Кэширующие рекурсивные DNS

[mlevel]

Стало интересно кто чем пользуеться в качестве провайдерского кеширующего рекурсивного DNS-сервера? Какая производительность, плюсы и минусы?

[orlik]

может кто-то ещё поделится конфигурацией железа , нагрузкой на оборудованием и req/sec ?

[Wingman]

bind, ~400-500 qps, проц кор квад, ссд, 4гб рам

согласно гугловскому бенчмарку работает для клиентов быстрее паблик ДНСов, нам достаточно

именно бинд, т.к. нужно и зоны держать, и вьюхи разделять

[[S]]

Где ж вы столько названий-то взяли :)

[Soltik]

Кстати, нужно реализовать что-то типа блеклиста для отдельных юзеров (а-ля саморегулируемый родительский контроль). Позволяет ли какой-нибудь из серверов привинчивать свои скрипты/плагины/бэкенды.

Править километровые конфиги под каждого хомячка с перезагрузкой не хочется.

[[S]]

bind

[zi_rus]

Microsoft DNS Server (2 голосов [3.12%]

серьезно?

[Alex_5252]

У многих провайдеров стоит непатченный бинд, который кладется доступными эксплойтами.

[zi_rus]

я и не говорил что оно не секурно, у меня есть основания полагать, что днс от МС не может похвастать производительностью адекватной нагрузке

[mlevel]

У многих провайдеров стоит непатченный бинд, который кладется доступными эксплойтами.

 

А можно ссылки на патчи?

[alex_001]

Кстати, нужно реализовать что-то типа блеклиста для отдельных юзеров (а-ля саморегулируемый родительский контроль). Позволяет ли какой-нибудь из серверов привинчивать свои скрипты/плагины/бэкенды.

Править километровые конфиги под каждого хомячка с перезагрузкой не хочется.

unbound , плагины - python. хотя плагины вероятно и на c можно - но тут точно не скажу.

[Telesis]

unbound ~30K qps, 2xE7420, 8G

[Soltik]

Кстати, нужно реализовать что-то типа блеклиста для отдельных юзеров (а-ля саморегулируемый родительский контроль). Позволяет ли какой-нибудь из серверов привинчивать свои скрипты/плагины/бэкенды.

Править километровые конфиги под каждого хомячка с перезагрузкой не хочется.

unbound , плагины - python. хотя плагины вероятно и на c можно - но тут точно не скажу.

спасибо, бум вникать.

[Alex_5252]

У многих провайдеров стоит непатченный бинд, который кладется доступными эксплойтами.

 

А можно ссылки на патчи?

 

Я имел ввиду, что многие не обновляют софт, в силу разных причин.

[alibek]

я и не говорил что оно не секурно, у меня есть основания полагать, что днс от МС не может похвастать производительностью адекватной нагрузке

У меня стоял DNS-сервер на Windows Server 2003, года полтора-два. Под 10-15к клиентов, число запросов не мерял.

Отлично работал. Раз в месяц-полтора на всякий случай перезапускал его, но не факт, что он в этом нуждался.

[zi_rus]

У меня стоял DNS-сервер на Windows Server 2003, года полтора-два. Под 10-15к клиентов, число запросов не мерял.

Отлично работал. Раз в месяц-полтора на всякий случай перезапускал его, но не факт, что он в этом нуждался.

хорошо, значит он не такой плохой как кажется

а чем обусловлен был выбор?

[Pritorius]

У меня стоял DNS-сервер на Windows Server 2003, года полтора-два. Под 10-15к клиентов, число запросов не мерял.

Отлично работал. Раз в месяц-полтора на всякий случай перезапускал его, но не факт, что он в этом нуждался.

хорошо, значит он не такой плохой как кажется

а чем обусловлен был выбор?

 

У нас софт-роутер на Веинде 2к3. Собственно чтоб огород не городить юзаем DNS от мелкософта. Работает без проблем 1к клиентов.

[alibek]

хорошо, значит он не такой плохой как кажется

а чем обусловлен был выбор?

Из-за драйверов, имеющиеся дистрибутивы (Gentoo, ASPLinux) не опознавали какое-то оборудование.

Ну и кроме того, на нем игровой сервер работал, Freelancer, CS и еще пара каких-то игр, которые были только под Windows.

[Aliech]

У меня стоял DNS-сервер на Windows Server 2003, года полтора-два. Под 10-15к клиентов, число запросов не мерял.

Отлично работал. Раз в месяц-полтора на всякий случай перезапускал его, но не факт, что он в этом нуждался.

