik van de dertien DNS-rootservers besproken wordt. De conclusie van dit onderzoek was dat 98 procent van de aanvragen bij DNS-rootservers onnodig is. Wessels doet al sinds 1994 onderzoeken met betrekking tot het internet en is sinds 2000 directeur van het onderzoeksbureau The Measurement Factory. De opdracht voor het onderzoek kwam van een onderdeel van de ICANN: het Root Server System Advisory Committee.

Het onderzoek is gebaseerd op de 152 miljoen aanvragen die op vier oktober door de F rootserver in Palo Alto, Californië, zijn verwerkt. Daaruit volgde dat 98 procent van de aanvragen onnodig is, de meeste aanvragen worden herhaald met als tussenpozen de in de DNS-standaard gespecificeerde tijden, dus waarschijnlijk ontvangt de aanvrager het antwoord niet. Een ander deel van de aanvragen bestaat uit niet bestaande top-level-domeinnamen, zoals '.corp' en '.localhost'. Gewone internetgebruikers en de meeste bedrijven merken niets van al deze zinloze aanvragen, zij hebben haast nooit te maken met de DNS-rootservers en deze hebben genoeg capaciteit om al deze aanvragen te verwerken.

Dat aanvragers geen antwoord krijgen, komt vaak door te ijverige firewalls en packetfilters. DNS-namen worden vaak opgevraagd om in een logbestand een naam weer te geven in plaats van een IP-adres. Deze DNS-aanvragen zijn niet cruciaal, dus de aanvrager zal deze zinloze aanvragen niet snel opmerken. De oplossing van dit probleem is het goed configureren van firewalls en packetfilters. Op dit moment hebben de meeste bedrijven daar geen boodschap aan, de DNS-aanvragen kosten niks en het opnieuw configureren van de firewall wel, daarnaast willen veel bedrijven niet toegeven dat hun apparatuur verkeerd staat afgesteld. Over spam als oorzaak van het probleem heeft Wessels het volgende te zeggen:

It's entirely possible that spam emails generate an increased load for the root name servers. However, I don't think that simply sending spam increases load. Rather, it's more likely that anti-spam tools do. I can think of two specific examples:

1. Many anti-spam tools verify "From" addresses and perhaps other fields. If the From address has an invalid hostname, such as "spam.my.domain," the root servers will see more requests, because the top level domain does not exist.

2. Anti-spam tools also make various checks on the IP address of the connecting client -- for example, the various "realtime blackhole lists" and basic in-addr.arpa checks. These may be causing an increase in root server load, not simply because of the amount of spam, but also because these tools silently ignore failures.
Volgende 16:56 Chipverkopen in januari met 22% gestegen
Vorige 15:17 Introductie NV31 en NV34 6 maart
Advertentie

Categorieën

Gerelateerde content

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 50 reacties zichtbaar500 Off-topic / Irrelevant: 47 reacties zichtbaar47+1 On-topic: 40 reacties zichtbaar40+2 Informatief: 7 reacties zichtbaar7+3 Spotlight: 1 reactie zichtbaar1
«  1  2  »

Door NiGeLaToR, maandag 3 maart 2003 15:31

Score: 2
Gewone internetgebruikers en de meeste bedrijven merken niets van al deze zinloze aanvragen, zij hebben haast nooit te maken met de DNS-rootservers en deze hebben genoeg capaciteit om al deze aanvragen te verwerken.

Dus eigenlijk helemaal niet erg dus. Tevens zijn er veel bedrijven, ISP's en mensen die zelf een DNS caching hebben, wat weer aanvragen kan schelen. Hoe meer er slim gecached wordt, hoe minder een Ddos op deze DNS servers voor invloed heeft op de korte termijn. Ik merk het dan alleen als ik nieuwe sites wil opvragen, die dus niet in m'n cache zitten.

Door Karp, maandag 3 maart 2003 15:35

Score: 2
niet erg?

98% betekend dat je er eigenlijk 1 pc had neer kunnen zetten ipv 50, das nogal een verschil denk ik

misschien merk je er nu persoonlijk niets van maar als je denkt aan de DDoS'n die ze gehad hebben, dan zou het toch fijn zijn als ze meer capaciteit vrij hebben

Door egeltje, maandag 3 maart 2003 16:52

Score: 2
Met 1 PC ben je niet redundant -> 1 goeie DDOS aanval en het net ligt plat. Ze zullen die 13 die er nu zijn heus niet de deur uit doen.

Ik ben het met NiGeLaToR eens dat mensen meer gebruik moeten maken van de DNS server die hun ISP aanbied (ook al heb je een lokale DNS draaien, je kunt die DNS als forwarder gebruiken).
Dan voorkom je dat verkeer dat niet verder hoeft, ook niet verder gaat.

Door svierkant682, maandag 3 maart 2003 17:10

Score: 0
hoe kom je aan die 13?

Door dahei, maandag 3 maart 2003 17:17

Score: 1
Staat gewoon in de tekst

naar het gebruik van de dertien DNS-rootservers besproken wordt

Door dimmu, maandag 3 maart 2003 23:32

Score: 1
uit

a) de tekst

b) host -t NS .
en dat levert je A t/m M.ROOT-SERVERS.NET op

Door Jasper Janssen, dinsdag 4 maart 2003 21:16

Score: 1
Ja, maar ieder van die lettertjes staat wel een hele serverende boerderij aan computertjes achter.

Door Venator, maandag 3 maart 2003 15:37

Score: 1
Wat dacht je van DNS peering? Zijn verschillende ISP's dit dit doen. Bij een mismatch zal er pas een request naar een andere (interne) DNS server gaan.

Door Neo.Reloaded, maandag 3 maart 2003 20:52

Score: 1
"Tevens zijn er veel bedrijven, ISP's en mensen die zelf een DNS caching hebben"

Elke DNS-server houdt een cache bij, een DNS-server gaat enkel een aanvraag doen bij een DNS-server van een hoger nivieau als hij zelf de naam niet in zijn cache heeft of als deze niet meer klopt.

Dus ieder bedrijf, ISP, ... die een DNS draait hebben die cache, het is zelfs zo dat indien de 13 root DNS-servers er uit zouden liggen het nog dagen duurt eer wij dat zouden gaan merken.

Door Mysteryman, maandag 3 maart 2003 15:31

Score: 0
Kan je nagaan wat voor een "naam" rotzooi er eigelijk over internet strooid als maar 2% waarheid is...

want 98% vind ik wel heel erg veel!

Door jp, maandag 3 maart 2003 15:36

Score: 1
Niet 98% bestaat niet... maar is overbodig.

Maar in bv httpd.conf van apache:
#
# HostnameLookups: Log the names of clients or just their IP addresses
# e.g., www.apache.org (on) or 204.62.129.132 (off).
# The default is off because it'd be overall better for the net if people
# had to knowingly turn this feature on, since enabling it means that
# each client request will result in AT LEAST one lookup request to the
# nameserver.
#
Om dit te voorkomen

Door burne, maandag 3 maart 2003 16:42

Score: 1
Apache staat los van dit verhaal. Als je een goed geconfigde local resolver hebt zal het effect van HostnameLookups op de rootservers onmeetbaar zijn. Als je het artikel gelezen had, had je dat ook geweten.

Door jp, maandag 3 maart 2003 17:33

Score: 1
2. Anti-spam tools also make various checks on the IP address of the connecting client

Wat is het verschil tussen een apache die een overbodige lookup doet en een anti-spam tool die een overbodige lookup doet?

Door Trevi, maandag 3 maart 2003 17:56

Score: 0
Maar zouden die Ipadressen dan niet weer van andere DNS servers kunnen zijn?

Door BikkelZ, dinsdag 4 maart 2003 09:19

Score: 1
De lookups van Apache zijn lookups op bestaande domeinen terwijl lookups op spam mails vaak lookups zijn op fantasie domeinen / TLD's, en die komen bij de root servers terecht.

Door cablepokerface, maandag 3 maart 2003 15:48

Score: 0
Dan kan Bil Gates wel pakken denk ik van de lijst rijkste mensen

Iedereen is verantwoordelijk voor het functioneren van zijn eigen OS.