хорошо, значит он не такой плохой как кажется

а чем обусловлен был выбор?

 

У нас софт-роутер на Веинде 2к3. Собственно чтоб огород не городить юзаем DNS от мелкософта. Работает без проблем 1к клиентов.

 

Вы меня извините, но у меня корпоративная сетка такую нагрузку делает... То есть, мне кажется, что такая цифра - совсем не показатель.

 

PS: и да, сетку обслуживает Unbound)

[Pritorius]

У меня стоял DNS-сервер на Windows Server 2003, года полтора-два. Под 10-15к клиентов, число запросов не мерял.

Отлично работал. Раз в месяц-полтора на всякий случай перезапускал его, но не факт, что он в этом нуждался.

хорошо, значит он не такой плохой как кажется

а чем обусловлен был выбор?

 

У нас софт-роутер на Веинде 2к3. Собственно чтоб огород не городить юзаем DNS от мелкософта. Работает без проблем 1к клиентов.

 

Вы меня извините, но у меня корпоративная сетка такую нагрузку делает... То есть, мне кажется, что такая цифра - совсем не показатель.

 

PS: и да, сетку обслуживает Unbound)

 

А я письками и не меряюсь. Свой опыт выложил. У кого то корпоративная сетка в где то провайдер ))) Это вам не москоу сити )))

[Aliech]

Ну так и я не меряюсь, я просто намекаю, что всё вполне закономерно: офисно-ориентирванный софт (ака DNS от M$), обслуживает сеть соизмеримую по размерам с крупной сетью предприятия. Всё вполне честно)

[Pritorius]

Ну так и я не меряюсь, я просто намекаю, что всё вполне закономерно: офисно-ориентирванный софт (ака DNS от M$), обслуживает сеть соизмеримую по размерам с крупной сетью предприятия. Всё вполне честно)

 

Ну как то вот:

У меня стоял DNS-сервер на Windows Server 2003, года полтора-два. Под 10-15к клиентов, число запросов не мерял.

Отлично работал. Раз в месяц-полтора на всякий случай перезапускал его, но не факт, что он в этом нуждался.

 

У нас изначально только форвардингом работал, с выходом жуткого обновления которое постоянно держит 2500 UDP портов в резерве, убрали форвардинг и отдали на самостоятельный баланс, тормоза которые были в самом начале использования дематериализовались... работает проблем не доставляет.

[Ivan_83]

У нас изначально только форвардингом работал, с выходом жуткого обновления которое постоянно держит 2500 UDP портов в резерве, убрали форвардинг и отдали на самостоятельный баланс, тормоза которые были в самом начале использования дематериализовались... работает проблем не доставляет.

Этому обновлению сто лет в обед (с 2008 года когда была шумиха по этому поводу).

Количество можно настроить через реестр.

Я ставлю ippool для запросов не больше 128, мне везде хватает, а секурность пусть другими методами обеспечивается.

[Pritorius]

У нас изначально только форвардингом работал, с выходом жуткого обновления которое постоянно держит 2500 UDP портов в резерве, убрали форвардинг и отдали на самостоятельный баланс, тормоза которые были в самом начале использования дематериализовались... работает проблем не доставляет.

Этому обновлению сто лет в обед (с 2008 года когда была шумиха по этому поводу).

Количество можно настроить через реестр.

Я ставлю ippool для запросов не больше 128, мне везде хватает, а секурность пусть другими методами обеспечивается.

 

Я в крусе про историю этого обновления ))) А 2500 чем то мешали???? Почему 128???

[Ivan_83]

А нафик они мне?

Уже не помню детали, но ISA2006 точно была не оч рада такому количеству "соединений". Там получалось что слишком много запрсов шло, иса на каждый биндила порт чтобы получить ответ, но она не знала что порт можно освобождать, и через некоторое время ДНС (и все юдп) переставали ходить тк иса забиндила все 65535 портов и больше тупо нет.

С 16/32/64 работало уже без проблем.

 

 

С одного сокета можно делать одновременно 65535 запросов к одному серверу (dns pkt id - 16 бит, чтобы понять на какой запрос ответ нужно знать его и откуда пришёл ответ).

Кучу сокетов ввели чтобы рандомизировать номер исходящего юдп порта, дабы атакующему заваливающему левыми пакетами с ответами днс сервер было сложнее отгадать комбинацию dns pkt id + udp src port. Сейчас ещё сделали рандомизацию регистра букв доменного имени, для большей секурности.