Door Dynamic Duo, maandag 3 maart 2003 16:10

Score: 1
Straks moeten we nog gaan dokken voor DNS aanvragen omdat er anders teveel troep wordt aangevraagd. Dan configreren bedrijven hun firewalls teminste goed. Dan kan Bil Gates wel pakken denk ik van de lijst rijkste mensen.
Sorry hoor, maar wat heeft het persoonlijk vermogen van Bill Gates nou in Godsnaam te maken met aanvragen bij een DNS server???

Iedere keer als jij een domeinnaam intypt doe je een aanvraag bij één van die servers en dit staat volledig los van welk type computer of besturingssysteem je gebruikt.

Door garagaholic, maandag 3 maart 2003 16:35

Score: 0
Meneer Bill is de rijkste meneer op de aarde. Dual-Zip stelt dat wanneer er geld gevraagd gaat worden voor DNS-aanvragen, deze meneer Bill wel in kan pakken als aanvoerder van de lijst der rijksten op aarde.

Door Glashelder, maandag 3 maart 2003 22:10

Score: 0
Omdat bedrijven te laks zijn hun firewalls goed in te stellen, daarom zouden ze geld kunnen vragen als eventuele oplossing

Door cablepokerface, dinsdag 4 maart 2003 17:12

Score: 1
Omdat bedrijven te laks zijn hun firewalls goed in te stellen, daarom zouden ze geld kunnen vragen als eventuele oplossing

Ik kan helaas nog steeds niet de link met MS ontdekken ...

Door Jasper Janssen, dinsdag 4 maart 2003 21:18

Score: 1
Omdat er iemand anders rijker wordt. Niet omdat William minder rijk zou worden.

Begrijpend lezen is ook een vak..

Door Venator, maandag 3 maart 2003 15:35

Score: 1
Spam message kunnen inderdaad requests extra opleveren, ook door sommige content die er in staat die meegelinkt is. Ongewilt levert dit wel een hoop extra requests op denk ik, vooral als mensen hun autoview message optie niet uitzetten.
Maar wat willen de heren met dit onderzoek bereiken? Interactie van de gebruikers en bedrijven? Kun je wel vergeten ben ik bang. Alleen een structurele wijziging kan dit oplossen, want de mensen zelf willen er geen tijd en moeite in steken omdat "ze zeggen: "het werkt toch?".

Door memphis, maandag 3 maart 2003 16:30

Score: 1
Het geeft aan dat spam een doorn in het oog is, niet alleen bij de internetters maar ook bij de rootservers.
Een reden des te meer om wat tegen spam te doen......

Door Venator, maandag 3 maart 2003 18:30

Score: 1
Wat sterk bemoeilijkt word door de locale regeltjes en wetten. Als je het in de US goed regelt scheelt het misschien iets, maar dan nog blijven er requests komen uit andere landen etc. Andersom geld dat ook voor de overigen servers, eigenlijk zou de grond waarop die gebouwen staan als ICANN-ambassade met diplomatieke status als een erkend land moeten worden veranderd wil je echt wat druk kunnen uitoefenen op de bad requests. Wat dus nooit gaat gebeuren, dus moeten er strakkere gedragsregels komen en moeten zaken als requests etc beter in protocollen worden gestopt om bepaalde requests te voorkomen. Probleem met die gedragsregels is weer dat niet iedereen zich er aan gaat houden omdat buiten de ICANN iedereen min of meer vrij lijkt om te doen en laten wat ze willen. Dus is de cirkel weer rond en schiet je wederom niets op. Tenzij je de cirkel breekt met een fundamentele verandering. Welke dat is? Ik denk dat ze daar bij de ICANN ook nog even wat vergaderingen voor nodig hebben :)

Door mad_dog, maandag 3 maart 2003 15:35

Score: 0
ja ik had idd wel verwacht dat dit hoog zo zijn, maar zo hoog :o
ik zit bij hccnet (adsl) en daar zijn dus de rootservers zwaar overbelast, waardoor de verbinding toch wel vaak overbelast is. Ik draai nu sinds kort bind en dat heeft wel wat geholpen, maar t blijft bagger

Door Mark Lavrijsen, maandag 3 maart 2003 15:43

Score: 1
Dat heeft niets te maken met de DNS rootservers. De DNS servers bij bijvoorbeeld HCCNet zijn zoals in het begin van deze zin al blijkt, gewoon "DNS servers" O+ . Die halen alleen simpelweg bij een domain een IP.

De DNS rootservers gaan bijvoorbeeld ook over de top level domains als .net, .com enz.

(Een tip voor jou persoonlijk : gebruik een andere DNS server dan die van HCCNet als die zo regelmatig down/overbelast is. Er zijn genoeg andere die je gewoon kan gebruiken
Edit : dit bovenstaande kan je even vergeten, zag net pas dat je BIND hebt draaien. Dit is natuurlijk wel een erg ingewikkelde oplossing. Makkelijker zou zijn om dus gewoon een(aantal) andere DNS server(s) te gebruiken.)

Door VaagOH, maandag 3 maart 2003 16:47

Score: 1
En dan een tip voor iedereen: een lijstje met 'gewone' DNS servers staat hier:
http://gathering.tweakers.net/forum/list_messages/684655

Door Pietervs, maandag 3 maart 2003 18:33

Score: 1
De DNS servers bij bijvoorbeeld HCCNet zijn zoals in het begin van deze zin al blijkt, gewoon "DNS servers" . Die halen alleen simpelweg bij een domain een IP.
Ja, maar ze doen ook meer dan dat: als ze geen IP adres kunnen vinden, gaan ze een stapje hoger. DNS servers zijn hierarchisch geconfigureerd. En als de Root servers dus al 98% onzinnige aanvragen krijgen, vraag je je toch af of de DNS servers van de providers wel helemaal lekker geconfigged zijn (en dus niet alleen de DNS servers van de klanten!)...

Door Trevi, maandag 3 maart 2003 15:40

Score: 2
Jamaar met dat caching krijg je toch ook weer problemen dat als ik een site opvraag en mijn DNS van mijn provider (bij deze @sloom) niet is geupdate maar netjes alles heeft gecached en er is net een wijziging doorgevoerd ik dus kan fluiten naar deze vernieuwde DNS!

Het beste is denk ik als ze voor het eventueel vertalen van een IPadres naar een hostname (voor logging en firewalls etc) een aantal alternatieve DNSsen moeten gaan gebruiken ipv de standaard DNS-servers waarop het internet is gebasseerd

Door LordHelmet, maandag 3 maart 2003 17:03

Score: 1
Ja, maar zo'n cache expired ook weer. Meestal wordt deze tijd op 1 dag gezet, dus is er nog niet veel aan de hand. Dat betekent gewoon dat je even geduld moet hebben voordat mensen je nieuwe verwijzing kunnen vinden.. en dat moet toch wel.

Door Gcaptain, maandag 3 maart 2003 20:57

Score: 1
Dit is de normale werkwijze zoals helmet al zegt.
Als jij bvb een domeinnaam registreert en de dns servers invult dan zal dit domein ook niet onmiddelijk bekend zijn bij andere providers/domeinnaam registranten.
Het heeft ook een doorlooptijd nodig voordat het in de andere DNS records wordt opgenomen.

Geduld is een mooie deugd :z

Door HDoc, maandag 3 maart 2003 15:41

Score: 3
Euhmm is het niet zo dat er op *elk* netwerk continue niet-essentiële data maar onderhoudsdata heen en weer wordt gezonden?

Vervolgens krijgt de anti-spamsoftware er van langs.

Het lijkt er op alsof ICANN een beetje in zijn maag zit met alle rootserver aanvragen. Toch lijken 152 miljoen aanvragen op een hele dag niet zo heel erg gek veel. Dat is in ieder geval veel minder dan één aanvraag per internetter per dag :*)

Wat wil ICANN hiermee? Zijn ze bang voor een sterke stijging van het aantal aanvragen door anti-spamsoftware, willen ze ISP's of anderen proberen te overreden om hun spullen beter af te stellen? Komt dit uit nog een andere hoek?

Echt duidelijk is het allemaal niet, het zal er wel weer op neerkomen dat de ICANN de schuld kan afschuiven als er weer problemen met de rootservers komen.

Door jurri@n, maandag 3 maart 2003 15:42

Score: 1
Ik snap zoiso al niet waarom nameservers voor ieder TLD bijna dagelijks opnieuw een aanvraag doen bij de rootservers... De servers voor de TLD's veranderen ook niet zo vaak... zou ook maandelijks kunnen worden geupdate, zoals dat met je lijst met TLD-servers gebeurt.

Door HDoc, maandag 3 maart 2003 15:51

Score: 1
Lijkt me niet echt fijn. Verander je met je TLD van server, moet je een maand wachten met het opnieuw overal on-line zijn :(

Door Trevi, maandag 3 maart 2003 16:00

Score: 1
En dit probleem doet zich al vaker voor bij de trage providers.

Heb al vaker mee gemaakt dat @home, UPC ofzo erg traag is met updaten van hun DNS terwijl Demon super snel is.

Door HDoc, dinsdag 4 maart 2003 09:41

Score: 1
Klopt inderdaad. Heb hier namelijk wel problemen mee gehad met mijn UPC verbinding. Na het opzetten van een nieuw TLD moest in inbellen naar Wanadoo Free om te kunnen uploaden naar mijn eigen domein omdat UPC heel traag was met updaten, het kostte geloof ik twee dagen of zo.

Door Stefan Mensink, dinsdag 4 maart 2003 14:20

Score: 1
Ten eerste registreert u zelf vast geen TLD.

Dat een nieuw domein bij uw provider dan niet werkt is logisch, waarschijnlijk omdat u uw providers nameserver hebt vervuild door te vroeg requests te sturen. Stel u stuurt een request als het domein nog niet 100% actief is (ofwel, het domein staat nog niet in de tld's zonefile), dan onthoudt uw providers nameserver dat als een miss, en laat u dan weer 1 tot 3 dagen wachten voordat-ie het opnieuw probeert. Om dit te voorkomen kan u heel eenvoudig checken, bijv, uw domein is fiets.com:

host -t ns com.

en kies een van die servers, bijv. A.GTLD-SERVERS.NET. daarna:

host -t ns fiets.com. A.GTLD-SERVERS.NET.

Als daar geen resultaat uit komt, dan nog wachten. Werkt het wel, kijk dan vervolgens of het bij die NS ook nog werkt, stel die ns is dan ns1.provideur.nl:

host -t any fiets.com. ns1.provideur.nl.

Werkt dit alles, dan kan u via uw eigen provider het domein gewoon direct gebruiken, tenzij u dus alvorens het actief worden dns-requests daarvoor de deur uit heeft gedaan.

Door HDoc, dinsdag 4 maart 2003 15:33

Score: 1
Ten eerste registreert u zelf vast geen TLD.
Pardon?

Welzeker heb ik een paar maal een TLD geregistreerd, en mijn voorbeeld is een praktijkvoorbeeld.

Bedankt voor de tip in ieder geval.

Door LauPro, maandag 3 maart 2003 16:35

Score: 2
Als ik hier wat over te zeggen had dan zou ik alle verkeerde aanvragen loggen (natuurlijk beperkt en eventueel random) om zo bedrijven te blocken die de boel lopen te verstieren. Imo is dit gewoon iets dat je als systeembeheerder moet weten te voorkomen/configuren.

Dat er voldoende capaciteit is staat hier los van, het gaat hier om 'onkunde' en het lijkt mij dat dat op een of andere wijze moet worden bestreden.
«  1  2  »

Op dit item kan niet meer gereageerd worden.

Volgende 16:56 Chipverkopen in januari met 22% gestegen
Vorige 15:17 Introductie NV31 en NV34 6 maart
VNU Media logo Hosted by True

© 1998 - 2012 Tweakers.net B.V. - Alle rechten voorbehouden - Contact - Jouw privacy - Algemene Voorwaarden

Uitgever van:

Website van het jaar 2011